Выполнение задания Azure Stream Analytics в Azure виртуальная сеть

В этой статье описывается, как запустить задание Azure Stream Analytics (ASA) в виртуальной сети Azure.

Обзор

Поддержка виртуальной сети позволяет заблокировать доступ к Azure Stream Analytics в инфраструктуре виртуальной сети. Эта возможность обеспечивает преимущества сетевой изоляции и может быть выполнена путем развертывания контейнеризованного экземпляра задания ASA в виртуальная сеть. После этого задание ASA, введенное виртуальной сетью, может получить частный доступ к ресурсам в виртуальной сети через:

• Частные конечные точки, которые подключают задание ASA виртуальной сети к источникам данных через частные каналы, управляемые Приватный канал Azure.
• Конечные точки службы, которые подключают источники данных к виртуальной сети, внедряемому заданию ASA.
• Теги служб, которые разрешают или запрещают трафик в Azure Stream Analytics.

Availability

В настоящее время эта возможность доступна только в некоторых регионах: восточная часть США, восточная часть США 2, западная часть США, центрально-северная часть США, Центральная Канада, Центральная Канада, Западная Европа, Северная Европа, Северная Европа, Юго-Восточная Азия, Бразилия, Восточная Япония, Южная Часть Великобритании, Центральная Индия, Восточная Австралия, Центральная Франция, Западная часть США 2 и Север ОАЭ. Если вы хотите включить интеграцию виртуальной сети в регионе, заполните эту форму.

Требования к поддержке интеграции виртуальных сетей

• Для внедренных заданий ASA требуется учетная запись хранения общего назначения версии 2 (GPV2).

  • Для выполнения рабочих задач ASA, внедренных в виртуальную сеть, требуется доступ к метаданным, таким как контрольные точки, хранящиеся в таблицах Azure в операционных целях.

  • Если у вас уже есть учетная запись GPV2, подготовленная с заданием ASA, дополнительные шаги не требуются.

  • Пользователям с более высоким масштабируемым заданием с хранилищем Premium по-прежнему требуется предоставить учетную запись хранения GPV2.

  • Если вы хотите защитить учетные записи хранения от доступа на основе общедоступных IP-адресов, попробуйте также настроить его с помощью управляемого удостоверения и доверенных служб.

    Дополнительные сведения об учетных записях хранения см. в обзоре учетной записи хранения и создании учетной записи хранения.

• Виртуальная сеть Azure можно использовать существующий или создать.

• Операционный шлюз Azure Nat см. ниже.

  Внимание

  Внедренные задания виртуальной сети ASA используют внутреннюю технологию внедрения контейнеров, предоставляемую сетью Azure.

  Чтобы повысить безопасность и надежность заданий Azure Stream Analytics, вам потребуется:

  • Настройте шлюз NAT. Это гарантирует, что весь исходящий трафик из виртуальной сети направляется через безопасный и согласованный общедоступный IP-адрес.

  • Отключите исходящий доступ по умолчанию. Это позволит предотвратить исходящий трафик из виртуальной сети, повышая безопасность сети.

  Шлюз NAT Azure — это полностью управляемая и высоко отказоустойчивая служба преобразования сетевых адресов (NAT). При настройке подсети все исходящие подключения используют статические общедоступные IP-адреса шлюза NAT.

  Дополнительные сведения о шлюзе Azure NAT см. в статье "Шлюз NAT Azure".

Требования к подсети

Интеграция виртуальной сети зависит от выделенной подсети. При создании подсети подсеть Azure использует пять IP-адресов с самого начала.

Необходимо учитывать диапазон IP-адресов, связанный с делегированной подсетью, так как вы думаете о будущих потребностях, необходимых для поддержки рабочей нагрузки ASA. Так как размер подсети не может быть изменен после назначения, используйте подсеть, достаточную для размещения любого масштаба задания.

Операция масштабирования влияет на реальные доступные поддерживаемые экземпляры для заданного размера подсети.

Рекомендации по оценке диапазонов IP-адресов

• Убедитесь, что диапазон подсети не сталкивается с диапазоном подсети ASA. Избегайте диапазона IP-адресов 10.0.0.0 до 10.0.255.255, так как он используется ASA.
• Запас:
  • Пять IP-адресов для сети Azure
  • Один IP-адрес необходим для упрощения таких функций, как примеры данных, проверка подключения и обнаружение метаданных для заданий, связанных с этой подсетью.
  • Для каждых шести единиц потоковой передачи (SU) требуется два IP-адреса или одна структура ценообразования SU V2 (ценовая структура ASA версии 2 запускается 1 июля 2023 г., см . здесь дополнительные сведения).

При указании интеграции виртуальной сети с заданием Azure Stream Analytics портал Azure автоматически делегирует подсеть службе ASA. портал Azure отменяет удаление подсети в следующих сценариях:

• Вы сообщите нам, что интеграция виртуальной сети больше не требуется для последнего задания, связанного с указанной подсетью, через портал ASA (см. раздел "Практическое руководство").
• Вы удаляете последнее задание, связанное с указанной подсетью.

