إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توضح هذه المقالة كيفية توصيل وظيفة Azure Stream Analytics مباشرة ب confluent cloud kafka كإدخال.
المتطلبات الأساسية
- لديك مجموعة kafka سحابة confluent.
- لديك ملف مفتاح API لمجموعة kafka التي تحتوي على مفتاح API لاستخدامه كاسم مستخدم، وواجهة برمجة التطبيقات السرية لاستخدامها ككلمة مرور وعنوان خادم Bootstrap.
- لديك وظيفة Azure Stream Analytics. يمكنك إنشاء وظيفة Azure Stream Analytics باتباع الوثائق: التشغيل السريع: إنشاء وظيفة Stream Analytics باستخدام مدخل Microsoft Azure
- يجب أن يكون نظام مجموعة kafka السحابية المتقاء الخاص بك متاحا للجمهور وليس خلف جدار حماية أو مؤمن في شبكة ظاهرية.
- يجب أن يكون نوع الطابع الزمني لموضوع مجموعة kafka السحابية confluent هو LogAppendTime. الإعداد الافتراضي لموضوع confluent cloud kafka هو CreateTime.
- يجب أن يكون لديك مخزن مفاتيح موجود. يمكنك إنشاء مورد key vault باتباع الوثائق Quickstart: إنشاء مخزن مفاتيح باستخدام مدخل Microsoft Azure
تكوين Azure Stream Analytics لاستخدام الهوية المدارة
يتطلب منك Azure Stream Analytics تكوين الهوية المدارة للوصول إلى key vault. يمكنك تكوين مهمة تحليلات الدفق لاستخدام الهوية المدارة عن طريق الانتقال إلى علامة التبويب Managed Identity على الجانب الأيسر ضمن Configure.
- قم بالنقر فوق علامة تبويب الهوية المدارة ضمن تكوين.
- حدد "Switch Identity" وحدد الهوية التي يجب استخدامها مع الوظيفة: الهوية المعينة من قبل النظام أو الهوية المعينة من قبل المستخدم.
- بالنسبة للهوية المعينة من قبل المستخدم، حدد الاشتراك حيث توجد الهوية المعينة من قبل المستخدم وحدد اسم هويتك.
- المراجعة والحفظ.
تنزيل الشهادة من LetsEncrypt
تحليلات دفق Azure هي عميل يستند إلى librdkafka، وللاتصال بالسحابة confluent، تحتاج إلى شهادات TLS التي تستخدم سحابة confluent لمصادقة الخادم. تستخدم سحابة Confluent شهادات TLS من Let's Encrypt، وهي مرجع مصدق مفتوح (CA).
قم بتنزيل شهادة ISRG Root X1 بتنسيق PEM على موقع LetsEncrypt.
تكوين Key vault باستخدام الأذونات
يتكامل Azure Stream Analytics بسلاسة مع Azure Key vault للوصول إلى الأسرار المخزنة اللازمة للمصادقة والتشفير. تتصل مهمة Azure Stream Analytics ب Azure Key vault باستخدام الهوية المدارة لضمان اتصال آمن وتجنب تسرب البيانات السرية. لاستخدام الشهادة التي قمت بتنزيلها، يجب عليك تحميلها إلى key vault أولا.
لتحميل الشهادات، يجب أن يكون لديك حق الوصول "مسؤول Key Vault" إلى Key vault الخاص بك. اتبع ما يلي لمنح وصول المسؤول:
إشعار
يجب أن يكون لديك أذونات "المالك" لمنح أذونات مخزن المفاتيح الأخرى.
في key vault، حدد Access control (IAM).
يرجى النقر فوق "إضافة" >"إضافة تعيين دور" لفتح صفحة إضافة تعيين الدور.
تعيين الدور باستخدام التكوين التالي:
| الإعداد | القيمة |
|---|---|
| الدور | مسؤول Key Vault |
| تعيين الوصول إلى | المستخدم، والمجموعة، والخدمة الرئيسية |
| الأعضاء | <معلومات حسابك أو بريدك الإلكتروني> |
تحميل الشهادة إلى Key vault كبيانات سرية عبر Azure CLI
هام
يجب أن يكون لديك حق الوصول إلى أذونات "مسؤول Key Vault" إلى Key vault لكي يعمل هذا الأمر بشكل صحيح يجب تحميل الشهادة كبيانات سرية. يجب استخدام Azure CLI لتحميل الشهادات كأسرار إلى مخزن المفاتيح الخاص بك. ستفشل مهمة Azure Stream Analytics عند انتهاء صلاحية الشهادة المستخدمة للمصادقة. لحل هذه المشكلة، يجب تحديث/استبدال الشهادة في مخزن المفاتيح وإعادة تشغيل وظيفة Azure Stream Analytics.
