將串流分析作業連線至 Azure 虛擬網絡 中的資源

串流分析作業會建立輸出連線至您的輸入和輸出 Azure 資源，即時處理資料並產生結果。 這些輸入和輸出資源（例如，Azure 事件中樞 和 Azure SQL 資料庫）可能位於 Azure 防火牆後方或 Azure 虛擬網絡 中。 串流分析服務會從無法直接包含在網路規則中的網路進行運作。

不過，有數種方式可以安全地將串流分析作業連線至這類案例中的輸入和輸出資源。

• 在 Azure 虛擬網絡 中執行 Azure 串流分析作業
• 使用串流分析叢集中的私人端點。
• 使用受控識別驗證模式搭配 [允許信任的服務] 網路設定。

您的串流分析作業不接受任何輸入連線。

在 Azure 虛擬網絡 中執行 Azure 串流分析作業

虛擬網路支援可讓您鎖定對虛擬網路基礎結構的 Azure 串流分析存取。 這項功能提供網路隔離的優點，而且可藉由在 虛擬網絡 內部署 Azure 串流分析作業的容器化實例來完成。 接著，您的虛擬網路插入作業可以透過下列方式私下存取虛擬網路內的資源：

• 私人端點，透過 Azure Private Link 所提供的私人連結，將虛擬網路插入 ASA 作業至您的數據源。
• 服務端點，可將數據源連線到您插入的虛擬網路 ASA 作業。
• 服務標籤，允許或拒絕串流分析的流量。

目前，虛擬網路整合僅適用於 選取的區域。 請瀏覽 此頁面 ，以取得已啟用虛擬網路的區域的最新清單，以及如何在您的區域中要求它。

串流分析叢集中的私人端點。

串流分析叢集是單一租用戶專用的計算叢集，您可以在其中執行串流分析作業。 您可以在串流分析叢集中建立受控私人端點，可讓在叢集上執行的任何作業建立安全的輸出連線至您的輸入和輸出資源。

在串流分析叢集中建立私人端點是兩步驟作業。 此選項最適合中型到大型串流工作負載，因為串流分析叢集的大小下限為 12 SU V2 或 36 SU V1s (雖然 SU 可能是由各種訂用帳戶，或如開發、測試和生產等環境中的不同作業所共用)。 如需詳細資訊，請參閱 Azure 串流分析叢集。

受控識別驗證搭配「允許信任的服務」設定

有些 Azure 服務提供 [允許信任的服務] 網路設定，若啟用此設定，您的串流分析作業可以使用增強式驗證安全地連線至您的資源。 此選項可讓您將作業連線至輸入和輸出資源，而不需要串流分析叢集和私人端點。 設定您的作業使用這項技巧是兩步驟作業：

• 設定串流分析作業中的輸入或輸出時，請使用受控識別驗證模式。
• 將 Azure 角色指派給作業系統指派的受控識別，以授與特定串流分析作業對目標資源的明確存取權。

啟用 [允許信任 Microsoft 服務 不會授與任何作業的完全存取權。 它可讓您完全控制哪些特定串流分析作業可以安全地存取您的資源。

您的作業可以使用這項技巧連線至下列 Azure 服務：

1. Blob 儲存體或 Azure Data Lake Storage Gen2 - 可以是您作業的儲存體帳戶、串流輸入或輸出。
2. Azure 事件中樞 - 可以是您作業的串流輸入或輸出。

如果您的作業需要連線至其他輸入或輸出類型，您可以先從串流分析寫入至事件中樞輸出，然後使用 Azure Functions 寫入至您選擇的任何目的地。 如果您想要直接從串流分析寫入虛擬網路或防火牆中保護的其他輸出類型，則唯一的選項是在串流分析叢集中使用私人端點。

下一步

• 建立和移除串流分析叢集中的私人端點
• 使用受控識別驗證連線到虛擬網路中的事件中樞
• 使用受控識別驗證連線到虛擬網路中的 Blob 記憶體和 ADLS Gen2