Share via

Uw Azure Stream Analytics-taak uitvoeren in een Azure Virtual Network (openbare preview)

  • Artikel

In dit artikel wordt beschreven hoe u uw Azure Stream Analytics-taak (ASA) uitvoert in een virtueel Azure-netwerk.

Overzicht

Met ondersteuning voor virtueel netwerk (VNet) kunt u de toegang tot Azure Stream Analytics tot uw virtuele netwerkinfrastructuur vergrendelen. Deze mogelijkheid biedt u de voordelen van netwerkisolatie en kan worden bereikt door een containerinstantie van uw ASA-taak in uw Virtual Network te implementeren. Uw in VNet opgenomen ASA-taak kan vervolgens privétoegang krijgen tot uw resources in het virtuele netwerk via:

  • Privé-eindpunten, die uw in VNet opgenomen ASA-taak verbinden met uw gegevensbronnen via privékoppelingen die mogelijk worden gemaakt door Azure Private Link.
  • Service-eindpunten, die uw gegevensbronnen verbinden met uw in VNet opgenomen ASA-taak.
  • Servicetags, waarmee verkeer naar Azure Stream Analytics wordt toegestaan of geweigerd.

Beschikbaarheid

Deze mogelijkheid is momenteel alleen beschikbaar in bepaalde regio's: VS - west, Canada - centraal, VS - oost, VS - oost 2, VS - centraal, Europa - west en Europa - noord. Als u VNet-integratie in uw regio wilt inschakelen, vult u dit formulier in.

Vereisten voor ondersteuning voor VNet-integratie

  • Een algemeen V2-opslagaccount (GPV2) is vereist voor in VNET opgenomen ASA-taken.

    • In VNet geïnjecteerde ASA-taken vereisen toegang tot metagegevens, zoals controlepunten, die voor operationele doeleinden moeten worden opgeslagen in Azure-tabellen.

    • Als u al een GPV2-account hebt ingericht met uw ASA-taak, zijn er geen extra stappen vereist.

    • Gebruikers met taken met een hogere schaal met Premium-opslag moeten nog steeds een GPV2-opslagaccount opgeven.

    • Als u opslagaccounts wilt beveiligen tegen openbare IP-toegang, kunt u overwegen deze ook te configureren met behulp van beheerde identiteit en vertrouwde services.

      Zie Overzicht van opslagaccounts en Een opslagaccount maken voor meer informatie over opslagaccounts.

  • Een bestaande Azure-Virtual Network of maak er een.

    Belangrijk

    In ASA opgenomen VNET-taken maken gebruik van een interne containerinjectietechnologie die wordt geleverd door Azure-netwerken. Op dit moment raadt Azure Networking aan dat alle klanten Azure NAT Gateway instellen voor beveiliging en betrouwbaarheid.

    Azure NAT Gateway is een volledig beheerde en zeer tolerante NAT-service (Network Address Translation). Azure NAT Gateway vereenvoudigt uitgaande internetverbinding voor virtuele netwerken. Wanneer deze is geconfigureerd in een subnet, maakt alle uitgaande connectiviteit gebruik van de statische openbare IP-adressen van de NAT-gateway.

    Diagram met de architectuur van het virtuele netwerk.

    Zie Azure NAT Gateway voor meer informatie over de installatie en prijzen.

Subnetvereisten

Integratie van virtuele netwerken is afhankelijk van een toegewezen subnet. Wanneer u een subnet maakt, verbruikt het Azure-subnet vanaf het begin vijf IP-adressen.

U moet rekening houden met het IP-bereik dat is gekoppeld aan uw gedelegeerde subnet als u nadenkt over toekomstige behoeften die nodig zijn om uw ASA-workload te ondersteunen. Omdat de grootte van het subnet niet kan worden gewijzigd na de toewijzing, gebruikt u een subnet dat groot genoeg is voor de schaal die uw taak(en) mogelijk bereiken.

De schaalbewerking is van invloed op de werkelijke, beschikbare ondersteunde exemplaren voor een bepaalde subnetgrootte.

Overwegingen voor het schatten van IP-bereiken

  • Zorg ervoor dat het subnetbereik niet botst met het subnetbereik van ASA. Vermijd IP-bereik 10.0.0.0 tot 10.0.255.255 omdat dit wordt gebruikt door ASA.
  • Reserve:
    • 5 IP-adressen voor Azure-netwerken
    • 1 IP-adres is vereist voor functies zoals voorbeeldgegevens, testverbinding en detectie van metagegevens voor taken die zijn gekoppeld aan dit subnet.
    • Er zijn 2 IP-adressen vereist voor elke 6 SU of 1 SU V2 (de V2-prijsstructuur van ASA wordt op 1 juli 2023 gelanceerd, zie hier voor meer informatie)

Wanneer u VNET-integratie met uw Azure Stream Analytics-taak aangeeft, delegeert Azure Portal het subnet automatisch aan de ASA-service. Azure Portal de verwijdering van het subnet ongedaan maken in de volgende scenario's:

  • U laat ons weten dat VNET-integratie niet langer nodig is voor de laatste taak die is gekoppeld aan het opgegeven subnet via de ASA-portal (zie de sectie 'Procedure').
  • U verwijdert de laatste taak die is gekoppeld aan het opgegeven subnet.

