Connettere i processi di Analisi di flusso alle risorse in un Rete virtuale di Azure (rete virtuale)
I processi di Analisi di flusso rendono connessioni in uscita alle risorse di input e output di Azure per elaborare i dati in tempo reale e produrre risultati. Queste risorse di input e output , ad esempio Hub eventi di Azure e database Azure SQL, potrebbero essere dietro un firewall di Azure o in un Rete virtuale di Azure (rete virtuale). Il servizio Analisi di flusso opera da reti che non possono essere incluse direttamente nelle regole di rete.
Esistono tuttavia diversi modi per connettere in modo sicuro i processi di Analisi di flusso alle risorse di input e output in tali scenari.
- Eseguire il processo di Analisi di flusso di Azure in un Rete virtuale di Azure (anteprima pubblica)
- Usare endpoint privati nei cluster di Analisi di flusso.
- Usare la modalità di autenticazione dell'identità gestita associata all'impostazione di rete "Consenti servizi attendibili".
Il processo di Analisi di flusso non accetta alcuna connessione in ingresso.
Eseguire il processo di Analisi di flusso di Azure in un Rete virtuale di Azure (anteprima pubblica)
Il supporto della rete virtuale consente di bloccare l'accesso ad Analisi di flusso di Azure all'infrastruttura di rete virtuale. Questa funzionalità offre i vantaggi dell'isolamento della rete e può essere eseguita tramite la distribuzione di un'istanza in contenitori del processo ASA all'interno del Rete virtuale. Il processo asA inserito nella rete virtuale può quindi accedere privatamente alle risorse all'interno della rete virtuale tramite:
- Endpoint privati, che connettono il processo ASA inserito nella rete virtuale alle origini dati tramite collegamenti privati basati su collegamento privato di Azure.
- Endpoint di servizio, che connettono le origini dati al processo ASA inserito nella rete virtuale.
- Tag di servizio, che consentono o negano il traffico ad Analisi di flusso di Azure.
Attualmente l'integrazione della rete virtuale è disponibile solo nelle aree selezionate. Visitare questa pagina per l'elenco più recente delle aree abilitate per la rete virtuale e come richiederlo nell'area.
Endpoint privati nei cluster di Analisi di flusso.
I cluster di Analisi di flusso sono un singolo cluster di calcolo dedicato al tenant in cui è possibile eseguire i processi di Analisi di flusso. È possibile creare endpoint privati gestiti nel cluster analisi di flusso, che consente a tutti i processi in esecuzione nel cluster di creare una connessione in uscita sicura alle risorse di input e output.
La creazione di endpoint privati nel cluster di Analisi di flusso è un'operazione in due passaggi. Questa opzione è più adatta per carichi di lavoro di streaming di medie e grandi dimensioni, in quanto le dimensioni minime di un cluster di Analisi di flusso sono 12 SU V2 o 36 SU V1 (le unità ssd possono essere condivise da processi diversi in diverse sottoscrizioni o ambienti come sviluppo, test e produzione). Per altre informazioni, vedere Cluster di Analisi di flusso di Azure .
Autenticazione dell'identità gestita con configurazione "Consenti servizi attendibili"
Alcuni servizi di Azure forniscono l'impostazione Consenti rete di servizi Microsoft attendibili , che, quando abilitata, consente ai processi di Analisi di flusso di connettersi in modo sicuro alla risorsa usando l'autenticazione avanzata. Questa opzione consente di connettere i processi alle risorse di input e output senza richiedere un cluster di Analisi di flusso e endpoint privati. La configurazione del processo per l'uso di questa tecnica è un'operazione in 2 passaggi:
- Usare la modalità di autenticazione dell'identità gestita durante la configurazione dell'input o dell'output nel processo di Analisi di flusso.
- Concedere l'accesso esplicito ai processi di Analisi di flusso specifici alle risorse di destinazione assegnando un ruolo di Azure all'identità gestita assegnata dal sistema del processo.
L'abilitazione dei servizi Microsoft attendibili non concede l'accesso coperto a alcun processo. Ciò consente di controllare completamente i processi di Analisi di flusso specifici che possono accedere in modo sicuro alle risorse.
I processi possono connettersi ai seguenti servizi di Azure usando questa tecnica:
- Archiviazione BLOB o Azure Data Lake Storage Gen2: può essere l'account di archiviazione del processo, l'input di streaming o l'output.
- Hub eventi di Azure: può essere l'input o l'output del processo.
Se i processi devono connettersi ad altri tipi di input o di output, è possibile scrivere da Analisi di flusso all'output di Hub eventi prima e quindi a qualsiasi destinazione preferita usando Funzioni di Azure. Se si vuole scrivere direttamente da Analisi di flusso ad altri tipi di output protetti in una rete virtuale o in un firewall, l'unica opzione consiste nell'usare endpoint privati nei cluster di Analisi di flusso.