Ausführen eines Azure Stream Analytics-Auftrags in einem virtuellen Azure-Netzwerk (Public Preview)

  • Artikel

In diesem Artikel wird beschrieben, wie Sie einen ASA-Auftrag (Azure Stream Analytics) in einem virtuellen Azure-Netzwerk ausführen.

Übersicht

Mit der Unterstützung für virtuelle Netzwerke (VNet) können Sie den Zugriff auf Azure Stream Analytics auf Ihre virtuelle Netzwerkinfrastruktur beschränken. Diese Funktion bietet Ihnen die Vorteile der Netzwerkisolation und kann durch die Bereitstellung einer containerisierten Instanz Ihres ASA-Auftrags in Ihrem virtuellen Netzwerk erreicht werden. Ihr in das VNet eingefügter ASA-Auftrag kann dann über folgende Elemente privat auf Ihre Ressourcen innerhalb des virtuellen Netzwerks zugreifen:

  • Private Endpunkte, die den in das VNet eingefügten ASA-Auftrag über private Verbindungen, die von Azure Private Link unterstützt werden, mit Ihren Datenquellen verbinden
  • Dienstendpunkte, die Ihre Datenquellen mit dem in das VNet eingefügten ASA-Auftrag verbinden
  • Diensttags, die Datenverkehr zu Azure Stream Analytics zulassen oder verweigern

Verfügbarkeit

Derzeit ist diese Funktion nur in ausgewählten Regionen verfügbar: USA, Westen, Kanada, Mitte, USA, Osten, USA, Osten 2, USA, Mitte, Europa, Westen und Europa, Norden. Wenn Sie die VNet-Integration in Ihrer Region aktivieren möchten, füllen Sie dieses Formular aus.

Anforderungen für die Unterstützung der VNET-Integration

  • Für in das VNet eingefügte ASA-Aufträge ist ein Speicherkonto des Typs „Universell v2“ (GPV2) erforderlich.

    • In das VNet eingefügte ASA-Aufträge erfordern Zugriff auf Metadaten wie Prüfpunkte, die zu betrieblichen Zwecken in Azure-Tabellen gespeichert werden.

    • Wenn Sie bereits über ein GPV2-Konto verfügen, das mit Ihrem ASA-Auftrag bereitgestellt wurde, sind keine zusätzlichen Schritte erforderlich.

    • Benutzer*innen mit Aufträgen mit höherer Skalierung und Storage Premium müssen weiterhin ein GPV2-Speicherkonto bereitstellen.

    • Wenn Sie Speicherkonten vor Zugriff, der auf öffentlichen IP-Adresse basiert, schützen möchten, sollten Sie auch die Konfiguration mithilfe verwalteter Identitäten und vertrauenswürdiger Dienste in Erwägung ziehen.

      Weitere Informationen zu Speicherkonten finden Sie unter Speicherkontoübersicht und Speicherkonto erstellen.

  • Ein vorhandenes virtuelles Azure-Netzwerk. Erstellen Sie alternativ eins.

    Wichtig

    In das VNet eingefügte ASA-Aufträge verwenden eine interne Technologie zur Containereinschleusung, die von Azure-Netzwerken bereitgestellt wird. Für Azure-Netzwerke wird derzeit allen Kund*innen empfohlen, aus Sicherheits- und Zuverlässigkeitsgründen Azure NAT Gateway einzurichten.

    Azure NAT Gateway ist ein vollständig verwalteter und äußerst resilienter NAT-Dienst (Network Address Translation, Netzwerkadressenübersetzung). Azure NAT Gateway vereinfacht ausgehende Internetkonnektivität für virtuelle Netzwerke. Bei der Konfiguration in einem Subnetz werden für die gesamte Konnektivität in ausgehender Richtung die statischen öffentlichen IP-Adressen des NAT Gateways verwendet.

    Diagramm: Architektur des virtuellen Netzwerks

    Informationen zu Setup und Preisen finden Sie unter Was ist Azure NAT Gateway?.

Subnetzanforderungen

Die Integration virtueller Netzwerke hängt von der Verwendung eines dedizierten Subnetzes ab. Wenn Sie ein Subnetz erstellen, verbraucht das Azure-Subnetz von Anfang an fünf IP-Adressen.

