共用方式為

在 Azure 虛擬網絡 中執行 Azure 串流分析作業

  • 發行項

本文說明如何在 Azure 虛擬網路中執行串流分析 (ASA) 作業。

概觀

虛擬網路支援可讓您鎖定對虛擬網路基礎結構的 Azure 串流分析存取。 這項功能提供網路隔離的優點,而且可藉由在虛擬網路內部署 ASA 作業的容器化執行個體來完成。 然後,插入的虛擬網路 ASA 作業可以透過下列方式私下存取虛擬網路內的資源:

  • 私人端點,透過 Azure Private Link 所提供的私人連結,將虛擬網路插入 ASA 作業至您的數據源。
  • 服務端點,可將數據源連線到您插入的虛擬網路 ASA 作業。
  • 服務標籤,允許或拒絕串流分析的流量。

可用性

目前,此功能僅適用於選取 區域:美國東部、美國東部 2、美國西部、美國西部 2、美國中部、美國中北部、加拿大中部、西歐、北歐、東南亞、巴西南部、日本東部、英國南部、印度中部、澳大利亞東部、法國中部、德國中西部和阿聯酋北部。 如果您想要在您的區域中啟用虛擬網路整合, 請填寫此 表單。 區域會根據需求和可行性來新增。 如果我們能夠容納您的要求,我們會通知您。

虛擬網路整合支援的需求

  • 虛擬網路插入 ASA 作業需要一 般用途 V2 (GPV2) 記憶體帳戶

    • 插入的虛擬網路 ASA 作業需要存取元數據,例如要儲存在 Azure 數據表中的檢查點,以供作之用。

    • 如果您已經有隨 ASA 作業佈建的 GPV2 帳戶,則不需要額外的步驟。

    • 進階儲存體具有較高規模作業的使用者仍然需要提供 GPV2 儲存體帳戶。

    • 如果您想要保護儲存體帳戶免於公用 IP 型存取,請考慮使用受控識別和受信任的服務進行設定。

      如需儲存體帳戶的詳細資訊,請參閱儲存體帳戶概觀建立儲存體帳戶

  • Azure 虛擬網絡,您可以使用現有的或建立一個

  • 運作的 Azure Nat 閘道,請參閱下面的重要注意事項。

    重要

    ASA 虛擬網路插入作業會使用 Azure 網路所提供的內部容器插入技術。

    若要增強 Azure 串流分析作業的安全性和可靠性,您必須:

    • 設定 NAT 閘道:這可確保來自 VNET 的所有輸出流量都會透過安全且一致的公用 IP 位址路由傳送。

    • 停用默認輸出存取:這會防止來自 VNET 的任何非預期輸出流量,增強網路的安全性。

    Azure NAT 閘道是完全受控且復原性高的網路位址轉譯 (NAT) 服務。 在子網路上設定時,所有輸出連線都會使用 NAT 閘道的靜態公用 IP 位址。 顯示虛擬網路架構的圖表。

    如需 Azure NAT 閘道的詳細資訊,請參閱 Azure NAT 閘道

子網路需求

虛擬網路整合取決於專用子網路。

設定委派的子網時,請務必考慮IP範圍,以符合ASA工作負載的目前和未來需求。 由於子網大小一旦建立后即無法修改,因此建議您選取可支援作業潛在規模的子網大小。 此外,請注意,Azure 網路會保留子網範圍內的前五個IP位址以供內部使用。

調整作業會影響指定子網路大小的實際可用支援執行個體。

估計 IP 範圍的考量事項

  • 請確定子網路範圍不會與 ASA 的子網路範圍相衝突。 避免 IP 範圍 10.0.0.0.0 至 10.0.255.255,因為這是 ASA 所使用的 IP 範圍。
  • 保留:
    • Azure 網路的五 個 IP 位址
    • 需要一個 IP位址,以協助針對與此子網相關聯的作業,例如範例數據、測試連線和元數據探索等功能。
    • 每六個串流單元(SU)或一個 SU V2 都需要兩 個 IP 位址(ASA 的 V2 定價結構於 2023 年 7 月 1 日推出,如需詳細資訊,請參閱 這裡

釋放子網

當您指出虛擬網路與 Azure 串流分析作業整合時,Azure 入口網站 會自動將子網委派給 ASA 服務。 Azure 會在下列案例中取消刪除子網:

  • 您告知我們,透過 ASA 入口網站,與指定子網相關聯的最後一個作業不再需要虛擬網路整合(請參閱作說明一節)。
  • 您會刪除與指定子網路相關聯的最後一個作業

