Azure Virtual Network (VNET) のリソースへの Stream Analytics ジョブの接続
Stream Analytics ジョブは、Azure の入出力リソースへの送信接続を確立して、リアルタイムでデータを処理し、結果を生成します。 これらの入力リソースと出力リソース (Azure Event Hubs や Azure SQL Database など) は、Azure ファイアウォールの背後や Azure Virtual Network (VNET) 内に配置できます。 Stream Analytics サービスは、ネットワーク ルールに直接含めることができないネットワークから動作します。
ただし、このようなシナリオで、Stream Analytics ジョブを入力リソースと出力リソースに安全に接続する方法がいくつかあります。
- Azure Stream Analytics ジョブを Azure 仮想ネットワークで実行する (パブリック プレビュー)
- Stream Analytics クラスターのプライベート エンドポイントを使用する。
- マネージド ID の認証モードを、"信頼されたサービスを許可する" ネットワーク設定とともに使用する。
Stream Analytics ジョブは受信接続を受け入れません。
Azure Stream Analytics ジョブを Azure 仮想ネットワークで実行する (パブリック プレビュー)
Virtual Network (VNET) のサポートを使うと、Azure Stream Analytics へのアクセスを、仮想ネットワーク インフラストラクチャのみに制限できます。 ネットワークの分離という利点が得られるこの機能は、ASA ジョブのコンテナー化されたインスタンスをユーザーの仮想ネットワーク内にデプロイすることで実現できます。 VNET に挿入された ASA ジョブは、次の方法で仮想ネットワーク内のリソースにプライベートにアクセスできます。
- プライベート エンドポイント。VNet に挿入された ASA ジョブを、Azure Private Link を利用したプライベート リンク経由でデータ ソースに接続します。
- サービス エンドポイント。データ ソースを VNet に挿入された ASA ジョブに接続します。
- サービス タグ。Azure Stream Analytics へのトラフィックを許可または拒否します。
現時点では、VNET 統合は一部のリージョンでのみ利用できます。 VNET 対応リージョンの最新の一覧と、リージョンで要求する方法については、こちらのページを参照してください。
Stream Analytics クラスターのプライベート エンドポイント。
Stream Analytics クラスターは、Stream Analytics ジョブを実行できる単一テナント専用のコンピューティング クラスターです。 Stream Analytics クラスターにはマネージド プライベート エンドポイントを作成できます。これにより、クラスターで実行されているすべてのジョブで、入力リソースや出力リソースへの安全な送信接続を行うことができます。
Stream Analytics クラスターでのプライベート エンドポイントの作成は、2 ステップの操作です。 このオプションは、中規模から大規模のストリーミング ワークロードに適しています。Stream Analytics クラスターの最小サイズが 12 SU V2 または 36 SU V1 であるためです (SU は、さまざまなサブスクリプションや環境 (開発環境、テスト環境、運用環境など) の異なるジョブで共有できます)。 詳細については、「Azure Stream Analytics クラスター」を参照してください。
"信頼されたサービスを許可する" 構成でのマネージド ID 認証
一部の Azure サービスには、 [信頼された Microsoft サービスを許可] というネットワーク設定があります。この設定を有効にすると、Stream Analytics ジョブは、強力な認証を使用して安全にリソースに接続できます。 このオプションを使用すると、Stream Analytics クラスターやプライベート エンドポイントなしで、入力リソースや出力リソースにジョブを接続できます。 この手法を使用するためのジョブの構成は、次の 2 ステップの操作です。
- Stream Analytics ジョブで入力または出力を構成するときに、マネージド ID 認証モードを使用します。
- Azure ロールをジョブのシステム割り当て済みマネージド ID に割り当てることにより、特定の Stream Analytics ジョブにターゲット リソースへの明示的なアクセス権を付与します。
[信頼された Microsoft サービスを許可] を有効にしても、ジョブへの包括的なアクセス権は付与されません。 これにより、どの Stream Analytics ジョブに、リソースへの安全なアクセスを許可するかを完全に制御できます。
ジョブは、この手法を使用して、次の Azure サービスに接続できます。
- Blob Storage または Azure Data Lake Storage Gen2 - ジョブのストレージ アカウント、ストリーミング入力または出力。
- Azure Event Hubs - ジョブのストリーミング入力または出力。
ジョブから他の入力または出力の種類に接続する必要がある場合は、まず Stream Analytics から Event Hubs 出力に書き込み、次に Azure Functions を使用して任意の出力先に書き込むことができます。 VNet またはファイアウォールでセキュリティで保護されている他の出力の種類に Stream Analytics から直接書き込む必要がある場合は、Stream Analytics クラスターでプライベート エンドポイントを使用するしかありません。