Steuern von Ressourcen für Clientanwendungen mit Anwendungsgruppen

Azure Event Hubs ermöglicht es Ihnen, mithilfe von Anwendungsgruppen Ereignisstreamingworkloads für Clientanwendungen zu steuern, die eine Verbindung mit Event Hubs herstellen. Weitere Informationen finden Sie unter Ressourcengovernance mit Anwendungsgruppen.

In diesem Artikel wird erläutert, wie die folgenden Aufgaben ausgeführt werden:

• Erstellen einer Anwendungsgruppe
• Aktivieren oder Deaktivieren einer Anwendungsgruppe
• Definieren von Schwellenwerten und Anwenden von Drosselungsrichtlinien auf eine Anwendungsgruppe
• Überprüfen der Drosselung mit Diagnoseprotokollen

Hinweis

Anwendungsgruppen sind derzeit nur in den Premium- und Dedicated-Tarifen verfügbar.

Erstellen einer Anwendungsgruppe

In diesem Abschnitt erfahren Sie, wie Sie eine Anwendungsgruppe mit dem Azure-Portal, mit der CLI, mit PowerShell oder einer Azure Resource Manager-Vorlage (ARM) erstellen.

Azure portal

Sie können eine Anwendungsgruppe über das Azure-Portal erstellen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Ihrem Event Hubs-Namespace.

2. Wählen Sie im linken Menü Anwendungsgruppen unter Einstellungen aus.

3. Wählen Sie auf der Seite Anwendungsgruppen die Option + Anwendungsgruppe auf der Befehlsleiste aus.

   

4. Führen Sie auf der Seite Anwendungsgruppe hinzufügen die folgenden Schritte aus:

   1. Geben Sie einen Namen für die Anwendungsgruppe an.

   2. Bestätigen Sie, dass Aktiviert ausgewählt ist. Um die Anwendungsgruppe zunächst im deaktivierten Zustand zu erstellen, deaktivieren Sie die Option Aktiviert. Dieses Flag bestimmt, ob die Clients einer Anwendungsgruppe auf Event Hubs zugreifen können.

   3. Wählen Sie für den Sicherheitskontexttypdie Namespace-Richtlinie für den freigegebenen Zugriff,die Event Hub-Richtlinie für den freigegebenen Zugriff oder die Microsoft Entra-Anwendung aus. Die Anwendungsgruppe unterstützt die Auswahl des SAS-Schlüssels auf Namespace- oder Entitätsebene (Event Hub). Wenn Sie die Anwendungsgruppe erstellen, sollten Sie sie entweder mit einer Shared Access Signature (SAS) oder einer Azure Active Directory-Anwendungs-ID (Azure AD) verknüpfen, die von Clientanwendungen verwendet wird.

   4. Wenn Sie SAS-Richtlinie für Namespaces ausgewählt haben:

      1. Wählen Sie als SAS-Schlüsselname die SAS-Richtlinie aus, die als Sicherheitskontext für diese Anwendungsgruppe verwendet werden kann.Sie können SAS-Richtlinie hinzufügen auswählen, um eine neue Richtlinie hinzuzufügen und dann der Anwendungsgruppe zuzuordnen.

         

   5. Wenn Sie SAS-Richtlinie für Event Hubs ausgewählt haben:

      1. Kopieren Sie unter SAS-Schlüsselname den Namen der SAS-Richtlinie von der Event Hubs-Seite „SAS-Richtlinien“, und fügen Sie ihn in das Textfeld ein.