子網路內部流量

子網組態必須啟用子網內部網路流量。 這表示它必須允許來源和目的地IP位址位於相同子網內的輸入和輸出流量。 在這裡深入了解。

最後一個作業

數個串流分析作業可以利用相同的子網。 此處的最後一個作業是指沒有使用指定子網路的其他作業。 當根據關聯性刪除或移除最後一個作業時,串流分析會將子網路發行為資源,該資源會委派給 ASA 作為服務。 等待幾分鐘讓此動作完成。

設定虛擬網路整合

Azure 入口網站

  1. 從 Azure 入口網站,從功能表欄瀏覽至 [網路],然後選取 [在虛擬網路中執行此作業]。 此步驟會通知我們您的作業必須使用虛擬網路:

  2. 在出現提示時進行設定,然後選取 [儲存]

    串流分析作業的網路頁面螢幕快照。

VS Code

  1. 在 Visual Studio Code 中,參考 ASA 作業內的子網路。 此步驟會告訴您的工作必須使用子網路。

  2. JobConfig.json 中,設定您的 VirtualNetworkConfiguration,如下圖所示。

    範例虛擬網路組態的螢幕快照。

設定相關聯的儲存體帳戶

  1. 在 [串流分析作業] 頁面上,選取左側功能表中 [設定] 底下的 [儲存體帳戶設定]

  2. 在 [儲存體帳戶設定] 頁面上,選取 [新增儲存體帳戶]

  3. 請遵循指示來設定儲存體帳戶設定。

    串流分析作業 [記憶體帳戶設定] 頁面的螢幕快照。

重要

  • 若要使用連接字串進行驗證,您必須停用儲存體帳戶防火牆設定。
  • 若要使用受控識別進行驗證,您必須針對儲存體 Blob 資料參與者角色和儲存體資料表資料參與者角色,將串流分析作業新增至儲存體帳戶的存取控制清單。 如果您未授與作業存取權,作業將無法執行任何作業。 如需如何授與存取權的詳細資訊,請參閱〈使用 Azure RBAC 對其他資源指派受控識別存取權〉。

權限

您至少必須擁有子網路或較高層級的下列角色型存取控制權限,才能透過 Azure 入口網站、CLI 或在直接設定 virtualNetworkSubnetId 網站屬性時設定虛擬網路整合:

動作 描述
Microsoft.Network/virtualNetworks/read 讀取虛擬網路定義
Microsoft.Network/virtualNetworks/subnets/read 讀取虛擬網路子網路定義
Microsoft.Network/virtualNetworks/subnets/join/action 加入虛擬網路
Microsoft.Network/virtualNetworks/subnets/write 選擇性。 如果您需要執行子網路委派時則需要

如果虛擬網路位於與 ASA 作業不同的訂用帳戶中,則您必須確定已向 Microsoft.StreamAnalytics 資源提供者註冊具有虛擬網路的訂用帳戶。 您可以遵循本文件來明確註冊提供者,但會在訂用帳戶中建立第一個作業時自動註冊提供者。

限制

  • 虛擬網路作業至少需要一個 SU V2 (新的定價模式) 或六個 SU (目前)
  • 請確定子網路範圍不會與 ASA 的子網路範圍相衝突 (也就是說,請勿使用子網路範圍 10.0.0.0/16)。
  • ASA 作業和虛擬網路必須位於相同的區域中。
  • 委派的子網路只能由串流分析使用。
  • 您無法在與 ASA 整合時刪除虛擬網路。 您必須解除關聯或移除委派子網路上的最後一個作業*。
  • 我們目前不支援域名系統 (DNS) 重新整理。 如果虛擬網路的 DNS 組態已變更,您必須重新部署該虛擬網路中的所有 ASA 作業(子網也必須解除與所有作業的關聯並重新設定)。 如需詳細資訊,請參閱 Azure 虛擬網路中資源的名稱解析以取得詳細資訊。

存取內部部署資源

虛擬網路整合功能不需要額外的設定,即可透過虛擬網路連線至內部部署資源。 您只需要使用 ExpressRoute 或站對站 VPN 將虛擬網路連線至內部部署資源。

價格詳細資料

除了本文件所列的基本需求之外,使用虛擬網路整合時不需要串流分析定價費用以外的額外費用。

疑難排解

這項功能很容易設定,但不表示您在使用過程中不會遇到問題。 如果您遇到存取所需端點的問題,請連絡 Microsoft 支援服務。

注意

如需此功能的直接意見反應,請透過 askasa@microsoft.com 進行連絡。