Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Event Hubs ist eine Big Data Streaming-Plattform und ein Ereignisaufnahmedienst, der Millionen von Ereignissen pro Sekunde empfangen und verarbeiten kann. Sie können Event Hub-Daten mithilfe von Echtzeitanalyseanbietern und Batch-/Speicheradaptern transformieren und speichern. Einen Vergleich von Event Hubs und anderen Azure-Messagingdiensten finden Sie unter Auswählen zwischen Azure-Messagingdiensten – Event Grid, Event Hubs und Service Bus.
In diesem Artikel werden Event Hubs-Features und Isolationsmodelle beschrieben, die Sie in Multitenant-Lösungen verwenden können.
Isolationsmodelle
Wenn Sie Event Hubs in Ihrem Mehrinstanzensystem verwenden, müssen Sie die gewünschte Isolationsstufe festlegen. Event Hubs unterstützt verschiedene Modelle der Mehrinstanzenfähigkeit:
- Vertrauenswürdige Mehrinstanzenfähigkeit: Alle Mandanten teilen sich einen Event Hubs-Namespace. Diese Option kann geeignet sein, wenn sich alle Mandanten in Ihrer Organisation befinden.
- Feindselige Mehrinstanzenfähigkeit: Jeder Mandant verfügt über einen eigenen Namespace ohne gemeinsame Nutzung. Diese Entscheidung kann angemessen sein, wenn Sie sicherstellen möchten, dass Ihre Mieter keine Probleme mit lauten Nachbarn haben.
Ein System kann beide Modelle implementieren: Manche Mandanten teilen sich einen Namespace, während andere über einen eigenen dedizierten Namespace verfügen. Außerdem kann sich ein Mandant einen Namespace mit anderen Mandanten teilen, aber über dedizierte Event Hubs verfügen.
In der folgenden Tabelle werden die Unterschiede der wichtigsten Mandantenisolationsmodelle für Event Hubs erläutert. Die Modelle werden in den folgenden Abschnitten ausführlicher beschrieben.
| Überlegungen | Dedizierter Namespace | Gemeinsamer Namespace, dedizierte Event Hubs | Gemeinsamer Namespace und gemeinsame Event Hubs |
|---|---|---|---|
| Datenisolation | Hoch | Mittel | Nichts |
| Leistungsisolation | Maximal. Bereitstellung der erforderlichen Leistung basierend auf den Anforderungen des jeweiligen Mandanten. | Mittel. Kann laute Nachbarprobleme haben. | Niedrig. Kann laute Nachbarprobleme haben. |
| Bereitstellungskomplexität | Mittel. Beachten Sie die Kontingente und Grenzwerte in Azure Event Hubs auf Abonnementebene. | Mittel. Für die einzelnen Mandanten müssen jeweils separate Nachrichtenentitäten bereitgestellt werden. Beachten Sie die Kontingente und Grenzwerte in Azure Event Hubs. In einigen Fällen sind je nach Mandantenanzahl mehrere Namespaces erforderlich. | Niedrig |
| Betriebliche Komplexität | Hoch. Mandantenspezifische Verwaltung von Namespaces erforderlich. | Mittel. Einige Mandanten erfordern eine präzise Verwaltung von Nachrichtenentitäten. | Niedrig |
| Beispielszenario | Separate Anwendungsinstanzen pro Mandant | Dedizierte Event Hubs für jeden Mandanten. | Umfangreiche mehrinstanzenfähige Lösung mit einer gemeinsamen Anwendungsebene und mindestens einem gemeinsamen Event Hub |
Anmerkung
Event Hubs für Apache Kafka ist ein Feature, das einen auf Event Hubs basierenden Protokollkopf bereitstellt, sodass Event Hubs von Apache Kafka-Anwendungen verwendet werden kann. Die Anwendungen streamen Ereignisse in Event Hubs, die den Kafka-Themen entsprechen. Weitere Informationen finden Sie unter Was ist Azure Event Hubs für Apache Kafka.
Dedizierter Namespace
In diesem Modell wird ein Event Hubs-Namespace für jeden Mandanten bereitgestellt. Dieser Ansatz bietet die höchstmögliche Isolationsstufe und ermöglicht es, eine akzeptable Leistung für alle Mandanten bereitzustellen.
Mit den folgenden Techniken können Sie die Ereignissteuerungsfunktionen optimieren, um die Mandantenanforderungen zu erfüllen.
- Stellen Sie den Namespace in einer Region bereit, die sich nahe beim Mandanten befindet.
- Stellen Sie den Namespace mit einem für den Mandanten geeigneten Tarif bereit. Wenn Sie beispielsweise einen Premium-Namespace verwenden, können Sie die Anzahl der Verarbeitungseinheitenauswählen.