         

   6. Wenn Sie die Microsoft Entra-Anwendung ausgewählt haben:

      1. Geben Sie für die Microsoft Entra-Anwendung (Client-ID) die Microsoft Entra-Anwendung oder Client-ID an.

      

Unterstützter Sicherheitskontexttyp

Überprüfen Sie die automatisch generierte Clientgruppen-ID. Dies ist die eindeutige ID, die der Anwendungsgruppe zugeordnet ist. Der Umfang der Anwendungsgovernance (Namespace- oder Entitätsebene) würde von der Zugriffsebene für die verwendete Azure AD-Anwendungs-ID abhängen. Die folgende Tabelle zeigt die automatisch generierte Clientgruppen-ID für verschiedene Sicherheitskontexttypen:

Sicherheitskontexttyp	Automatisch generierte Clientgruppen-ID
SAS-Schlüssel für Namespaces	NamespaceSASKeyName=<NamespaceLevelKeyName>
Microsoft Entra-Anwendungsproxy	AADAppID=<AppID>
SAS-Schlüssel für Event Hubs	EntitySASKeyName=<EntityLevelKeyName>

Hinweis

Alle vorhandenen Anwendungsgruppen, die mit dem SAS-Schlüssel für Namespaces erstellt wurden, funktionieren weiterhin mit der mit SASKeyName beginnenden Clientgruppen-ID. Alle neuen Anwendungsgruppen hätten jedoch wie oben gezeigt eine aktualisierte Clientgruppen-ID.

1. Führen Sie die folgenden Schritte aus, um eine Richtlinie hinzuzufügen:

   1. Geben Sie einen Namen für die Richtlinie ein.

   2. Wählen Sie als Typ die Option Bandbreiteneinschränkungsrichtlinie aus.

   3. Wählen Sie für als Metrik-ID eine der folgenden Optionen aus: Eingehende Nachrichten, Ausgehende Nachrichten, Eingehende Bytes, Ausgehende Bytes. Im folgenden Beispiel wird Eingehende Nachrichten ausgewählt.

   4. Geben Sie als Schwellenwert für Ratengrenzwert den Schwellenwert ein. Im folgenden Beispiel wird 10.000 als Schwellenwert für die Anzahl eingehender Nachrichten angegeben.

      

      Dies ist ein Screenshot der Seite mit einer weiteren hinzugefügten Richtlinie.

      

2. Wählen Sie nun auf der Seite Anwendungsgruppe hinzufügen die Option Hinzufügen aus.

3. Vergewissern Sie sich, dass die Anwendungsgruppe in der Liste der Anwendungsgruppen angezeigt wird.

   

   Sie können die Anwendungsgruppe in der Liste löschen, indem Sie das Papierkorbsymbol neben ihr in der Liste auswählen.

Azure-Befehlszeilenschnittstelle

Erstellen Sie mit dem CLI-Befehl az eventhubs namespace application-group create eine Anwendungsgruppe auf Event Hubs-Namespace- oder Event Hub-Ebene. Sie müssen --client-app-group-identifier basierend auf dem gewählten Sicherheitskontexttyp festlegen. Prüfen Sie die obige Tabelle auf unterstützte Sicherheitskontexttypen.

Im folgenden Beispiel wird eine Anwendungsgruppe namens myAppGroup im Namespace mynamespace in der Azure-Ressourcengruppe MyResourceGrouperstellt. Sie verwendet die folgenden Konfigurationen.

• Eine SAS-Richtlinie wird als Sicherheitskontext verwendet.
• Die Client-App-Gruppen-ID ist auf NamespaceSASKeyName=<NameOfTheSASkey> festgelegt.
• Erste Bandbreiteneinschränkungsrichtlinie für die Incoming messages-Metrik mit 10000 als Schwellenwert.
• Zweite Bandbreiteneinschränkungsrichtlinie für die Incoming bytes-Metrik mit 20000 als Schwellenwert.

az eventhubs namespace application-group create --namespace-name mynamespace \
                                                -g MyResourceGroup \
                                                --name myAppGroup \
                                                --client-app-group-identifier NamespaceSASKeyName=keyname \
                                                --throttling-policy-config name=policy1 metric-id=IncomingMessages rate-limit-threshold=10000 \
                                                --throttling-policy-config name=policy2 metric-id=IncomingBytes rate-limit-threshold=20000

Weitere Informationen zum CLI-Befehl finden Sie unter az eventhubs namespace application-group create.

