Zarządzanie zasobami dla aplikacji klienckich przy użyciu grup aplikacji

Artykuł
10/18/2023

Usługa Azure Event Hubs umożliwia zarządzanie obciążeniami przesyłania strumieniowego zdarzeń dla aplikacji klienckich łączących się z usługą Event Hubs przy użyciu grup aplikacji. Aby uzyskać więcej informacji, zobacz Zarządzanie zasobami przy użyciu grup aplikacji.

W tym artykule opisano, jak wykonać następujące zadania:

Utwórz grupę aplikacji.
Włączanie lub wyłączanie grupy aplikacji
Definiowanie limitów progowych i stosowanie zasad ograniczania przepustowości do grupy aplikacji
Weryfikowanie ograniczania przepustowości za pomocą dzienników diagnostycznych

Uwaga

Grupy aplikacji są dostępne tylko w warstwach Premium i dedykowanych .

Tworzenie grupy aplikacji

W tej sekcji pokazano, jak utworzyć grupę aplikacji przy użyciu witryny Azure Portal, interfejsu wiersza polecenia, programu PowerShell i szablonu usługi Azure Resource Manager (ARM).

Grupę aplikacji można utworzyć przy użyciu witryny Azure Portal, wykonując następujące kroki.

Przejdź do przestrzeni nazw usługi Event Hubs.
W menu po lewej stronie wybierz pozycję Grupy aplikacji w obszarze Ustawienia.
Na stronie Grupy aplikacji wybierz pozycję + Grupa aplikacji na pasku poleceń.
Na stronie Dodawanie grupy aplikacji wykonaj następujące kroki:
1. Określ nazwę grupy aplikacji.
2. Upewnij się, że wybrano opcję Włączone. Aby najpierw mieć grupę aplikacji w stanie wyłączonym, wyczyść opcję Włączone . Ta flaga określa, czy klienci grupy aplikacji mogą uzyskiwać dostęp do usługi Event Hubs, czy nie.
3. W polu Typ kontekstu zabezpieczeń wybierz pozycję Zasady dostępu współdzielonego przestrzeni nazw, zasady dostępu współdzielonego centrum zdarzeń lub aplikację Firmy Microsoft Entra. Grupa aplikacji obsługuje wybór klucza sygnatury dostępu współdzielonego na poziomie przestrzeni nazw lub na poziomie jednostki (centrum zdarzeń). Podczas tworzenia grupy aplikacji należy skojarzyć z sygnaturami dostępu współdzielonego (SAS) lub identyfikatorem aplikacji Firmy Microsoft Entra, który jest używany przez aplikacje klienckie.
4. W przypadku wybrania zasad dostępu współdzielonego przestrzeni nazw:
  1. W polu Nazwa klucza sygnatury dostępu współdzielonego wybierz zasady sygnatury dostępu współdzielonego, które mogą być używane jako kontekst zabezpieczeń dla tej grupy aplikacji. Możesz wybrać pozycję Dodaj zasady sygnatury dostępu współdzielonego, aby dodać nowe zasady, a następnie skojarzyć je z grupą aplikacji.
5. W przypadku wybrania zasad dostępu współdzielonego usługi Event Hubs:
  1. W polu nazwa klucza sygnatury dostępu współdzielonego skopiuj nazwę zasad sygnatury dostępu współdzielonego ze strony Usługi Event Hubs "Zasady dostępu współdzielonego" i wklej ją w polu tekstowym
6. W przypadku wybrania aplikacji Microsoft Entra:
  1. W polu Microsoft Entra Application (client) ID (client) (Identyfikator aplikacji Entra firmy Microsoft) określ identyfikator aplikacji firmy Microsoft lub klienta.