تأكد من تكوين Azure CLI وتثبيته محليا باستخدام PowerShell. يمكنك زيارة هذه الصفحة للحصول على إرشادات حول إعداد Azure CLI: بدء استخدام Azure CLI
تسجيل الدخول إلى Azure CLI:
az login
اتصل باشتراكك الذي يحتوي على خزنة المفاتيح الخاصة بك:
az account set --subscription <subscription name>
على سبيل المثال:
az account set --subscription mymicrosoftsubscription
يمكن للأمر التالي تحميل الشهادة كبيانات سرية إلى مخزن المفاتيح الخاص بك:
<your key vault> هو اسم key vault الذي تريد تحميل الشهادة إليه. <name of the secret> هو أي اسم تريد أن تعطيه إلى سرك وكيف يظهر في مخزن المفاتيح. <file path to certificate> هو المسار إلى مكان الشهادة التي توجد بها شهادتك. يمكنك النقر بزر الماوس الأيمن ونسخ المسار إلى الشهادة.
az keyvault secret set --vault-name <your key vault> --name <name of the secret> --file <file path to certificate>
على سبيل المثال:
az keyvault secret set --vault-name mykeyvault --name confluentsecret --file C:\Users\Downloads\isrgrootx1.pem
منح أذونات وظيفة Stream Analytics للوصول إلى الشهادة في مخزن المفاتيح
لكي تقرأ وظيفة Azure Stream Analytics السر في خزنة المفاتيح الخاصة بك، يجب أن يكون للمهمة إذن للوصول إلى مخزن المفاتيح. استخدم الخطوات التالية لمنح أذونات خاصة لمهمة تحليلات الدفق:
في key vault، حدد Access control (IAM).
يرجى النقر فوق "إضافة" >"إضافة تعيين دور" لفتح صفحة إضافة تعيين الدور.
تعيين الدور باستخدام التكوين التالي:
| الإعداد | القيمة |
|---|---|
| الدور | مستخدم أسرار Key vault |
| الهوية المُدارة | وظيفة Stream Analytics للهوية المدارة المعينة من قبل النظام أو الهوية المدارة المعينة من قبل المستخدم |
| الأعضاء | <اسم وظيفة> Stream Analytics أو <اسم الهوية المعينة من قبل المستخدم> |
تكوين إدخال kafka في وظيفة تحليلات الدفق
هام
لتكوين نظام مجموعة Kafka كمدخل، يجب أن يكون نوع الطابع الزمني لموضوع الإدخال LogAppendTime. نوع الطابع الزمني الوحيد الذي يدعمه Azure Stream Analytics هو LogAppendTime. يدعم Azure Stream Analytics التنسيق العشري الرقمي فقط.
في وظيفة تحليلات الدفق، حدد Inputs ضمن Job Topology
حدد Add input>Kafka لفتح جزء تكوين إدخال Kafka New.
استخدم التكوين التالي:
إشعار
بالنسبة SASL_SSL SASL_PLAINTEXT، يدعم Azure Stream Analytics آلية PLAIN SASL فقط.
| اسم الخاصية | الوصف |
|---|---|
| الاسم المستعار للإدخال | اسم مألوف يستخدم في الاستعلامات للإشارة إلى إدخالك |
| عناوين خادم Bootstrap | قائمة بأزواج المضيف/المنفذ لإنشاء الاتصال بمجموعة kafka السحابية confluent. مثال: pkc-56d1g.eastus.azure.confluent.cloud:9092 |
| موضوع Kafka | اسم موضوع kafka الخاص بك في مجموعة confluent cloud kafka. |
| بروتوكول الأمان | حدد SASL_SSL. الآلية المدعومة هي PLAIN. |
| معرف مجموعة المستهلكين | اسم مجموعة مستهلكين Kafka التي يجب أن يكون الإدخال جزءا منها. سيتم تعيينه تلقائيا إذا لم يتم توفيره. |
| تنسيق تسلسل الأحداث | تنسيق التسلسل (JSON وCSV وAvro وParquet وProtobuf) لتدفق البيانات الواردة. |
هام
يدعم Confluent Cloud المصادقة باستخدام مفاتيح API أو OAuth أو SAML تسجيل الدخول الأحادي (SSO). لا يدعم Azure Stream Analytics المصادقة باستخدام تسجيل الدخول الأحادي OAuth أو SAML. يمكنك الاتصال بالسحابة المتقاء باستخدام مفتاح API الذي لديه وصول على مستوى الموضوع عبر بروتوكول أمان SASL_SSL. للمصادقة على confluent cloud، ستحتاج إلى استخدام SASL_SSL وتكوين وظيفتك للمصادقة على التقاء السحابة باستخدام مفتاح API الخاص بك.
استخدم التكوين التالي:
| الإعداد | القيمة |
|---|---|
| اسم مستخدم | مفتاح واجهة برمجة تطبيقات سحابة متقاء |
| كلمة المرور | سر واجهة برمجة تطبيقات السحابة المتقاء |
| اسم قبو المفتاح | اسم Azure Key vault مع الشهادة التي تم تحميلها |
| شهادات مخزن الثقة | اسم Key Vault Secret الذي يحتوي على شهادة ISRG Root X1 |
حفظ التكوين واختبار الاتصال
احفظ التكوين الخاص بك. تتحقق وظيفة Azure Stream Analytics من صحة استخدام التكوين المقدم. يظهر اتصال ناجح في المدخل إذا كان يمكن لتحليلات الدفق الاتصال بمجموعة kafka الخاصة بك.
القيود
- يجب أن تكون الشهادة التي تم تحميلها إلى key vault بتنسيق PEM.
- يجب أن يكون الحد الأدنى من إصدار kafka هو الإصدار 0.10.
- لا يدعم Azure Stream Analytics المصادقة لتكوين السحابة باستخدام تسجيل الدخول الأحادي (SSO) إلى OAuth أو SAML. يجب استخدام مفتاح API عبر بروتوكول SASL_SSL.
- يجب استخدام Azure CLI لتحميل الشهادة كبيانات سرية إلى key vault. لا يمكنك تحميل شهادات مع أسرار متعددة الأسطر إلى key vault باستخدام مدخل Microsoft Azure.
إشعار
للحصول على مساعدة مباشرة في استخدام إدخال Azure Stream Analytics Kafka، يرجى التواصل مع askasa@microsoft.com.