Azure PowerShell

Erstellen Sie mit dem PowerShell-Befehl New-AzEventHubApplicationGroup eine Anwendungsgruppe auf Event Hubs-Namespace- oder Event Hub-Ebene. Sie müssen -ClientAppGroupIdentifier basierend auf dem gewählten Sicherheitskontexttyp festlegen. Prüfen Sie die obige Tabelle auf unterstützte Sicherheitskontexttypen.

Im folgenden Beispiel wird New-AzEventHubThrottlingPolicyConfig verwendet, um zwei Richtlinien zu erstellen, die der Anwendung zugeordnet werden.

• Erste Bandbreiteneinschränkungsrichtlinie für die Incoming bytes-Metrik mit 12345 als Schwellenwert.
• Zweite Bandbreiteneinschränkungsrichtlinie für die Incoming messages-Metrik mit 23416 als Schwellenwert.

Anschließend wird eine Anwendungsgruppe namens myappgroup im Namespace mynamespace in der Azure-Ressourcengruppe myresourcegroup erstellt, indem die Bandbreiteneinschränkungsrichtlinien und die SAS-Richtlinie als Sicherheitskontext angegeben werden.

$policy1 = New-AzEventHubThrottlingPolicyConfig -Name policy1 -MetricId IncomingBytes -RateLimitThreshold 12345

$policy2 = New-AzEventHubThrottlingPolicyConfig -Name policy2 -MetricId IncomingMessages -RateLimitThreshold 23416

New-AzEventHubApplicationGroup -ResourceGroupName myresourcegroup -NamespaceName mynamespace -Name myappgroup 
		-ClientAppGroupIdentifier NamespaceSASKeyName=myauthkey -ThrottlingPolicyConfig $policy1, $policy2

Weitere Informationen zum PowerShell-Befehl finden Sie unter New-AzEventHubApplicationGroup.

ARM-Vorlage

Im folgenden Beispiel wird gezeigt, wie Sie eine Anwendungsgruppe mithilfe einer ARM-Vorlage erstellen. In diesem Beispiel wird die Anwendungsgruppe einem vorhandenen SAS-Richtliniennamen contososaspolicy zugeordnet, indem Sie den Client AppGroupIdentifier als NamespaceSASKeyName=contososaspolicy festlegen. Die Anwendungsgruppenrichtlinien werden ebenfalls in der ARM-Vorlage definiert. Sie müssen ClientAppGroupIdentifier basierend auf dem gewählten Sicherheitskontexttyp festlegen. Prüfen Sie die obige Tabelle auf unterstützte Sicherheitskontexttypen.

{
	"type": "ApplicationGroups",
	"apiVersion": "2022-01-01-preview",
	"name": "[parameters('applicationGroupName')]",
	"dependsOn": [
		"[resourceId('Microsoft.EventHub/namespaces/', parameters('eventHubNamespaceName'))]",
		"[resourceId('Microsoft.EventHub/namespaces/authorizationRules', parameters('eventHubNamespaceName'),parameters('namespaceAuthorizationRuleName'))]"
	],
	"properties": {
		"ClientAppGroupIdentifier": "NamespaceSASKeyName=contososaspolicy",
		"policies": [{
				"Type": "ThrottlingPolicy",
				"Name": "ThrottlingPolicy1",
				"metricId": "IncomingMessages",
				"rateLimitThreshold": 10
			},
			{
				"Type": "ThrottlingPolicy",
				"Name": "ThrottlingPolicy2",
				"metricId": "IncomingBytes",
				"rateLimitThreshold": 3951729
			}
		],
		"isEnabled": true
	}
}

Aktivieren oder Deaktivieren einer Anwendungsgruppe

Sie können verhindern, dass Clientanwendungen auf Ihren Event Hubs-Namespace zugreifen, indem Sie die Anwendungsgruppe deaktivieren, die diese Anwendungen enthält. Wenn die Anwendungsgruppe deaktiviert wird, können Clientanwendungen keine Daten veröffentlichen oder nutzen. Alle hergestellten Verbindungen von Clientanwendungen dieser Anwendungsgruppe werden ebenfalls beendet.

