Partilhar via

Executar seu trabalho do Azure Stream Analytics em uma Rede Virtual do Azure

  • Artigo

Este artigo descreve como executar seu trabalho do Azure Stream Analytics (ASA) em uma rede virtual do Azure.

Descrição geral

O suporte de rede virtual permite-lhe bloquear o acesso ao Azure Stream Analytics à sua infraestrutura de rede virtual. Esse recurso fornece os benefícios do isolamento de rede e pode ser realizado implantando uma instância conteinerizada do seu trabalho ASA dentro da sua Rede Virtual. Seu trabalho ASA injetado na rede virtual pode então acessar de forma privada seus recursos dentro da rede virtual via:

  • Pontos de extremidade privados, que conectam seu trabalho ASA injetado de rede virtual às suas fontes de dados por meio de links privados alimentados pelo Azure Private Link.
  • Pontos de extremidade de serviço, que conectam suas fontes de dados ao seu trabalho ASA injetado na rede virtual.
  • Tags de serviço, que permitem ou negam tráfego para o Azure Stream Analytics.

Disponibilidade

Atualmente, esse recurso está disponível apenas em regiões selecionadas: Leste dos EUA, Leste dos EUA 2, Oeste dos EUA, Centro dos EUA, Centro-Norte dos EUA, Canadá Central, Europa Ocidental, Europa do Norte, Sudeste Asiático, Sul do Brasil, Leste do Japão, Sul do Reino Unido, Índia Central, Leste da Austrália e França Central. Se estiver interessado em ativar a integração de rede virtual na sua região, preencha este formulário.

Requisitos para suporte à integração de rede virtual

  • Uma conta de armazenamento de uso geral V2 (GPV2) é necessária para trabalhos ASA injetados em rede virtual.

    • Os trabalhos ASA injetados na rede virtual exigem acesso a metadados, como pontos de verificação, para serem armazenados em tabelas do Azure para fins operacionais.

    • Se você já tiver uma conta GPV2 provisionada com seu trabalho ASA, nenhuma etapa extra será necessária.

    • Os usuários com trabalhos de maior escala com armazenamento Premium ainda precisam fornecer uma conta de armazenamento GPV2.

    • Se você deseja proteger as contas de armazenamento do acesso público baseado em IP, considere configurá-lo usando Identidade Gerenciada e Serviços Confiáveis também.

      Para obter mais informações sobre contas de armazenamento, consulte Visão geral da conta de armazenamento e Criar uma conta de armazenamento.

  • Uma Rede Virtual do Azure existente ou crie uma.

    Importante

    Os trabalhos injetados na rede virtual ASA usam uma tecnologia de injeção de contêiner interna fornecida pela rede do Azure. De acordo com os requisitos de rede, o Gateway NAT do Azure deve ser configurado para trabalhos ASA injetados na rede virtual para fins de segurança e confiabilidade.

    O Azure NAT Gateway é um serviço NAT (Network Address Translation) totalmente gerenciado e altamente resiliente. Quando configurada em uma sub-rede, toda a conectividade de saída usa os endereços IP públicos estáticos do gateway NAT. Diagrama mostrando a arquitetura da rede virtual.

    Para obter mais informações sobre o Azure NAT Gateway, consulte Azure NAT Gateway.

Requisitos de sub-rede

A integração de rede virtual depende de uma sub-rede dedicada. Quando você cria uma sub-rede, a sub-rede do Azure consome cinco IPs desde o início.

Você deve levar em consideração o intervalo de IP associado à sua sub-rede delegada ao pensar sobre as necessidades futuras necessárias para suportar sua carga de trabalho ASA. Como o tamanho da sub-rede não pode ser alterado após a atribuição, use uma sub-rede grande o suficiente para acomodar qualquer escala que seu trabalho possa alcançar.

A operação de dimensionamento afeta as instâncias reais com suporte disponíveis para um determinado tamanho de sub-rede.

Considerações para estimar intervalos de IP

  • Verifique se o intervalo de sub-rede não colide com o intervalo de sub-rede do ASA. Evite o intervalo de IP 10.0.0.0 a 10.0.255.255 como é usado pelo ASA.
  • Reserva:
    • Cinco endereços IP para a Rede do Azure
    • Um endereço IP é necessário para facilitar recursos como dados de exemplo, conexão de teste e descoberta de metadados para trabalhos associados a essa sub-rede.
    • Dois endereços IP são necessários para cada seis unidades de streaming (SU) ou um SU V2 (a estrutura de preços V2 da ASA será lançada em 1º de julho de 2023, veja aqui os detalhes)

Quando você indica a integração de rede virtual com seu trabalho do Azure Stream Analytics, o portal do Azure delega automaticamente a sub-rede ao serviço ASA. O portal do Azure desdelega a sub-rede nos seguintes cenários:

  • Você nos informa que a integração de rede virtual não é mais necessária para o último trabalho associado à sub-rede especificada através do portal ASA (consulte a seção de instruções).
  • Você exclui o último trabalho associado à sub-rede especificada.

