Sdílet prostřednictvím

Spuštění úlohy Azure Stream Analytics v Azure Virtual Network (Public Preview)

  • Článek

Tento článek popisuje, jak spustit úlohu Azure Stream Analytics (ASA) ve virtuální síti Azure.

Přehled

Podpora virtuální sítě umožňuje uzamknout přístup ke službě Azure Stream Analytics k infrastruktuře virtuální sítě. Tato funkce poskytuje výhody izolace sítě a je možné ji dosáhnout nasazením kontejnerizované instance úlohy ASA do Virtual Network. Vaše úloha ASA vložená do virtuální sítě pak může soukromě přistupovat k prostředkům v rámci virtuální sítě prostřednictvím:

  • Privátní koncové body, které propojují úlohu ASA vloženou do virtuální sítě ke zdrojům dat přes privátní propojení využívající Azure Private Link.
  • Koncové body služby, které propojují vaše zdroje dat s úlohou ASA vloženou do virtuální sítě.
  • Značky služeb, které povolují nebo zakazují provoz do Azure Stream Analytics.

Dostupnost

V současné době je tato funkce dostupná jenom ve vybraných oblastech: USA – západ, Kanada – střed, USA – východ, USA – východ 2, USA – střed, Západní Evropa a Severní Evropa. Pokud chcete povolit integraci virtuální sítě ve vaší oblasti, vyplňte tento formulář.

Požadavky na podporu integrace virtuální sítě

  • Pro úlohy ASA vložené do virtuální sítě se vyžaduje účet úložiště pro obecné účely V2 (GPV2 ).

    • Úlohy ASA vložené do virtuální sítě vyžadují pro provozní účely přístup k metadatům, jako jsou například kontrolní body, uložené v tabulkách Azure.

    • Pokud už máte účet GPV2 zřízený pro úlohu ASA, nemusíte provádět žádné další kroky.

    • Uživatelé s úlohami vyššího škálování se službou Premium Storage musí stále poskytovat účet úložiště GPV2.

    • Pokud chcete chránit účty úložiště před přístupem na základě veřejné IP adresy, zvažte také jejich konfiguraci pomocí spravované identity a důvěryhodných služeb.

      Další informace o účtech úložiště najdete v tématech Přehled účtu úložiště a Vytvoření účtu úložiště.

  • Existující azure Virtual Network nebo vytvořit.

    Důležité

    Úlohy vložené do virtuální sítě ASA používají interní technologii injektáže kontejnerů poskytovanou sítěmi Azure. Sítě Azure v tuto chvíli doporučují, aby všichni zákazníci nastavili službu Azure NAT Gateway z hlediska zabezpečení a spolehlivosti.

    Azure NAT Gateway je plně spravovaná a vysoce odolná služba překladu adres (NAT). Azure NAT Gateway zjednodušuje odchozí připojení k internetu pro virtuální sítě. Při konfiguraci v podsíti všechna odchozí připojení používají statické veřejné IP adresy služby NAT Gateway.

    Diagram znázorňující architekturu virtuální sítě

    Informace o nastavení a cenách najdete v tématu Azure NAT Gateway.

Požadavky na podsíť

Integrace virtuální sítě závisí na vyhrazené podsíti. Když vytvoříte podsíť, spotřebuje podsíť Azure od začátku pět IP adres.

Při zvažování budoucích potřeb potřebných k podpoře úloh ASA musíte vzít v úvahu rozsah IP adres přidružený k delegované podsíti. Vzhledem k tomu, že velikost podsítě se po přiřazení nedá změnit, použijte podsíť, která je dostatečně velká, aby vyhovovala libovolnému rozsahu, kterého by vaše úlohy mohly dosáhnout.

Operace škálování ovlivňuje skutečné dostupné podporované instance pro danou velikost podsítě.

Důležité informace o odhadu rozsahů IP adres

  • Ujistěte se, že rozsah podsítě nekoliduje s rozsahem podsítě ASA. Vyhněte se rozsahu IP adres 10.0.0.0 až 10.0.255,255, protože ho používá ASA.
  • Rezervy:
    • 5 IP adres pro sítě Azure
    • K usnadnění funkcí, jako jsou ukázková data, testovací připojení a zjišťování metadat pro úlohy přidružené k této podsíti, se vyžaduje 1 IP adresa.
    • Pro každou 6 SU nebo 1 SU V2 se vyžadují 2 IP adresy (cenová struktura ASA verze 2 je uvedena na trh 1. července 2023, podrobnosti najdete tady ).

Když určíte integraci virtuální sítě s úlohou Azure Stream Analytics, Azure Portal automaticky deleguje podsíť na službu ASA. Azure Portal zruší podsíť v následujících scénářích:

  • Prostřednictvím portálu ASA nás informujete, že pro poslední úlohu přidruženou k zadané podsíti už není potřeba integrace virtuální sítě (viz část s postupy).
  • Odstraníte poslední úlohu přidruženou k zadané podsíti.

Poslední úloha

Stejnou podsíť může využívat několik úloh ASA. Poslední úloha zde odkazuje na žádné jiné úlohy využívající zadanou podsíť. Po odstranění nebo odebrání poslední úlohy přidruženou službou Azure Stream Analytics uvolní podsíť jako prostředek, který byl delegován do ASA jako služba. Počkejte několik minut, než se tato akce dokončí.

