Eseguire il processo di Analisi di flusso di Azure in un Rete virtuale di Azure (anteprima pubblica)
Questo articolo descrive come eseguire il processo di Analisi di flusso di Azure in una rete virtuale di Azure.
Panoramica
Il supporto della rete virtuale consente di bloccare l'accesso ad Analisi di flusso di Azure all'infrastruttura di rete virtuale. Questa funzionalità offre i vantaggi dell'isolamento della rete e può essere eseguita tramite la distribuzione di un'istanza in contenitori del processo ASA all'interno del Rete virtuale. Il processo asA inserito nella rete virtuale può quindi accedere privatamente alle risorse all'interno della rete virtuale tramite:
- Endpoint privati, che connettono il processo ASA inserito nella rete virtuale alle origini dati tramite collegamenti privati basati su collegamento privato di Azure.
- Endpoint di servizio, che connettono le origini dati al processo ASA inserito nella rete virtuale.
- Tag di servizio, che consentono o negano il traffico ad Analisi di flusso di Azure.
Disponibilità
Attualmente questa funzionalità è disponibile solo nelle aree selezionate: Stati Uniti occidentali, Canada centrale, Stati Uniti orientali, Stati Uniti orientali 2, Stati Uniti centrali, Europa occidentale e Europa settentrionale. Se si è interessati a abilitare l'integrazione della rete virtuale nell'area, compilare questo modulo.
Requisiti per il supporto per l'integrazione della rete virtuale
È necessario un account di archiviazione per utilizzo generico V2 (GPV2) per i processi ASA inseriti nella rete virtuale.
I processi ASA inseriti nella rete virtuale richiedono l'accesso ai metadati, ad esempio i checkpoint da archiviare nelle tabelle di Azure a scopo operativo.
Se è già stato effettuato il provisioning di un account GPV2 con il processo ASA, non sono necessari passaggi aggiuntivi.
Gli utenti con processi di scalabilità superiore con archiviazione Premium sono comunque necessari per fornire un account di archiviazione GPV2.
Se si desidera proteggere gli account di archiviazione dall'accesso pubblico basato su IP, è consigliabile configurarlo anche usando l'identità gestita e i servizi attendibili.
Per altre informazioni sugli account di archiviazione, vedere Panoramica dell'account di archiviazione e Creazione di un account di archiviazione.
Un Rete virtuale di Azure esistente o crearne uno.
Importante
I processi inseriti dalla rete virtuale ASA usano una tecnologia di inserimento di contenitori interni fornita dalla rete di Azure. In questo momento, Rete di Azure consiglia a tutti i clienti di configurare il gateway NAT di Azure per la sicurezza e l'affidabilità.
Il gateway NAT di Azure è un servizio NAT (Network Address Translation) completamente gestito e altamente resiliente. Il gateway NAT di Azure semplifica la connettività Internet in uscita per le reti virtuali. Se configurato in una subnet, tutta la connettività in uscita usa gli indirizzi IP pubblici statici del gateway NAT.
Per informazioni sulla configurazione e sui prezzi, vedere Gateway NAT di Azure.
Requisiti della subnet
L'integrazione della rete virtuale dipende da una subnet dedicata. Quando si crea una subnet, la subnet di Azure usa cinque INDIRIZZI IP dall'avvio.
È necessario prendere in considerazione l'intervallo IP associato alla subnet delegata in base alle esigenze future necessarie per supportare il carico di lavoro asA. Poiché le dimensioni della subnet non possono essere modificate dopo l'assegnazione, usare una subnet sufficientemente grande per soddisfare qualsiasi scalabilità dei processi potrebbe raggiungere.
L'operazione di scalabilità influisce sulle istanze reali, supportate per una determinata dimensione della subnet.
Considerazioni sulla stima degli intervalli IP
- Assicurarsi che l'intervallo di subnet non si sbatta con l'intervallo di subnet di ASA. Evitare l'intervallo IP 10.0.0.0 a 10.0.255.255 quando viene usato da ASA.
- Riserva:
- 5 indirizzi IP per rete di Azure
- 1 Indirizzo IP è necessario per facilitare le funzionalità, ad esempio dati di esempio, connessione di test e individuazione dei metadati per i processi associati a questa subnet.
- Sono necessari 2 indirizzi IP per ogni 6 SU o 1 SU V2 (la struttura tariffaria V2 di ASA viene avviata il 1° luglio 2023, vedere qui per informazioni dettagliate)
Quando si indica l'integrazione della rete virtuale con il processo di Analisi di flusso di Azure, portale di Azure delega automaticamente la subnet al servizio app. portale di Azure annulla l'accesso alla subnet negli scenari seguenti:
- Si informa che l'integrazione della rete virtuale non è più necessaria per l'ultimo processo associato alla subnet specificata tramite il portale asa (vedere la sezione "procedura").
- Eliminare l'ultimo processo associato alla subnet specificata.