In diesem Abschnitt wird gezeigt, wie Sie eine Anwendungsgruppe mithilfe des Azure-Portals, mit PowerShell, mit der CLI oder mit einer ARM-Vorlage aktivieren oder deaktivieren.

Azure portal

1. Wählen Sie auf der Seite Event Hubs-Namespace im linken Menü die Option Anwendungsgruppen aus.

2. Wählen Sie die Anwendungsgruppe aus, die Sie aktivieren oder deaktivieren möchten.

   

3. Deaktivieren Sie auf der Seite Anwendungsgruppe bearbeiten das Kontrollkästchen neben Aktiviert, um eine Anwendungsgruppe zu deaktivieren, und wählen Sie dann unten auf der Seite Aktualisieren aus. Aktivieren Sie analog dazu das Kontrollkästchen, um eine Anwendungsgruppe zu aktivieren.

   

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az eventhubs namespace application-group update, wobei --is-enabled auf false festgelegt ist, um eine Anwendungsgruppe zu deaktivieren. Um eine Anwendungsgruppe analog dazu zu aktivieren, legen Sie diese Eigenschaft auf true fest und führen den Befehl aus.

Der folgende Beispielbefehl deaktiviert die Anwendungsgruppe namens myappgroup im Event Hubs-Namespace mynamespace, der sich in der Ressourcengruppe myresourcegroup befindet.

az eventhubs namespace application-group update --namespace-name mynamespace -g myresourcegroup --name myappgroup --is-enabled false

Azure PowerShell

Verwenden Sie den Befehl Set-AzEventHubApplicationGroup, wobei -IsEnabled auf false festgelegt ist, um eine Anwendungsgruppe zu deaktivieren. Um eine Anwendungsgruppe analog dazu zu aktivieren, legen Sie diese Eigenschaft auf true fest und führen den Befehl aus.

Der folgende Beispielbefehl deaktiviert die Anwendungsgruppe namens myappgroup im Event Hubs-Namespace mynamespace, der sich in der Ressourcengruppe myresourcegroup befindet.

Set-AzEventHubApplicationGroup -ResourceGroupName myresourcegroup -NamespaceName mynamespace -Name myappgroup -IsEnabled false

ARM-Vorlage

Die folgende ARM-Vorlage zeigt, wie ein vorhandener Namespace (contosonamespace) aktualisiert wird, um eine Anwendungsgruppe zu deaktivieren, indem die isEnabled-Eigenschaft auf false festgelegt wird. Der Bezeichner für die App-Gruppe ist SASKeyName=RootManageSharedAccessKey.

Hinweis

Im folgenden Beispiel werden auch zwei Bandbreiteneinschränkungsrichtlinien hinzugefügt.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "namespace_name": {
      "defaultValue": "contosonamespace",
      "type": "String"
    },
    "client-app-group-identifier": {
      "defaultValue": "SASKeyName=RootManageSharedAccessKey",
      "type": "String"
    }
  },
  "resources": [
    {
      "type": "Microsoft.EventHub/namespaces/applicationGroups",
      "apiVersion": "2022-01-01-preview",
      "name": "[concat(parameters('namespace_name'), '/contosoappgroup')]",
      "properties": {
        "clientAppGroupIdentifier": "[parameters('client-app-group-identifier')]",
        "isEnabled": false,
		"policies": [
			{
				"type": "ThrottlingPolicy",
				"name": "incomingmsgspolicy",
				"metricId": "IncomingMessages",
				"rateLimitThreshold": 10000
			},
			{
				"type": "ThrottlingPolicy",
				"name": "incomingbytespolicy",
				"metricId": "IncomingBytes",
				"rateLimitThreshold": 20000
			}
		]
      }
    }
  ]
}

Anwenden von Einschränkungsrichtlinien

Sie können beim Erstellen einer Anwendungsgruppe oder einer vorhandenen Anwendungsgruppe null oder mehr Richtlinien hinzufügen. Sie können contosoAppGroup beispielsweise Einschränkungsrichtlinien im Zusammenhang mit IncomingMessages, IncomingBytes oder OutgoingBytes hinzufügen. Diese Richtlinien werden auf Ereignisstreamingworkloads von Clientanwendungen angewendet, die die SAS-Richtlinie contososaspolicy verwenden.