- Wenden Sie Netzwerkeinschränkungen an, die auf Mandantenanforderungen basieren, indem Sie IP-Firewallregeln, private Endpunkteund virtuelle Netzwerkdienstendpunkteverwenden.
- Verwenden Sie mandantenspezifische Verschlüsselungsschlüssel.
- Konfigurieren Sie die Geo-Notfallwiederherstellung von Event Hubs und die Verfügbarkeitszonen, um die Anforderungen an die Mandantenverfügbarkeit zu erfüllen.
Wenn Sie die maximale Anzahl von Event Hubs-Namespaces in Ihrem Azure-Abonnement erreichen, können Sie über das Muster mit Bereitstellungsstempeln Namespaces in anderen Abonnements bereitstellen.
Der Nachteil dieses Isolationsmodells ist, dass die Namespaceverwaltung mit zunehmender Anzahl von Mandanten immer komplexer wird. Ein weiterer Nachteil ist, dass das Modell die Kosten erhöht, da Sie für jeden Namespace bezahlen.
Gemeinsamer Namespace, dedizierte Event Hubs
Auch wenn sich mehrere Mandanten einen Namespace teilen, können Mandanten in einem dedizierten Event Hub isoliert werden. Sie können gemeinsame Zugriffssignaturen oder Microsoft Entra-Identitäten verwenden, um den Zugriff zu steuern.
Da die Anzahl der Mandanten innerhalb Ihres Systems wächst, nimmt auch die Anzahl der Event-Hubs zu, um für jeden Mandanten ausreichend Kapazität bereitzustellen. Dieses Wachstum kann zu höheren Betriebskosten und geringerer Organisatorischer Flexibilität führen. Die Anzahl von Event Hubs pro Namespace ist begrenzt. Daher hängt die Anzahl von Namespaces, die Ihr System benötigt, von der Anzahl von Event Hubs ab, die Ihre Mandanten benötigen.
Wenn ein Namespace gemeinsam genutzt wird, sind Probleme mit einem Noisy Neighbor wahrscheinlicher. So kann es beispielsweise vorkommen, dass die Ereignisentitäten eines Mandanten unverhältnismäßig viele Namespaceressourcen beanspruchen, was zur Beeinträchtigung der anderen Mandanten führt. Bei den Event Hub-Namespaces sind die Verarbeitungseinheiten (Premium-Tarif) oder Kapazitätseinheiten (Dedicated-Tarif) und die Anzahl der vermittelten Verbindungen auf einen Namespace begrenzt. Überlegen Sie, ob ein einzelner Mandant möglicherweise zu viele Ressourcen beansprucht.
Gemeinsamer Namespace und gemeinsame Event Hubs
Sie können über einen Namespace und über Ereignisentitäten verfügen, die von allen Ihren Mandanten gemeinsam genutzt werden. Dieses Modell verringert die Betriebskomplexität und senkt die Ressourcenkosten.
Die Verwendung eines gemeinsamen Namespace kann jedoch zu einem Problem mit einem Noisy Neighbor sowie zu längeren Wartezeiten für einige Mandanten führen. Außerdem müssen Sie Ihre Anwendungen implementieren, um mehrere Mandanten zu bedienen. Gemeinsame Event Hubs und Kafka-Themen bieten keine Datenisolation zwischen Mandanten, sodass Sie die Anforderungen an die Datenisolation über Ihre Anwendungslogik erfüllen müssen.
Anmerkung
Verwenden Sie keine Event Hubs-Partitionen, um Ihre Mandanten zu isolieren. Die Partitionierung in Event Hubs ermöglicht die Verarbeitung von Ereignissen und Skalierbarkeit, ist jedoch kein Isolationsmodell. Sie können Ereignisse direkt an Partitionen senden, dies wird jedoch nicht empfohlen, da dadurch die Verfügbarkeit eines Ereignishubs auf Partitionsebene herabgestuft wird. Weitere Informationen finden Sie unter Verfügbarkeit und Konsistenz in Event Hubs.
Features von Event Hubs, die Mehrinstanzenfähigkeit unterstützen
Die folgenden Features von Event Hubs unterstützen Mehrinstanzenfähigkeit:
- Anwendungsgruppen
- Microsoft Entra-Authentifizierung
- Shared Access Signature (SAS)
- Kundenseitig verwaltete Schlüssel
- Event Hubs Capture
- Geokatastrophenbewältigung
- IP-Firewallregeln
Diese Features werden in den folgenden Abschnitten erläutert.
Anwendungsgruppen
Eine Anwendungsgruppe ist eine Sammlung von einer oder mehreren Clientanwendungen, die mit der Event Hubs-Datenebene interagieren. Sie können Kontingent- und Zugriffsverwaltungsrichtlinien auf alle Anwendungen in der Gruppe anwenden, indem Sie sie auf die Gruppe selbst anwenden.