Последнее задание

Несколько заданий Stream Analytics могут использовать одну подсеть. Последнее задание здесь не относится к другим заданиям, использующим указанную подсеть. Когда последнее задание было удалено или удалено связанным, Azure Stream Analytics освобождает подсеть как ресурс, который был делегирован ASA в качестве службы. Разрешите несколько минут завершения этого действия.

Настройка интеграции с виртуальной сетью

Портал Azure

1. В портал Azure перейдите к сети в строке меню и выберите "Выполнить это задание в виртуальной сети". На этом шаге сообщается, что задание должно работать с виртуальной сетью:

2. Настройте параметры по запросу и нажмите кнопку "Сохранить".

   

VS Code

1. В Visual Studio Code обратитесь к подсети в задании ASA. На этом шаге показано, что задание должно работать с подсетью.

2. В разделе JobConfig.json"Настройка" VirtualNetworkConfiguration , как показано на следующем рисунке.

   

Настройка связанной учетной записи хранения

1. На странице задания Stream Analytics выберите параметры учетной записи хранения в разделе "Настройка" в меню слева.

2. На странице параметров учетной записи хранения выберите "Добавить учетную запись хранения".

3. Следуйте инструкциям по настройке параметров учетной записи хранения.

   

Внимание

• Чтобы пройти проверку подлинности с помощью строка подключения, необходимо отключить параметры брандмауэра учетной записи хранения.
• Чтобы выполнить проверку подлинности с помощью управляемого удостоверения, необходимо добавить задание Stream Analytics в список управления доступом учетной записи хранения для роли участника данных BLOB-объектов хранилища и роли участника данных таблицы хранилища. Если вы не предоставите заданию доступ, задание не сможет выполнять никаких операций. Дополнительные сведения о том, как предоставить доступ, см. в разделе Назначение управляемому удостоверению доступа к другому ресурсу с помощью Azure RBAC.

Разрешения

Для настройки интеграции виртуальной сети через портал Azure, CLI или при настройке свойства сайта virtualNetworkSubnetId напрямую необходимо иметь по крайней мере следующие разрешения на управление доступом на основе ролей в подсети или на более высоком уровне:

Действие	Description
Microsoft.Network/virtualNetworks/read	Чтение определения виртуальной сети
Microsoft.Network/virtualNetworks/subnets/read	Чтение определения подсети виртуальной сети
Microsoft.Network/virtualNetworks/subnets/join/action	Присоединяет виртуальную сеть.
Microsoft.Network/virtualNetworks/subnets/write	Необязательно. Требуется, если необходимо выполнить делегирование подсети

Если виртуальная сеть находится в подписке, отличной от задания ASA, необходимо убедиться, что подписка с виртуальной сетью зарегистрирована для Microsoft.StreamAnalytics поставщика ресурсов. Вы можете явно зарегистрировать поставщика, следуя этой документации, но она автоматически зарегистрирована при создании задания в подписке.

Ограничения

• Для заданий виртуальной сети требуется не менее одного номера SU V2 (новая модель ценообразования) или шесть единиц (текущий)
• Убедитесь, что диапазон подсети не сталкивается с диапазоном подсети ASA (т. е. не используйте диапазон подсети 10.0.0.0/16).
• Задания ASA и виртуальная сеть должны находиться в одном регионе.
• Делегированная подсеть может использоваться только Azure Stream Analytics.
• Вы не можете удалить виртуальную сеть при интеграции с ASA. Необходимо отсоединить или удалить последнее задание* в делегированной подсети.
• В настоящее время мы не поддерживаем обновления системы доменных имен (DNS). Если конфигурации DNS виртуальной сети изменены, необходимо повторно развернуть все задания ASA в этой виртуальной сети (подсети также необходимо отключить от всех заданий и перенастроить). Дополнительные сведения см. в статье "Разрешение имен для ресурсов в виртуальных сетях Azure" для получения дополнительных сведений.

Доступ к локальным ресурсам

Дополнительная конфигурация не требуется для подключения функции интеграции виртуальной сети через виртуальную сеть к локальным ресурсам. Достаточно подключить виртуальную сеть к локальным ресурсам с помощью ExpressRoute или VPN типа "сеть — сеть".

Сведения о тарифах

Вне основных требований, перечисленных в этом документе, интеграция виртуальной сети не взимает дополнительную плату за использование за пределы цен Azure Stream Analytics.

Устранение неполадок

Эта функция легко настроить, но это не означает, что ваш опыт является проблемой бесплатно. При возникновении проблем с доступом к нужной конечной точке обратитесь к служба поддержки Майкрософт.

Примечание.

Чтобы получить прямую обратную связь об этой возможности, обратитесь к askasa@microsoft.com.