Laatste taak

Verschillende ASA-taken kunnen gebruikmaken van hetzelfde subnet. De laatste taak hier verwijst naar geen andere taken die gebruikmaken van het opgegeven subnet. Wanneer de laatste taak is verwijderd door gekoppeld, wordt het subnet door Azure Stream Analytics vrijgegeven als een resource, die is gedelegeerd aan ASA als een service. Het kan enkele minuten duren voordat deze actie is voltooid.

VNET-integratie instellen

Azure Portal

  1. Ga in de Azure Portal naar Netwerken in de menubalk en selecteer Deze taak uitvoeren in virtueel netwerk. Deze stap informeert ons dat uw taak moet werken met een VNET:

  2. Configureer de instellingen zoals gevraagd en selecteer Opslaan.

    Schermopname van de pagina Netwerken voor een Stream Analytics-taak.

VS-code

  1. Verwijst in Visual Studio Code naar het subnet binnen uw ASA-taak. Deze stap vertelt uw taak dat deze moet werken met een subnet.

  2. Stel in de JobConfig.jsonuw VirtualNetworkConfiguration in, zoals wordt weergegeven in de volgende afbeelding.

    Schermopname van de voorbeeldconfiguratie van het virtuele netwerk.

Een gekoppeld opslagaccount instellen

  1. Selecteer op de pagina Stream Analytics-taakde optie Opslagaccountinstellingen onder Configureren in het menu links.

  2. Selecteer op de pagina Opslagaccountinstellingende optie Opslagaccount toevoegen.

  3. Volg de instructies voor het configureren van uw opslagaccountinstellingen.

    Schermopname van de pagina Opslagaccountinstellingen van een Stream Analytics-taak.

Belangrijk

  • Als u wilt verifiëren met connection string, moet u de firewallinstellingen van het opslagaccount uitschakelen.
  • Als u wilt verifiëren met beheerde identiteit, moet u uw Stream Analytics-taak toevoegen aan de toegangsbeheerlijst van het opslagaccount voor de rol Inzender voor opslagblobgegevens en de rol Inzender voor opslagtabelgegevens. Als u uw taak geen toegang geeft, kan de taak geen bewerkingen uitvoeren. Zie Azure RBAC gebruiken om toegang tot een beheerde identiteit toe te wijzen aan een andere resource voor meer informatie over het verlenen van toegang.

Machtigingen

U moet ten minste de volgende machtigingen voor op rollen gebaseerd toegangsbeheer hebben op het subnet of op een hoger niveau om de integratie van virtuele netwerken te configureren via Azure Portal, CLI of wanneer u de site-eigenschap virtualNetworkSubnetId rechtstreeks instelt:

Actie Beschrijving
Microsoft.Network/virtualNetworks/read De definitie van het virtuele netwerk lezen
Microsoft.Network/virtualNetworks/subnets/read Een subnetdefinitie van een virtueel netwerk lezen
Microsoft.Network/virtualNetworks/subnets/join/action Hiermee wordt lid van een virtueel netwerk
Microsoft.Network/virtualNetworks/subnets/write Optioneel. Vereist als u subnetdelegering moet uitvoeren

Als het virtuele netwerk zich in een ander abonnement bevindt dan uw ASA-taak, moet u ervoor zorgen dat het abonnement bij het virtuele netwerk is geregistreerd voor de Microsoft.StreamAnalytics resourceprovider. U kunt de provider expliciet registreren door deze documentatie te volgen, maar deze wordt automatisch geregistreerd bij het maken van de taak in een abonnement.

Beperkingen

  • VNET-taken vereisen minimaal 1 SU V2 (nieuw prijsmodel) of 6 SU's (huidig)
  • Zorg ervoor dat het subnetbereik niet botst met het ASA-subnetbereik (gebruik dus geen subnetbereik 10.0.0.0/16).
  • ASA-taken en het virtuele netwerk moeten zich in dezelfde regio bevinden.
  • Het gedelegeerde subnet kan alleen worden gebruikt door Azure Stream Analytics.
  • U kunt een virtueel netwerk niet verwijderen wanneer het is geïntegreerd met ASA. U moet de laatste taak* op het gedelegeerde subnet loskoppelen of verwijderen.
  • Dns-vernieuwingen worden momenteel niet ondersteund. Als DNS-configuraties van uw VNET worden gewijzigd, moet u alle ASA-taken in dat VNET opnieuw implementeren (subnetten moeten ook worden losgekoppeld van alle taken en opnieuw worden geconfigureerd). Zie Naamomzetting voor resources in virtuele Azure-netwerken voor meer informatie.

Toegang tot on-premises resources

Er is geen extra configuratie vereist voor de integratiefunctie van het virtuele netwerk via uw virtuele netwerk naar on-premises resources. U hoeft alleen uw virtuele netwerk te verbinden met on-premises resources met behulp van ExpressRoute of een site-naar-site-VPN.

Prijsdetails

Buiten de basisvereisten die in dit document worden vermeld, worden voor de integratie van virtuele netwerken geen extra kosten in rekening gebracht voor gebruik buiten de azure Stream Analytics-kosten.

Problemen oplossen

De functie is eenvoudig in te stellen, maar dat betekent niet dat uw ervaring probleemloos is. Als u problemen ondervindt bij het openen van het gewenste eindpunt, neemt u contact op met Microsoft Ondersteuning.

Notitie

Neem voor directe feedback over deze mogelijkheid contact op met askasa@microsoft.com.