Jede Anwendungsgruppe kann auf einen einzelnen Event Hubs-Namespace oder auf einen einzelnen Event Hub ausgerichtet werden. Sie sollte einen eindeutig identifizierenden Bedingungsidentifikator der Client-Anwendungen verwenden, wie beispielsweise den Sicherheitskontext, der entweder eine gemeinsame Zugriffssignatur (SAS) oder eine Microsoft Entra-Anwendungs-ID ist.
Weitere Informationen finden Sie unter Ressourcengovernance mit Anwendungsgruppen.
Event-Hubs Premium Namespaces
Event Hubs Premium-Namespaces stellen reservierte Verarbeitungseinheiten bereit, die nicht für andere Namespaces freigegeben werden. Sie sorgen für vorhersehbare Latenz und Durchsatz für jeden Namespace und vermeiden laute Nachbarprobleme. Premium-Namespaces bieten die höchste Leistungsisolation, ohne dass ein dedizierter Cluster erforderlich ist.
Premium Namespaces eignen sich gut für feindliche Multitenancy-Szenarien, in denen Mandanten unabhängig voneinander arbeiten und unvorhersehbare Workloads haben können. Jeder Mandant kann die volle Kapazität seines Premium-Namespace verwenden, ohne andere zu beeinträchtigen, obwohl dieser Vorteil zu einem höheren Preis als die Standardebene kommt.
Zu den Premium-Features gehören reservierte Verarbeitungseinheiten, vom Kunden verwaltete Schlüssel, die Integration des virtuellen Netzwerks und die erweiterte Nachrichtenaufbewahrung.
Weitere Informationen finden Sie unter Übersicht über Event Hubs Premium.
Microsoft Entra-Authentifizierung
Event Hubs ist in Microsoft Entra ID integriert. Clients können sich bei Event Hubs-Ressourcen authentifizieren, indem sie eine verwaltete Identität mit Microsoft Entra ID verwenden. Event Hubs definiert eine Reihe integrierter Rollen, die Sie Ihren Mandanten für den Zugriff auf Event Hubs-Entitäten gewähren können. Beispielsweise können Sie mit der Microsoft Entra-Authentifizierung einem Mandanten Zugriff auf einen Event Hub gewähren, der über die Nachrichten für diesen Mandanten verfügt. Sie können diese Technik verwenden, um einen Mandanten von anderen Mandanten zu isolieren.
Kafka-Anwendungen können eine mit OAuth verwaltete Identität verwenden, um auf Event Hubs-Ressourcen zuzugreifen.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Authentifizieren einer verwalteten Identität mit Microsoft Entra ID für den Zugriff auf Event Hubs-Ressourcen
- Authentifizieren einer Anwendung mit Microsoft Entra ID, um auf Event Hubs-Ressourcen zuzugreifen
Shared Access Signature (SAS) (Geteilte Zugriffsberechtigungssignatur)
Mit gemeinsamen Zugriffssignaturen (SAS) können Sie einem Mandanten Zugriff auf Event Hubs-Ressourcen mit bestimmten Rechten gewähren. Wenn Sie Ihre Mandanten auf Ereignisentitätsebene isolieren, können Sie SAS-Schlüssel für einen Event Hub oder für ein Kafka-Thema zuweisen, der bzw. das nur für einen bestimmten Mandanten gilt.
Weitere Informationen finden Sie unter Authentifizierung des Zugriffs auf Event Hubs-Ressourcen mit geteilten Zugriffssignaturen (SAS)
Vom Kunden verwaltete Schlüssel
Wenn Ihre Mandanten ihre eigenen Schlüssel zum Verschlüsseln und Entschlüsseln von Ereignissen benötigen, können Sie in einigen Versionen von Event Hubs vom Kunden verwaltete Schlüssel konfigurieren.
Für dieses Feature müssen Sie entweder einen Event Hub Premium-Namespace oder einen Dedizierten Event Hub-Namespace verwenden. Die Verschlüsselung kann nur für neue oder leere Namespaces aktiviert werden.
Weitere Informationen finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln für die Verschlüsselung von ruhenden Azure Event Hubs-Daten.
Erfassen in Event Hubs
Sie können das Feature "Event Hubs Capture" verwenden, um Streamingdaten von Event Hubs automatisch zu erfassen und in einem Azure Blob Storage- oder Data Lake Storage-Konto zu speichern.
Diese Funktion ist nützlich für die Archivierung von Ereignissen. Wenn Sie z. B. Aus Compliancegründen Ereignisse für einen Mandanten archivieren müssen, können Sie mandantenspezifische Namespaces bereitstellen und die Event Hubs Capture aktivieren, um Ereignisse in mandantenspezifische Azure Storage-Konten zu archivieren. Event Hubs Capture kann auch für mandantenspezifische Event Hubs in einem gemeinsamen Namespace aktiviert werden.