Informationen zum Hinzufügen von Richtlinien beim Erstellen einer Anwendungsgruppe finden Sie im Abschnitt Erstellen einer Anwendungsgruppe.

Sie können auch Richtlinien hinzufügen, nachdem eine Anwendungsgruppe erstellt wurde.

Azure portal

1. Wählen Sie auf der Seite Event Hubs-Namespace im linken Menü die Option Anwendungsgruppen aus.

2. Wählen Sie die Anwendungsgruppe aus, für die eine Richtlinie hinzugefügt, aktualisiert oder gelöscht werden soll.

   

3. Auf der Seite Anwendungsgruppe bearbeiten können Sie die folgenden Schritte ausführen:

   1. Aktualisieren von Einstellungen (einschließlich Schwellenwerten) für vorhandene Richtlinien
   2. Hinzufügen einer neuen Richtlinie

Azure-Befehlszeilenschnittstelle

Verwenden von az eventhubs namespace application-group policy add zum Hinzufügen einer Richtlinie zu einer vorhandenen Anwendungsgruppe.

Beispiel:

az eventhubs namespace application-group policy add --namespace-name mynamespace -g MyResourceGroup --name myAppGroup --throttling-policy-config name=policy1 metric-id=OutgoingMessages rate-limit-threshold=10500 --throttling-policy-config name=policy2 metric-id=IncomingBytes rate-limit-threshold=20000

Azure PowerShell

Verwenden Sie den Befehl Set-AzEventHubApplicationGroup, wobei -ThrottingPolicyConfig auf die zutreffenden Werte festgelegt ist.

Beispiel:

$policyToBeAppended = New-AzEventHubThrottlingPolicyConfig -Name policy1 -MetricId IncomingBytes -RateLimitThreshold 12345

$appGroup = Get-AzEventHubApplicationGroup -ResourceGroupName myresourcegroup -NamespaceName mynamespace -Name myappgroup

$appGroup.ThrottlingPolicyConfig += $policyToBeAppended

Set-AzEventHubApplicationGroup -ResourceGroupName myresourcegroup -NamespaceName mynamespace -Name myappgroup -ThrottlingPolicyConfig $appGroup.ThrottlingPolicyConfig

ARM-Vorlage

Die folgende ARM-Vorlage zeigt, wie ein vorhandener Namespace (contosonamespace) aktualisiert wird, um Bandbreiteneinschränkungsrichtlinien hinzuzufügen. Der Bezeichner für die App-Gruppe ist NamespaceSASKeyName=RootManageSharedAccessKey.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "namespace_name": {
      "defaultValue": "contosonamespace",
      "type": "String"
    },
    "client-app-group-identifier": {
      "defaultValue": "NamespaceSASKeyName=RootManageSharedAccessKey",
      "type": "String"
    }
  },
  "resources": [
    {
      "type": "Microsoft.EventHub/namespaces/applicationGroups",
      "apiVersion": "2022-01-01-preview",
      "name": "[concat(parameters('namespace_name'), '/contosoappgroup')]",
      "properties": {
        "clientAppGroupIdentifier": "[parameters('client-app-group-identifier')]",
        "isEnabled": true,
		"policies": [
			{
				"type": "ThrottlingPolicy",
				"name": "incomingmsgspolicy",
				"metricId": "IncomingMessages",
				"rateLimitThreshold": 10000
			},
			{
				"type": "ThrottlingPolicy",
				"name": "incomingbytespolicy",
				"metricId": "IncomingBytes",
				"rateLimitThreshold": 20000
			}
		]
      }
    }
  ]
}

Festlegen des Schwellenwerts für die Drosselungsrichtlinien

Azure Event Hubs unterstützt Protokolle von Anwendungsmetriken, um den üblichen Durchsatz in Ihrem System zu beobachten und dementsprechend über den Schwellenwert für die Anwendungsgruppe zu entscheiden. Sie können die folgenden Schritte ausführen, um einen Schwellenwert zu bestimmen:

1. Aktivieren Sie in Event Hubs Diagnoseeinstellungen mit Anwendungsmetrikprotokolle als ausgewählte Kategorie, und wählen Sie Protokollanalyse als Ziel.

