Exécuter votre travail Azure Stream Analytics dans un réseau virtuel Azure (préversion publique)

  • Article

Cet article explique comment exécuter votre travail Azure Stream Analytics (ASA) dans un réseau virtuel Azure.

Vue d'ensemble

La prise en charge du réseau virtuel (VNet) vous permet de limiter l’accès à Azure Stream Analytics à votre infrastructure de réseau virtuel. Cette fonctionnalité vous offre les avantages de l’isolation réseau et peut être obtenue par le déploiement d’une instance conteneurisée de votre travail ASA au sein de votre réseau virtuel. Le travail ASA injecté dans le réseau virtuel peut ensuite accéder en mode privé à vos ressources dans le réseau virtuel via :

  • des points de terminaison privés, qui connectent votre travail ASA injecté dans le réseau virtuel à vos sources de données par le biais de liaisons privées fournies par Azure Private Link ;
  • des points de terminaison de service, qui connectent vos sources de données à votre travail ASA injecté dans le réseau virtuel ;
  • des étiquettes de service, qui autorisent ou refusent le trafic vers Azure Stream Analytics.

Disponibilité

Actuellement, cette fonctionnalité est disponible uniquement dans certaines régions : USA Ouest, Canada Centre, USA Est, USA Est 2, USA Centre, Europe Ouest et Europe Nord. Si vous souhaitez activer l’intégration au réseau virtuel dans votre région, veuillez remplir ce formulaire.

Conditions à remplir pour la prise en charge de l’intégration au réseau virtuel

  • Un compte de stockage V2 universel (GPV2) est requis pour les travaux ASA injectés dans un réseau virtuel.

    • Les travaux ASA injectés dans un réseau virtuel doivent avoir accès aux métadonnées telles que les points de contrôle pour être stockés dans des tables Azure à des fins opérationnelles.

    • Si vous avez déjà un compte GPV2 provisionné avec votre travail ASA, aucune étape supplémentaire n’est requise.

    • Les utilisateurs qui ont des travaux à plus grande échelle dans le stockage Premium sont toujours tenus de fournir un compte de stockage GPV2.

    • Si vous souhaitez empêcher l’accès aux comptes de stockage à partir des adresses IP publiques, vous devez également le configurer avec une identité managée et des services approuvés.

      Pour plus d’informations sur les comptes de stockage, consultez Vue d’ensemble des comptes de stockage et Créer un compte de stockage.

  • Un réseau virtuel Azure existant. Si nécessaire, créez-en un.

    Important

    Les travaux ASA injectés dans le réseau virtuel utilisent une technologie d’injection dans des conteneurs internes fournie par Azure Networking. Azure Networking recommande à tous les clients d’installer Azure NAT Gateway pour des raisons de sécurité et de fiabilité.

    Une passerelle NAT Azure est un service de traduction d’adresses réseau entièrement managé et hautement résilient. Azure NAT Gateway simplifie la connectivité Internet sortante pour les réseaux virtuels. Quand il est configuré sur un sous-réseau, toute la connectivité sortante utilise les adresses IP publiques statiques de la passerelle NAT.

    Diagramme montrant l’architecture du réseau virtuel.

    Pour en savoir plus sur la configuration et les tarifs, consultez Azure NAT Gateway.

Configuration requise du sous-réseau

L’intégration au réseau virtuel dépend d’un sous-réseau dédié. Quand vous créez un sous-réseau, le sous-réseau Azure consomme cinq IP dès le début.

Vous devez prendre en considération la plage d’adresses IP associée à votre sous-réseau délégué dans votre réflexion sur les besoins futurs à satisfaire en vue de la prise en charge de votre charge de travail ASA. Comme la taille du sous-réseau ne peut pas être modifiée après l’affectation, utilisez un sous-réseau suffisamment grand pour s’adapter à la taille que votre ou vos travaux seront susceptibles d’atteindre.

L’opération de mise à l'échelle affecte les instances prises en charge réelles et disponibles pour une taille de sous-réseau donnée.

Considérations relatives à l’estimation des plages d’adresses IP

  • Assurez-vous que la plage du sous-réseau n’entre pas en conflit avec la plage du sous-réseau d’ASA. N’utilisez pas les adresses IP comprises entre 10.0.0.0 et 10.0.255.255, car cette plage est utilisée par ASA.
  • Réservez :
    • Cinq adresses IP pour Azure Networking
    • Une adresse IP pour les fonctionnalités telles que les exemples de données, la connexion aux tests et la découverte des métadonnées pour les travaux associés à ce sous-réseau.
    • Deux adresses IP pour chaque ensemble de six SU ou chaque SU V2 (le modèle tarifaire V2 d’ASA sera appliqué à partir du 1er juillet 2023 ; voir ici pour plus d’informations)

Lorsque vous spécifiez l’intégration de votre travail Azure Stream Analytics au réseau virtuel, le portail Azure déléguera automatiquement le sous-réseau au service ASA. Le portail Azure supprimera la délégation du sous-réseau dans les scénarios suivants :

  • Vous nous informez que l’intégration au réseau virtuel n’est plus nécessaire pour le dernier travail associé au sous-réseau spécifié via le portail ASA (voir la section de la procédure à suivre).
  • Vous supprimez le dernier travail associé au sous-réseau spécifié.

