Conectar trabalhos do Stream Analytics a recursos em uma Rede Virtual do Azure

Seus trabalhos do Stream Analytics fazem conexões de saída com seus recursos de entrada e saída do Azure para processar dados em tempo real e produzir resultados. Esses recursos de entrada e saída (por exemplo, Hubs de Eventos do Azure e Banco de Dados SQL do Azure) podem estar atrás de um firewall do Azure ou em uma Rede Virtual do Azure. O serviço Stream Analytics opera a partir de redes que não podem ser incluídas diretamente nas suas regras de rede.

No entanto, há várias maneiras de conectar com segurança seus trabalhos do Stream Analytics aos seus recursos de entrada e saída nesses cenários.

• Executar seu trabalho do Azure Stream Analytics em uma Rede Virtual do Azure
• Use pontos de extremidade privados em clusters do Stream Analytics.
• Use o modo de autenticação de Identidade Gerenciada juntamente com a configuração de rede "Permitir serviços confiáveis".

Seu trabalho do Stream Analytics não aceita nenhuma conexão de entrada.

Executar seu trabalho do Azure Stream Analytics em uma Rede Virtual do Azure

O suporte de rede virtual permite-lhe bloquear o acesso ao Azure Stream Analytics à sua infraestrutura de rede virtual. Esse recurso fornece os benefícios do isolamento de rede e pode ser realizado implantando uma instância em contêiner do seu trabalho do Azure Stream Analytics dentro da sua Rede Virtual. Seu trabalho injetado na rede virtual pode então acessar de forma privada seus recursos dentro da rede virtual através de:

• Pontos de extremidade privados, que conectam seu trabalho ASA injetado de rede virtual às suas fontes de dados por meio de links privados alimentados pelo Azure Private Link.
• Pontos de extremidade de serviço, que conectam suas fontes de dados ao seu trabalho ASA injetado na rede virtual.
• Tags de serviço, que permitem ou negam tráfego para o Azure Stream Analytics.

Atualmente, a integração de rede virtual só está disponível em regiões selecionadas. Visite esta página para obter a lista mais recente de regiões habilitadas para rede virtual e como solicitá-la em sua região.

Pontos de extremidade privados em clusters do Stream Analytics.

Os clusters do Stream Analytics são um cluster de computação dedicado de um único locatário onde você pode executar seus trabalhos do Stream Analytics. Você pode criar pontos de extremidade privados gerenciados em seu cluster do Stream Analytics, o que permite que qualquer trabalho em execução no cluster faça uma conexão de saída segura com seus recursos de entrada e saída.

A criação de pontos de extremidade privados em seu cluster do Stream Analytics é uma operação de duas etapas. Essa opção é mais adequada para cargas de trabalho de streaming de médio a grande porte, pois o tamanho mínimo de um cluster do Stream Analytics é 12 SU V2 ou 36 SU V1s (SUs podem ser compartilhados por diferentes trabalhos em várias assinaturas ou ambientes, como desenvolvimento, teste e produção). Para obter mais informações, consulte Cluster do Azure Stream Analytics.

Autenticação de identidade gerenciada com configuração 'Permitir serviços confiáveis'

Alguns serviços do Azure fornecem a configuração de rede Permitir serviços confiáveis da Microsoft, que, quando habilitada, permite que seus trabalhos do Stream Analytics se conectem com segurança ao seu recurso usando autenticação forte. Essa opção permite que você conecte seus trabalhos aos recursos de entrada e saída sem a necessidade de um cluster do Stream Analytics e pontos de extremidade privados. Configurar seu trabalho para usar essa técnica é uma operação de 2 etapas:

• Use o modo de autenticação de identidade gerenciada ao configurar a entrada ou saída em seu trabalho do Stream Analytics.
• Conceda aos seus trabalhos específicos do Stream Analytics acesso explícito aos seus recursos de destino atribuindo uma função do Azure à identidade gerenciada atribuída ao sistema do trabalho.

Habilitar Permitir serviços confiáveis da Microsoft não concede acesso geral a nenhum trabalho. Ele oferece controle total de quais trabalhos específicos do Stream Analytics podem acessar seus recursos com segurança.

Seus trabalhos podem se conectar aos seguintes serviços do Azure usando esta técnica:

1. Blob Storage ou Azure Data Lake Storage Gen2 - pode ser a conta de armazenamento do seu trabalho, entrada ou saída de streaming.
2. Hubs de Eventos do Azure - podem ser a entrada ou saída de streaming do seu trabalho.

Se seus trabalhos precisarem se conectar a outros tipos de entrada ou saída, você poderá escrever do Stream Analytics para a saída dos Hubs de Eventos primeiro e, em seguida, para qualquer destino de sua escolha usando o Azure Functions. Se você quiser gravar diretamente do Stream Analytics para outros tipos de saída protegidos em uma rede virtual ou firewall, a única opção é usar pontos de extremidade privados em clusters do Stream Analytics.

Próximos passos

• Criar e remover pontos de extremidade privados em clusters do Stream Analytics
• Conectar-se a Hubs de Eventos em uma rede virtual usando a autenticação de Identidade Gerenciada
• Conectar-se ao armazenamento de Blob e ao ADLS Gen2 em uma rede virtual usando a autenticação de identidade gerenciada