Sie müssen den Ihrem delegierten Subnetz zugeordneten IP-Bereich berücksichtigen, wenn Sie über zukünftige Anforderungen nachdenken, die zur Unterstützung Ihrer ASA-Workload erforderlich sind. Da die Subnetzgröße nach der Zuweisung nicht mehr geändert werden kann, verwenden Sie ein Subnetz, das für die Aufnahme jedweder Skalierung Ihrer Aufträge groß genug ist.

Der Skalierungsvorgang wirkt sich auf die tatsächlichen, verfügbaren unterstützten Instanzen für eine bestimmte Subnetzgröße aus.

Überlegungen zum Schätzen von IP-Bereichen

  • Stellen Sie sicher, dass der Subnetzbereich nicht mit dem Subnetzbereich von ASA in Konflikt steht. Vermeiden Sie den IP-Bereich 10.0.0.0 bis 10.0.255.255, da er von ASA verwendet wird.
  • Reservieren Sie Folgendes:
    • 5 IP-Adressen für Azure-Netzwerke
    • 1 IP-Adresse ist erforderlich, um Funktionen wie Beispieldaten, Testverbindung und Metadatenermittlung für Aufträge zu ermöglichen, die diesem Subnetz zugeordnet sind.
    • 2 IP-Adressen sind für jeweils 6 SU oder 1 SU V2 erforderlich. (Die V2-Preisstruktur von ASA wird am 1. Juli 2023 eingeführt. Details finden Sie hier.)

Wenn Sie die VNET-Integration mit Ihrem Azure Stream Analytics-Auftrag angeben, wird das Subnetz vom Azure-Portal automatisch an den ASA-Dienst delegiert. Das Azure-Portal macht die Delegierung des Subnetzes in den folgenden Szenarien rückgängig:

  • Sie informieren uns über das ASA-Portal (siehe Abschnitt mit den Anleitungen), dass die VNET-Integration für den letzten Auftrag, der dem angegebenen Subnetz zugeordnet wurde, nicht mehr erforderlich ist.
  • Sie löschen den letzten Auftrag , der dem angegebenen Subnetz zugeordnet ist.

Letzter Auftrag

Mehrere ASA-Aufträge können dasselbe Subnetz verwenden. Mit „letzter Auftrag“ ist hier gemeint, dass keine anderen Aufträge das angegebene Subnetz verwenden. Wenn der letzte Auftrag vom zugeordneten Subnetz gelöscht oder entfernt wurde, gibt Azure Stream Analytics das Subnetz als Ressource frei, das als Dienst an ASA delegiert wurde. Warten Sie einige Minuten, bis diese Aktion abgeschlossen ist.

Einrichten der VNET-Integration

Azure-Portal

  1. Navigieren Sie im Azure-Portal über die Menüleiste zu Netzwerk, und wählen Sie Diesen Auftrag im virtuellen Netzwerk ausführen aus. Dieser Schritt informiert uns darüber, dass Ihr Auftrag ein VNet verwenden muss:

  2. Konfigurieren Sie die Einstellungen gemäß der Eingabeaufforderung, und wählen Sie anschließend Speichern aus.

    Screenshot: Seite „Netzwerk“ für einen Stream Analytics-Auftrag

VS-Code

  1. Verweisen Sie in Visual Studio Code auf das Subnetz innerhalb Ihres ASA-Auftrags. In diesem Schritt wird Ihrem Auftrag mitgeteilt, dass er ein Subnetz verwenden muss.

  2. Richten Sie in JobConfig.jsonVirtualNetworkConfiguration wie in der folgenden Abbildung gezeigt ein:

    Screenshot: Beispielkonfiguration für ein virtuelles Netzwerk

Einrichten eines zugeordneten Speicherkontos

  1. Wählen Sie auf der Seite Stream Analytics-Auftrag im linken Menü unter Konfigurieren die Option Speicherkontoeinstellungen aus.