Nastavení integrace virtuální sítě

portál Azure

  1. V Azure Portal na řádku nabídek přejděte na Sítě a vyberte Spustit tuto úlohu ve virtuální síti. Tento krok nás informuje, že vaše úloha musí fungovat s virtuální sítí:

  2. Nakonfigurujte nastavení podle výzvy a vyberte Uložit.

    Snímek obrazovky se stránkou Sítě pro úlohu Stream Analytics

VS Code

  1. V editoru Visual Studio Code odkazujte na podsíť v rámci úlohy ASA. Tento krok řekne vaší úloze, že musí fungovat s podsítí.

  2. V souboru JobConfig.jsonnastavte, VirtualNetworkConfiguration jak je znázorněno na následujícím obrázku.

    Snímek obrazovky s ukázkovou konfigurací virtuální sítě

Nastavení přidruženého účtu úložiště

  1. Na stránce úlohy Stream Analytics vyberte v nabídce vlevo v části Konfigurovatnastavení účtu úložiště.

  2. Na stránce Nastavení účtu úložiště vyberte Přidat účet úložiště.

  3. Postupujte podle pokynů ke konfiguraci nastavení účtu úložiště.

    Snímek obrazovky se stránkou nastavení účtu úložiště úlohy Stream Analytics

Důležité

  • Pokud se chcete ověřit pomocí připojovacího řetězce, musíte zakázat nastavení brány firewall účtu úložiště.
  • Pokud se chcete ověřit pomocí spravované identity, musíte přidat úlohu Stream Analytics do seznamu řízení přístupu účtu úložiště pro roli Přispěvatel dat v objektech blob služby Storage a Přispěvatel dat tabulky úložiště. Pokud k úloze přístup neudělíte, nebude tato úloha moct provádět žádné operace. Další informace o udělení přístupu najdete v tématu Použití Azure RBAC k přiřazení přístupu spravované identity k jinému prostředku.

Oprávnění

Abyste mohli nakonfigurovat integraci virtuální sítě prostřednictvím Azure Portal, rozhraní příkazového řádku nebo přímo při nastavování vlastnosti lokality virtualNetworkSubnetId, musíte mít v podsíti nebo na vyšší úrovni alespoň následující oprávnění řízení přístupu na základě role:

Akce Popis
Microsoft.Network/virtualNetworks/read Přečtení definice virtuální sítě
Microsoft.Network/virtualNetworks/subnets/read Přečtení definice podsítě virtuální sítě
Microsoft.Network/virtualNetworks/subnets/join/action Připojí se k virtuální síti.
Microsoft.Network/virtualNetworks/subnets/write Nepovinný parametr. Vyžaduje se, pokud potřebujete provést delegování podsítě.

Pokud je virtuální síť v jiném předplatném než vaše úloha ASA, musíte zajistit, aby předplatné s virtuální sítí bylo zaregistrované pro Microsoft.StreamAnalytics poskytovatele prostředků. Poskytovatele můžete explicitně zaregistrovat podle této dokumentace, ale automaticky se zaregistruje při vytváření úlohy v předplatném.

Omezení

  • Úlohy virtuální sítě vyžadují minimálně 1 SU V2 (nový cenový model) nebo 6 SU (aktuální).
  • Ujistěte se, že rozsah podsítě nekoliduje s rozsahem podsítě ASA (to znamená, že nepoužívejte rozsah podsítě 10.0.0.0/16).
  • Úlohy ASA a virtuální síť musí být ve stejné oblasti.
  • Delegovanou podsíť může používat jenom Azure Stream Analytics.
  • Virtuální síť, která je integrovaná s ASA, nemůžete odstranit. Musíte zrušit přidružení nebo odebrat poslední úlohu* v delegovanou podsíti.
  • Aktualizace DNS v současné době nepodporujeme. Pokud se změní konfigurace DNS virtuální sítě, musíte znovu nasadit všechny úlohy ASA v této virtuální síti (podsítě bude také potřeba zrušit přidružení ke všem úlohám a překonfigurovat). Další informace najdete v tématu Překlad názvů pro prostředky ve virtuálních sítích Azure .

Přístup k místním prostředkům

Aby se funkce integrace virtuální sítě dostala přes vaši virtuální síť k místním prostředkům, nevyžaduje žádnou další konfiguraci. Stačí připojit virtuální síť k místním prostředkům pomocí ExpressRoute nebo vpn typu site-to-site.

Podrobnosti o cenách

Kromě základních požadavků uvedených v tomto dokumentu se za použití virtuální sítě nad rámec cenových poplatků za Azure Stream Analytics neúčtují žádné další poplatky.

Poradce při potížích

Nastavení této funkce je snadné, ale to neznamená, že vaše prostředí je bezproblémové. Pokud narazíte na problémy s přístupem k požadovanému koncovému bodu, kontaktujte podpora Microsoftu.

Poznámka

Pokud chcete získat přímou zpětnou vazbu k této funkci, obraťte se na adresu askasa@microsoft.com.