Подключение заданий Stream Analytics к ресурсам в виртуальная сеть Azure
Задания Stream Analytics устанавливают исходящие подключения к входным и выходным ресурсам Azure для обработки данных в режиме реального времени и получения результатов. Эти входные и выходные ресурсы (например, Центры событий Azure и База данных SQL Azure) могут находиться за брандмауэром Azure или в виртуальная сеть Azure. Служба Stream Analytics работает с сетями, которые нельзя непосредственно включить в сетевые правила.
Однако существует несколько способов безопасного подключения заданий Stream Analytics к входным и выходным ресурсам в таких сценариях.
- Выполнение задания Azure Stream Analytics в Azure виртуальная сеть
- Используйте частные конечные точки в кластерах Stream Analytics.
- Используйте режим проверки подлинности управляемого удостоверения, в сочетании с параметром сети "Разрешить доверенные службы".
Задание Stream Analytics не принимает входящие подключения.
Выполнение задания Azure Stream Analytics в Azure виртуальная сеть
Поддержка виртуальной сети позволяет заблокировать доступ к Azure Stream Analytics в инфраструктуре виртуальной сети. Эта возможность обеспечивает преимущества сетевой изоляции и может быть выполнена путем развертывания контейнеризованного экземпляра задания Azure Stream Analytics в виртуальная сеть. После этого внедренное задание виртуальной сети может получить частный доступ к ресурсам в виртуальной сети:
- Частные конечные точки, которые подключают задание ASA виртуальной сети к источникам данных через частные каналы, управляемые Приватный канал Azure.
- Конечные точки службы, которые подключают источники данных к виртуальной сети, внедряемому заданию ASA.
- Теги служб, которые разрешают или запрещают трафик в Azure Stream Analytics.
В настоящее время интеграция виртуальной сети доступна только в выборе регионов. Перейдите на эту страницу для последнего списка регионов с поддержкой виртуальной сети и о том, как запросить его в вашем регионе.
Частные конечные точки в кластерах Stream Analytics
Кластеры Stream Analytics — это выделенный вычислительный кластер (с одним клиентом), в котором можно выполнять задания Stream Analytics. Вы можете создавать управляемые частные конечные точки в кластере Stream Analytics, что позволяет любым заданиям, которые выполняются в кластере, устанавливать безопасное исходящее подключение к входным и выходным ресурсам.
Создание частных конечных точек в кластере Stream Analytics выполняется в два этапа. Этот вариант лучше всего подходит для средних и больших потоковых рабочих нагрузок, так как минимальный размер кластера Stream Analytics составляет 12 SU V2 или 36 SU V1 (SUS можно совместно использовать различными заданиями в различных подписках или средах, таких как разработка, тестирование и производство). Дополнительные сведения см. в кластере Azure Stream Analytics.
Аутентификация управляемого удостоверения с конфигурацией "Разрешить доверенные службы"
Некоторые службы Azure предоставляют параметр сети Разрешить доверенные службы Майкрософт, который при включении позволяет заданиям Stream Analytics безопасно подключаться к ресурсу с помощью строгой проверки подлинности. Этот параметр позволяет вам подключать задания к входным и выходным ресурсам, не требуя кластера Stream Analytics и частных конечных точек. Настройка задания для использования этой методики происходит в два этапа:
- Используйте режим аутентификации управляемого удостоверения при настройке ввода или вывода в задании Stream Analytics.
- Предоставьте конкретным заданиям Stream Analytics явный доступ к целевым ресурсам, назначив роль Azure для управляемого удостоверения назначаемого системой задания.
Включение разрешения доверенных службы Майкрософт не предоставляет общий доступ к какой-либо работе. Он обеспечивает полный контроль над тем, какие конкретные задания Stream Analytics могут безопасно получать доступ к ресурсам.
С помощью этого метода ваши задания могут подключаться к следующим службам Azure:
- Хранилище BLOB-объектов или Azure Data Lake Storage 2-го поколения — может быть для вашего задания учетной записью хранения, входом или выходом для потоковой передачи.
- Центры событий Azure — могут быть для вашего задания входом или выходом для потоковой передачи.
Если для заданий требуется подключение к другим типам входа или выхода, можно сначала выполнить запись данных из Stream Analytics в выход Центров событий, а затем в любое нужное вам назначение с помощью Функций Azure. Если вы хотите напрямую записывать данные из Stream Analytics в другие типы выходных данных, защищенные в виртуальной сети или брандмауэре, единственным вариантом является использование частных конечных точек в кластерах Stream Analytics.
Следующие шаги
- Создание и удаление частных конечных точек в кластерах Stream Analytics
- Подключение к центрам событий в виртуальной сети с помощью проверки подлинности управляемого удостоверения
- Подключение к хранилищу BLOB-объектов и ADLS 2-го поколения в виртуальной сети с помощью проверки подлинности управляемого удостоверения