  2. Wählen Sie auf der Seite Speicherkontoeinstellungen die Option Speicherkonto hinzufügen aus.

  3. Befolgen Sie die Anweisungen zum Konfigurieren Ihrer Speicherkontoeinstellungen.

    Screenshot: Seite „Speicherkontoeinstellungen“ eines Stream Analytics-Auftrags

Wichtig

  • Zum Authentifizieren mit der Verbindungszeichenfolge müssen Sie die Firewalleinstellungen des Speicherkontos deaktivieren.
  • Wenn Sie sich mit einer verwalteten Identität authentifizieren, müssen Sie Ihren Stream Analytics-Auftrag der Zugriffssteuerungsliste des Speicherkontos mit der Rolle „Mitwirkender an Storage-Blobdaten“ und der Rolle „Mitwirkender an Storage-Tabellendaten“ hinzufügen. Wenn Sie dem Auftrag keinen Zugriff gewähren, kann er keine Vorgänge ausführen. Weitere Informationen zum Gewähren von Zugriff finden Sie unter Verwenden von Azure RBAC zum Zuweisen des Zugriffs einer verwalteten Identität auf eine andere Ressource.

Berechtigungen

Sie müssen mindestens über die folgenden Berechtigungen für die rollenbasierte Zugriffssteuerung im Subnetz oder auf einer höheren Ebene verfügen, um die Integration virtueller Netzwerke über das Azure-Portal, die CLI oder beim direkten Festlegen der Site-Eigenschaft „virtualNetworkSubnetId“ zu konfigurieren:

Aktion BESCHREIBUNG
Microsoft.Network/virtualNetworks/read Liest die Definition des virtuellen Netzwerks
Microsoft.Network/virtualNetworks/subnets/read Liest eine Subnetzdefinition für virtuelle Netzwerke aus
Microsoft.Network/virtualNetworks/subnets/join/action Verknüpft ein virtuelles Netzwerk.
Microsoft.Network/virtualNetworks/subnets/write Optional. Erforderlich, wenn Sie die Subnetzdelegierung ausführen müssen

Wenn sich das virtuelle Netzwerk in einem anderen Abonnement als der ASA-Auftrag befindet, müssen Sie sicherstellen, dass das Abonnement mit dem virtuellen Netzwerk für den Ressourcenanbieter Microsoft.StreamAnalytics registriert ist. Sie können den Anbieter explizit registrieren, indem Sie diese Dokumentation befolgen. Er wird jedoch automatisch registriert, wenn Sie den Auftrag in einem Abonnement erstellen.

Einschränkungen

  • VNet-Aufträge erfordern mindestens 1 SU V2 (neues Preismodell) oder 6 SUs (aktuelles Preismodell).
  • Stellen Sie sicher, dass der Subnetzbereich nicht mit dem ASA-Subnetzbereich in Konflikt steht (d. h. verwenden Sie nicht den Subnetzbereich 10.0.0.0/16).
  • ASA-Aufträge und das virtuelle Netzwerk müssen sich in derselben Region befinden.
  • Das delegierte Subnetz kann nur von Azure Stream Analytics verwendet werden.
  • Sie können ein virtuelles Netzwerk nicht löschen, wenn es in ASA integriert ist. Sie müssen die Zuordnung des letzten Auftrags* im delegierten Subnetz aufheben oder den letzten Auftrag entfernen.
  • DNS-Aktualisierungen werden derzeit nicht unterstützt. Wenn DNS-Konfigurationen Ihres VNet geändert werden, müssen Sie alle ASA-Aufträge in diesem VNet erneut bereitstellen. (Die Zuordnung der Subnetze zu allen Aufträgen muss außerdem aufgehoben werden, und die Subnetze müssen neu konfiguriert werden.) Weitere Informationen finden Sie unter Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken.

Zugriff auf lokale Ressourcen

Für die Integration virtueller Netzwerke ist keine zusätzliche Konfiguration erforderlich, um über Ihr virtuelles Netzwerk lokale Ressourcen zu erreichen. Sie müssen Ihr virtuelles Netzwerk lediglich über ExpressRoute oder ein Site-to-Site-VPN mit lokalen Ressourcen verbinden.

Preisübersicht

Außerhalb der in diesem Dokument aufgeführten grundlegenden Anforderungen fallen für die VNET-Integration keine zusätzlichen Gebühren für die Nutzung an, die über die Azure Stream Analytics-Gebühren hinausgehen.

Problembehandlung

Die Funktion ist zwar einfach einzurichten, dies bedeutet jedoch nicht, dass keinerlei Probleme auftreten. Wenn beim Zugriff auf den gewünschten Endpunkt Probleme auftreten, wenden Sie sich an den Microsoft-Support.

Hinweis

Direktes Feedback zu dieser Funktion können Sie an askasa@microsoft.com senden.