Ultimo processo
Diversi processi ASA possono usare la stessa subnet. L'ultimo processo qui fa riferimento a nessun altro processo che usa la subnet specificata. Quando l'ultimo processo è stato eliminato o rimosso da associato, Analisi di flusso di Azure rilascia la subnet come risorsa, delegata a ASA come servizio. Consenti diversi minuti per il completamento di questa azione.
Configurare l'integrazione della rete virtuale
Portale di Azure
Dalla portale di Azure passare a Rete dalla barra dei menu e selezionare Esegui questo processo nella rete virtuale. Questo passaggio informa che il processo deve funzionare con una rete virtuale:
Configurare le impostazioni come richiesto e selezionare Salva.
Visual Studio Code
In Visual Studio Code fare riferimento alla subnet all'interno del processo ASA. Questo passaggio indica al processo che deve funzionare con una subnet.
In , configurare l'oggetto
JobConfig.json
VirtualNetworkConfiguration
come illustrato nell'immagine seguente.
Configurare un account di archiviazione associato
Nella pagina Processo di Analisi di flusso selezionare Impostazioni account di archiviazione nel menu a sinistra.
Nella pagina Impostazioni account di archiviazione selezionare Aggiungi account di archiviazione.
Seguire le istruzioni per configurare le impostazioni dell'account di archiviazione.
Importante
- Per eseguire l'autenticazione con la stringa di connessione, è necessario disabilitare le impostazioni del firewall dell'account di archiviazione.
- Per eseguire l'autenticazione con l'identità gestita, è necessario aggiungere il processo di Analisi di flusso all'elenco di controllo di accesso dell'account di archiviazione per il ruolo Collaboratore dati BLOB di archiviazione e al ruolo Collaboratore dati tabella archiviazione. Se non si concede l'accesso al processo, il processo non sarà in grado di eseguire alcuna operazione. Per altre informazioni su come concedere l'accesso, vedere Usare il controllo degli accessi in base al ruolo di Azure per assegnare un accesso all'identità gestita a un'altra risorsa.
Autorizzazioni
È necessario disporre almeno delle autorizzazioni di controllo degli accessi in base al ruolo seguenti nella subnet o a un livello superiore per configurare l'integrazione della rete virtuale tramite portale di Azure, interfaccia della riga di comando o quando si imposta direttamente la proprietà del sito virtualNetworkSubnetId:
Azione | Descrizione |
---|---|
Microsoft.Network/virtualNetworks/read |
Leggere la definizione di rete virtuale |
Microsoft.Network/virtualNetworks/subnets/read |
Leggere una definizione della subnet di rete virtuale |
Microsoft.Network/virtualNetworks/subnets/join/action |
Aggiunge una rete virtuale |
Microsoft.Network/virtualNetworks/subnets/write |
Facoltativa. Obbligatorio se è necessario eseguire la delega della subnet |
Se la rete virtuale si trova in una sottoscrizione diversa rispetto al processo ASA, è necessario assicurarsi che la sottoscrizione con la rete virtuale sia registrata per il Microsoft.StreamAnalytics
provider di risorse. È possibile registrare in modo esplicito il provider seguendo questa documentazione, ma viene registrato automaticamente durante la creazione del processo in una sottoscrizione.
Limitazioni
- I processi di rete virtuale richiedono un minimo di 1 SU V2 (nuovo modello tariffario) o 6 UNITÀ (corrente)
- Assicurarsi che l'intervallo di subnet non si condidi con l'intervallo di subnet ASA, ovvero non usare l'intervallo di subnet 10.0.0.0/16.
- I processi ASA e la rete virtuale devono trovarsi nella stessa area.
- La subnet delegata può essere usata solo da Analisi di flusso di Azure.
- Non è possibile eliminare una rete virtuale quando è integrata con ASA. È necessario annullare o rimuovere l'ultimo processo* nella subnet delegata.
- Attualmente non sono supportati gli aggiornamenti DNS. Se le configurazioni DNS della rete virtuale vengono modificate, è necessario ridistribuire tutti i processi ASA in tale rete virtuale (anche le subnet devono essere disassociate da tutti i processi e riconfigurate). Per altre informazioni, vedere Risoluzione dei nomi per le risorse nelle reti virtuali di Azure per altre informazioni.
Accedere alle risorse locali
Non è necessaria alcuna configurazione aggiuntiva per la funzionalità di integrazione della rete virtuale da raggiungere tramite la rete virtuale alle risorse locali. È sufficiente connettere la rete virtuale alle risorse locali usando ExpressRoute o una VPN da sito a sito.
Dettagli prezzi
Al di fuori dei requisiti di base elencati in questo documento, l'integrazione della rete virtuale non prevede costi aggiuntivi per l'uso oltre gli addebiti per i prezzi di Analisi di flusso di Azure.
Risoluzione dei problemi
La funzionalità è facile da configurare, ma ciò non significa che l'esperienza è gratuita. Se si verificano problemi di accesso all'endpoint desiderato, contattare supporto tecnico Microsoft.
Nota
Per commenti e suggerimenti diretti su questa funzionalità, contattare askasa@microsoft.com.