Dernier travail

Plusieurs travaux ASA peuvent utiliser le même sous-réseau. Ici, « dernier travail » indique qu’il n’y a pas d’autres travaux qui utilisent le sous-réseau spécifié. Lorsque le dernier travail a été supprimé ou dissocié, Azure Stream Analytics libère le sous-réseau comme ressource, qui avait été délégué à ASA en tant que service. Cette action peut prendre plusieurs minutes.

Configurer l’intégration au réseau virtuel

Portail Azure

  1. À partir du portail Azure, accédez à Réseaux dans la barre de menus, puis sélectionnez Exécuter ce travail dans le réseau virtuel. Cette étape nous informe que votre travail doit s’exécuter dans un réseau virtuel :

  2. Configurez les paramètres demandés, puis sélectionnez Enregistrer.

    Capture d’écran de la page Réseaux pour un travail Stream Analytics.

VS Code

  1. Dans Visual Studio Code, référencez le sous-réseau dans votre travail ASA. Cette étape indique à votre travail qu’il doit s’exécuter dans un sous-réseau.

  2. Dans le fichier JobConfig.json, configurez VirtualNetworkConfiguration comme indiqué dans l’image suivante.

    Capture d’écran de l’exemple de configuration du réseau virtuel.

Configurer un compte de stockage associé

  1. Dans la page Travail Stream Analytics, sélectionnez Paramètres du compte de stockage sous Configurer dans le menu de gauche.

  2. Dans la page Paramètres du compte de stockage, sélectionnez Ajouter un compte de stockage.

  3. Suivez les instructions pour configurer les paramètres de votre compte de stockage.

    Capture d’écran de la page Paramètres du compte de stockage d’un travail Stream Analytics.

Important

  • Pour vous authentifier avec une chaîne de connexion, vous devez désactiver les paramètres de pare-feu du compte de stockage.
  • Pour vous authentifier avec l’identité managée, vous devez ajouter votre travail Stream Analytics à la liste de contrôle d’accès du compte de stockage pour les rôles contributeur aux données du stockage Blob et contributeur à la table de données du stockage. Si vous n’accordez pas d’accès à votre travail, celui-ci ne pourra effectuer aucune opération. Pour plus d’informations sur l’octroi d’accès, consultez Utiliser Azure RBAC pour attribuer à une identité managée un accès à une autre ressource.

Autorisations

Pour configurer l’intégration au réseau virtuel à partir du portail Azure, en utilisant l’interface CLI ou en définissant directement la propriété de site virtualNetworkSubnetId, vous devez avoir au minimum les autorisations de contrôle d’accès en fonction du rôle suivantes sur le sous-réseau ou à un niveau supérieur :

Action Description
Microsoft.Network/virtualNetworks/read Lire la définition de réseau virtuel
Microsoft.Network/virtualNetworks/subnets/read Lire la définition de sous-réseau de réseau virtuel
Microsoft.Network/virtualNetworks/subnets/join/action Joint un réseau virtuel.
Microsoft.Network/virtualNetworks/subnets/write facultatif. Obligatoire si vous devez effectuer la délégation de sous-réseau

Si le réseau virtuel se trouve dans un autre abonnement que votre travail ASA, vous devez vous assurer que l’abonnement associé au réseau virtuel est inscrit pour le fournisseur de ressources Microsoft.StreamAnalytics. Vous pouvez explicitement inscrire le fournisseur en suivant cette documentation, mais il est également inscrit automatiquement lors de la création du travail dans un abonnement.

Limites

  • Les travaux dans le réseau virtuel nécessitent au minimum un SU V2 (nouveau modèle tarifaire) ou six SU (modèle actuel)
  • Assurez-vous que la plage de sous-réseaux n’entre pas en conflit avec la plage du sous-réseau d’ASA (autrement dit, n’utilisez pas la plage de sous-réseau 10.0.0.0/16).
  • Les travaux ASA et le réseau virtuel doivent se trouver dans la même région.
  • Le sous-réseau délégué est utilisable par Azure Stream Analytics uniquement.
  • Vous ne pouvez pas supprimer un réseau virtuel qui est déjà intégré à ASA. Vous devez dissocier ou supprimer le dernier travail* dans le sous-réseau délégué.
  • Nous ne prenons pas en charge les actualisations de DNS actuellement. Si des configurations de DNS de votre réseau virtuel sont modifiées, vous devrez redéployer tous les travaux ASA dans ce réseau virtuel (les sous-réseaux devront également être dissociés de tous les travaux, puis reconfigurés). Pour plus d’informations, consultez Résolution de noms des ressources dans les réseaux virtuels Azure.

Accès aux ressources locales

Aucune configuration supplémentaire n’est nécessaire pour permettre à la fonctionnalité d’intégration au réseau virtuel d’accéder à vos ressources locales via votre réseau virtuel. Vous devez simplement connecter votre réseau virtuel aux ressources locales à l’aide d’ExpressRoute ou d’un VPN de site à site.

Détails de la tarification

En dehors des exigences de base indiquées dans ce document, l’intégration au réseau virtuel ne donne lieu à aucuns frais d’utilisation autres que les coûts applicables à Azure Stream Analytics.

Dépannage

Cette fonctionnalité est facile à configurer, mais il est possible que vous rencontriez des problèmes. Si vous rencontrez des problèmes d’accès au point de terminaison souhaité, contactez le Support Microsoft.

Notes

Pour obtenir des commentaires directs sur cette fonctionnalité, contactez askasa@microsoft.com.