Conexión de trabajos de Stream Analytics a recursos en una instancia de Azure Virtual Network (VNet)

Los trabajos de Stream Analytics realizan conexiones salientes a los recursos de Azure de entrada y salida para procesar datos en tiempo real y generar resultados. Estos recursos de entrada y salida (por ejemplo, Azure Event Hubs y Azure SQL Database) pueden estar detrás de un firewall de Azure o de una instancia de Azure Virtual Network (VNet). El servicio de Stream Analytics funciona desde redes que no se pueden incluir directamente en las reglas de red.

Sin embargo, hay dos formas de conectar de forma segura los trabajos de Stream Analytics a los recursos de entrada y salida en estos escenarios.

• Ejecución del trabajo de Azure Stream Analytics en una instancia de Azure Virtual Network (versión preliminar pública)
• Puntos de conexión privados de los clústeres de Stream Analytics.
• Utilice el modo de autenticación Managed Identity junto con la configuración de red "Permitir servicios de confianza".

El trabajo de Stream Analytics no acepta ninguna conexión entrante.

Ejecución del trabajo de Azure Stream Analytics en una instancia de Azure Virtual Network (versión preliminar pública)

La compatibilidad con redes virtuales (VNet) le permite bloquear el acceso a Azure Stream Analytics para la infraestructura de red virtual. Esta funcionalidad proporciona las ventajas del aislamiento de red y se puede lograr mediante la implementación de una instancia contenedorizada del trabajo de ASA dentro de la red virtual. El trabajo de ASA insertado en la red virtual puede acceder de forma privada a los recursos dentro de la red virtual a través de:

• Puntos de conexión privados, que conectan el trabajo de ASA insertado en la red virtual a los orígenes de datos a través de vínculos privados con tecnología de Azure Private Link.
• Puntos de conexión de servicio, que conectan los orígenes de datos a su trabajo de ASA insertado en la red virtual.
• Etiquetas de servicio, que permiten o deniegan el tráfico a Azure Stream Analytics.

Actualmente, la integración de VNET sólo está disponible en algunas regiones. Visite esta página para obtener la lista más reciente de regiones habilitadas para red virtual y cómo solicitarla en su región.

Puntos de conexión privados de los clústeres de Stream Analytics.

El clúster de Stream Analytics es un clúster de proceso dedicado de un solo inquilino en el que se pueden ejecutar los trabajos de Stream Analytics. Puede crear puntos de conexión privados administrados en el clúster de Stream Analytics, lo que permite que los trabajos que se ejecutan en el clúster realicen una conexión de salida segura a los recursos de entrada y salida.

La creación de puntos de conexión privados en el clúster de Stream Analytics es una operación de dos pasos. Esta opción es la más adecuada para cargas de trabajo de streaming medianas o grandes, ya que el tamaño mínimo de un clúster de Stream Analytics es de 12 SU V2 o 36 SU V1 (las SU pueden ser compartidas por diferentes trabajos en varias suscripciones o entornos como desarrollo, pruebas y producción). Para más información, vea Clúster de Azure Stream Analytics.

Autenticación de identidad administrada con la configuración "Permitir servicios de confianza"

Algunos servicios de Azure ofrecen la opción de configuración de redes Permitir servicios de Microsoft de confianza, que cuando está habilitada, permite que los trabajos de Stream Analytics se conecten de forma segura a su recurso mediante autenticación sólida. Esta opción permite conectar los trabajos a los recursos de entrada y salida sin necesidad de un clúster de Stream Analytics ni puntos de conexión privados. La configuración del trabajo para usar esta técnica es una operación de dos pasos:

• Use el modo de autenticación de identidad administrada al configurar la entrada o salida en el trabajo de Stream Analytics.
• Conceda a los trabajos específicos de Stream Analytics acceso explícito a los recursos de destino mediante la asignación de un rol de Azure a la identidad administrada asignada por el sistema del trabajo.

Al habilitar Permitir servicios de Microsoft de confianza, no se concede acceso global a ningún trabajo. Esto le proporciona control total sobre los trabajos específicos de Stream Analytics que pueden tener acceso a los recursos de forma segura.

Los trabajos pueden conectarse a los siguientes servicios de Azure mediante esta técnica:

1. Blob Storage o Azure Data Lake Storage Gen2: puede ser la entrada o la salida de streaming o la cuenta de almacenamiento del trabajo.
2. Azure Event Hubs: puede ser la entrada o la salida de streaming del trabajo.

Si los trabajos deben conectarse a otros tipos de entrada o salida, podría escribir desde Stream Analytics a la salida de Event Hubs primero y luego a cualquier destino de su elección mediante Azure Functions. Si desea escribir directamente desde Stream Analytics a otros tipos de salida protegidos en una red virtual o un firewall, la única opción es usar puntos de conexión privados en clústeres de Stream Analytics.

Pasos siguientes

• Creación y eliminación de puntos de conexión privados en un clúster de Stream Analytics
• Conexión a Event Hubs en una VNet mediante la autenticación de identidad administrada
• Conexión a Blob Storage y ADLS Gen2 en una VNet mediante la autenticación de identidad administrada