Weitere Informationen finden Sie unter Erfassen von Ereignissen über Azure Event Hubs in Azure Blob Storage oder Azure Data Lake Storage
Geokatastrophenwiederherstellung
Die Geo-Katastrophenwiederherstellung repliziert kontinuierlich die gesamte Konfiguration eines Event Hubs-Namespaces von einem primären Namespace auf einen sekundären Namespace, der mit dem primären gekoppelt ist. Dieses Feature kann bei der Wiederherstellung nach Notfällen wie einem regionalen Ausfall hilfreich sein.
Wenn Sie beispielsweise Ihre Mandanten auf Namespaceebene isolieren, können Sie die Konfiguration eines Mandantennamespace in einer sekundären Region replizieren, um sie vor Ausfällen und Fehlern der primären Region zu schützen.
Weitere Informationen finden Sie unter Azure Event Hubs: Georedundante Notfallwiederherstellung.
Anmerkung
Um Betriebskontinuität zu gewährleisten, repliziert die georedundante Notfallwiederherstellung die Konfiguration des primären Namespace im sekundären Namespace. Es repliziert weder die Ereignisdaten noch die Microsoft Entra RBAC-Zuweisungen, die Sie für Ihren primären Namespace verwenden. Weitere Informationen finden Sie unter Verbund: mehrere Standorte und mehrere Regionen.
IP-Firewallregeln
Sie können IP-Firewallregeln verwenden, um den Zugriff auf Namespaces zu steuern. Wenn Sie Mandanten auf Namespaceebene isolieren, können Sie die Namespaces so konfigurieren, dass nur Verbindungen von Clients akzeptiert werden, die von zulässigen IP-Adressen oder aus zulässigen Adressbereichen stammen.
Weitere Informationen finden Sie unter:
- Netzwerksicherheit für Azure Event Hubs
- Zulassen des Zugriffs auf Azure Event Hubs-Namespaces von bestimmten IP-Adressen oder IP-Adressbereichen
Automatische Vergrößerung für flexible Skalierung
Standard Event Hubs-Namespaces unterstützen das Feature "Auto-Inflate", das die Anzahl der Durchsatzeinheiten (TUs) während Zeiträumen mit hoher Nachfrage automatisch erhöht. Die Aktivierung der Automatische Vergrößerung-Funktion für gemeinsam genutzte Namespaces bietet der Plattform die Möglichkeit, die Kapazität vorübergehend vertikal hochzuskalieren (bis zu einem festgelegten Höchstwert), wenn bei einem oder mehreren Mandanten Datenverkehrsspitzen auftreten. Diese Flexibilität trägt dazu bei, Drosselungs- und Dienstfehler während plötzlicher Auslastungsspitzen zu verhindern und die Stabilität für alle Mandanten aufrechtzuerhalten.
Automatische Vergrößerung ist vor allem in Umgebungen mit mehreren Mandanten nützlich, da es störende Nachbar-Bursts auffängt, indem es zusätzliche Ressourcen zuweist, anstatt den Datenverkehr zu unterdrücken. Diese Erhöhung der Kapazität kann jedoch auch die Kosten für die Dauer der Spitze erhöhen. Die besten Ergebnisse erzielen Sie, wenn Sie Automatische Vergrößerung mit Richtlinien zur Drosselung kombinieren, um sicherzustellen, dass kein einzelner Mandant unbegrenzte Ressourcen verbrauchen kann.
Weitere Informationen finden Sie unter Automatische Vergrößerung Event Hubs Durchsatzeinheiten.
Beitragende
Dieser Artikel wird von Microsoft verwaltet. Sie wurde ursprünglich von den folgenden Mitwirkenden verfasst.
Hauptautor:
- Will Velida | Kundeningenieur 2, FastTrack für Azure
Andere Mitwirkende:
- John Downs | Leitender Softwareingenieur
- Paolo Salvadori | Principal Customer Engineer, FastTrack für Azure
- Daniel Scott-Raynsford | Partner Solution Architect, Data & AI
- Arsen Vladimirskiy | Hauptkundeningenieur, FastTrack für Azure
Um nicht öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.
Nächste Schritte
- Azure Event Hubs – Eine Big Data-Streamingplattform und ein Ereignisaufnahmedienst
- Was ist Azure Event Hubs für Apache Kafka
- Erfassen von Ereignissen über Azure Event Hubs in Azure Blob Storage oder Azure Data Lake Storage
- Übersicht über Event Hubs Premium
- Übersicht über die Azure Event Hubs Dedicated-Ebene
- Event Hubs-Dokumentation
- Lernen: Aktivierung von zuverlässigem Messaging für Big Data-Anwendungen mithilfe von Azure Event Hubs