2. Erstellen Sie eine leere Anwendungsgruppe ohne Drosselungsrichtlinie.

3. Senden Sie Nachrichten/Ereignisse weiterhin mit dem üblichen Durchsatz an Event Hub.

4. Wechseln Sie zum Log Analytics-Arbeitsbereich, und fragen Sie in der Tabelle AzureDiagnostics den passenden Aktivitätsnamen (basierend auf [resource-governance-overview.md#throttling-policy---threshold-limits]) ab. Die folgende Beispielabfrage dient zum Nachverfolgen des Schwellenwerts für eingehende Nachrichten:

   AzureDiagnostics 
       | where ActivityName_s =="IncomingMessages" 
       | where Outcome_s =="Success"      
   

5. Wählen Sie im Log Analytics-Arbeitsbereich den Abschnitt Diagramm aus und zeichnen Sie ein Diagramm zwischen der auf der Y-Achse generierten Zeit und der Anzahl der gesendeten Nachrichten auf der X-Achse.

   

   In diesem Beispiel sehen Sie, dass der übliche Durchsatz nie mehr als 550 Nachrichten überschritten hat (erwarteter aktueller Durchsatz). Diese Beobachtung hilft Ihnen, den tatsächlichen Schwellenwert zu definieren.

6. Nachdem Sie den Schwellenwert festgelegt haben, fügen Sie innerhalb der Anwendungsgruppe eine neue Drosselungsrichtlinie hinzu.

Veröffentlichen oder Nutzen von Ereignissen

Nachdem Sie erfolgreich Einschränkungsrichtlinien zur Anwendungsgruppe hinzugefügt haben, können Sie das Drosselungsverhalten testen, indem Sie Ereignisse mithilfe von Clientanwendungen veröffentlichen oder nutzen, die Teil der Anwendungsgruppe contosoAppGroup sind. Zum Testen können Sie entweder einen AMQP-Client oder eine Kafka-Clientanwendung und denselben SAS-Richtliniennamen oder dieselbe Azure AD-Anwendungs-ID verwenden, die zum Erstellen der Anwendungsgruppe verwendet wird.

Hinweis

Wenn Ihre Clientanwendungen gedrosselt werden, stellen Sie wahrscheinlich fest, dass die Veröffentlichung oder Nutzung von Daten langsamer ist.

Überprüfen der Drosselung mit Anwendungsgruppen

Ähnlich wie unter Festlegen des Schwellenwerts für die Drosselungsrichtlinien können Sie Anwendungsmetrikprotokolle verwenden, um die Drosselung zu prüfen und weitere Details zu erfahren.

Sie können mit der folgenden Beispielabfrage alle gedrosselten Anforderungen in einem bestimmten Zeitrahmen ermitteln. Sie müssen ActivityName so aktualisieren, dass er dem Vorgang entspricht, von dem Sie erwarten, dass er gedrosselt wird.

  AzureDiagnostics 
  |  where Category =="ApplicationMetricsLogs"
  | where ActivityName_s =="IncomingMessages" 
  | where Outcome_s =="Throttled"  
	

Aufgrund von Einschränkungen auf Protokollebene werden für Consumervorgänge innerhalb von Event Hub (OutgoingMessages oder OutgoingBytes) keine Protokolle gedrosselter Anforderungen generiert. Wenn Anforderungen auf Consumerseite gedrosselt werden, sollten Sie einen langsamen ausgehenden Durchsatz feststellen.

Nächste Schritte

• Konzeptionelle Informationen zu Anwendungsgruppen finden Sie unter Ressourcengovernance mit Anwendungsgruppen.
• Siehe Azure PowerShell-Referenz für Event Hubs
• Siehe Azure CLI-Referenz für Event Hubs