Último emprego

Vários trabalhos do Stream Analytics podem utilizar a mesma sub-rede. O último trabalho aqui refere-se a nenhum outro trabalho utilizando a sub-rede especificada. Quando o último trabalho tiver sido excluído ou removido por associado, o Azure Stream Analytics liberará a sub-rede como um recurso, que foi delegado ao ASA como um serviço. Aguarde alguns minutos para que esta ação seja concluída.

Configurar a integração de rede virtual

Portal do Azure

  1. No portal do Azure, navegue até Rede na barra de menus e selecione Executar este trabalho na rede virtual. Esta etapa nos informa que seu trabalho deve funcionar com uma rede virtual:

  2. Configure as configurações conforme solicitado e selecione Salvar.

    Captura de tela da página Rede de um trabalho do Stream Analytics.

Código VS

  1. No Visual Studio Code, faça referência à sub-rede em seu trabalho ASA. Esta etapa informa ao seu trabalho que ele deve funcionar com uma sub-rede.

  2. No , configure o JobConfig.jsonseu VirtualNetworkConfiguration conforme mostrado na imagem a seguir.

    Captura de tela da configuração de rede virtual de exemplo.

Configurar uma conta de armazenamento associada

  1. Na página de trabalho do Stream Analytics, selecione Configurações da conta de armazenamento em Configurar no menu à esquerda.

  2. Na página Configurações da conta de armazenamento, selecione Adicionar conta de armazenamento.

  3. Siga as instruções para definir as configurações da sua conta de armazenamento.

    Captura de tela da página Configurações da conta de armazenamento de um trabalho do Stream Analytics.

Importante

  • Para autenticar com a cadeia de conexão, você deve desativar as configurações de firewall da conta de armazenamento.
  • Para autenticar com a Identidade Gerenciada, você deve adicionar seu trabalho do Stream Analytics à lista de controle de acesso da conta de armazenamento para a função de Colaborador de Dados de Blob de Armazenamento e a função de Colaborador de Dados da Tabela de Armazenamento. Se você não der acesso ao seu trabalho, ele não poderá realizar nenhuma operação. Para obter mais informações sobre como conceder acesso, consulte Usar o RBAC do Azure para atribuir um acesso de identidade gerenciado a outro recurso.

Permissões

Você deve ter pelo menos as seguintes permissões de controle de acesso baseado em função na sub-rede ou em um nível superior para configurar a integração de rede virtual por meio do portal do Azure, CLI ou ao definir a propriedade do site virtualNetworkSubnetId diretamente:

Ação Descrição
Microsoft.Network/virtualNetworks/read Leia a definição de rede virtual
Microsoft.Network/virtualNetworks/subnets/read Ler uma definição de sub-rede de rede virtual
Microsoft.Network/virtualNetworks/subnets/join/action Junta-se a uma rede virtual
Microsoft.Network/virtualNetworks/subnets/write Opcional. Necessário se você precisar executar a delegação de sub-rede

Se a rede virtual estiver em uma assinatura diferente do seu trabalho ASA, você deve garantir que a assinatura com a rede virtual esteja registrada para o provedor de Microsoft.StreamAnalytics recursos. Você pode registrar explicitamente o provedor seguindo esta documentação, mas ele é registrado automaticamente ao criar o trabalho em uma assinatura.

Limitações

  • Os trabalhos de rede virtual requerem um mínimo de um SU V2 (novo modelo de preços) ou seis SUs (atual)
  • Verifique se o intervalo de sub-rede não colide com o intervalo de sub-rede ASA (ou seja, não use o intervalo de sub-rede 10.0.0.0/16).
  • Os trabalhos ASA e a rede virtual devem estar na mesma região.
  • A sub-rede delegada só pode ser usada pelo Azure Stream Analytics.
  • Não é possível excluir uma rede virtual quando ela está integrada ao ASA. Você deve desassociar ou remover o último trabalho* na sub-rede delegada.
  • Atualmente, não suportamos atualizações do Sistema de Nomes de Domínio (DNS). Se as configurações de DNS da sua rede virtual forem alteradas, você deverá reimplantar todos os trabalhos ASA nessa rede virtual (as sub-redes também precisam ser desassociadas de todos os trabalhos e reconfiguradas). Para obter mais informações, consulte Resolução de nomes para recursos em redes virtuais do Azure para obter mais informações.

Aceder a recursos no local

Nenhuma configuração extra é necessária para que o recurso de integração de rede virtual alcance através de sua rede virtual para recursos locais. Basta conectar sua rede virtual a recursos locais usando a Rota Expressa ou uma VPN site a site.

Detalhes dos preços

Fora dos requisitos básicos listados neste documento, a integração de rede virtual não tem custo adicional para uso além das taxas de preços do Azure Stream Analytics.

Resolução de Problemas

O recurso é fácil de configurar, mas isso não significa que sua experiência esteja livre de problemas. Se você tiver problemas para acessar o ponto de extremidade desejado, entre em contato com o Suporte da Microsoft.

Nota

Para obter feedback direto sobre esse recurso, entre em contato com askasa@microsoft.com.