Obsługiwany typ kontekstu zabezpieczeń

Przejrzyj automatycznie wygenerowany identyfikator grupy klienta, który jest unikatowym identyfikatorem skojarzonym z grupą aplikacji. Zakres ładu aplikacji (przestrzeń nazw lub poziom jednostki) zależy od poziomu dostępu dla używanego identyfikatora aplikacji Firmy Microsoft Entra. W poniższej tabeli przedstawiono automatycznie wygenerowany identyfikator grupy klienta dla innego typu kontekstu zabezpieczeń:

Typ kontekstu zabezpieczeń	Automatycznie wygenerowany identyfikator grupy klienta
Klucz dostępu współdzielonego przestrzeni nazw	`NamespaceSASKeyName=<NamespaceLevelKeyName>`
Microsoft Entra Application	`AADAppID=<AppID>`
Klucz dostępu współdzielonego usługi Event Hubs	`EntitySASKeyName=<EntityLevelKeyName>`

Uwaga

Wszystkie istniejące grupy aplikacji utworzone przy użyciu klucza dostępu współdzielonego przestrzeni nazw będą nadal działać z identyfikatorem grupy klienta, zaczynając od SASKeyName. Jednak wszystkie nowe grupy aplikacji zaktualizowałyby identyfikator grupy klientów, jak pokazano powyżej.

Aby dodać zasady, wykonaj następujące kroki:
1. Wprowadź nazwę zasad.
2. W polu Typ wybierz pozycję Zasady ograniczania przepustowości.
3. W polu Identyfikator metryki wybierz jedną z następujących opcji: Komunikaty przychodzące, Komunikaty wychodzące, Bajty przychodzące, Bajty wychodzące. W poniższym przykładzie wybrano pozycję Komunikaty przychodzące.
4. W polu Próg limitu szybkości wprowadź wartość progową. W poniższym przykładzie wartość 10000 jest określana jako próg liczby przychodzących komunikatów.
  
  Oto zrzut ekranu strony z dodanymi innymi zasadami.
Teraz na stronie Dodawanie grupy aplikacji wybierz pozycję Dodaj.
Upewnij się, że grupa aplikacji jest widoczna na liście grup aplikacji.

Możesz usunąć grupę aplikacji na liście, wybierając przycisk ikony kosza obok niej na liście.

Użyj polecenia interfejsu wiersza polecenia: az eventhubs namespace application-group create aby utworzyć grupę aplikacji na poziomie przestrzeni nazw usługi Event Hubs lub centrum zdarzeń. Należy ustawić wartość --client-app-group-identifier na podstawie wybranego typu kontekstu zabezpieczeń. Zapoznaj się z powyższą tabelą, aby poznać obsługiwany typ kontekstu zabezpieczeń

Poniższy przykład tworzy grupę aplikacji o nazwie myAppGroup w przestrzeni nazw mynamespace w grupie MyResourceGroupzasobów platformy Azure. Używa on następujących konfiguracji.

Zasady dostępu współdzielonego są używane jako kontekst zabezpieczeń
Identyfikator grupy aplikacji klienckiej ma wartość NamespaceSASKeyName=<NameOfTheSASkey>.
Pierwsze zasady ograniczania dla Incoming messages metryki z wartością 10000 progową.
Drugie zasady ograniczania dla Incoming bytes metryki z wartością 20000 progową.

az eventhubs namespace application-group create --namespace-name mynamespace \
                                                -g MyResourceGroup \
                                                --name myAppGroup \
                                                --client-app-group-identifier NamespaceSASKeyName=keyname \
                                                --throttling-policy-config name=policy1 metric-id=IncomingMessages rate-limit-threshold=10000 \
                                                --throttling-policy-config name=policy2 metric-id=IncomingBytes rate-limit-threshold=20000

Aby dowiedzieć się więcej o poleceniu interfejsu wiersza polecenia, zobacz az eventhubs namespace application-group create.

Użyj polecenia programu PowerShell: New-AzEventHubApplicationGroup aby utworzyć grupę aplikacji na poziomie przestrzeni nazw usługi Event Hubs lub centrum zdarzeń. Należy ustawić parametr -ClientAppGroupIdentifier na podstawie wybranego typu kontekstu zabezpieczeń. Zapoznaj się z powyższą tabelą, aby poznać obsługiwany typ kontekstu zabezpieczeń

W poniższym przykładzie użyto elementu , New-AzEventHubThrottlingPolicyConfig aby utworzyć dwie zasady, które zostaną skojarzone z aplikacją.

Pierwsze zasady ograniczania dla Incoming bytes metryki z wartością 12345 progową.
Drugie zasady ograniczania dla Incoming messages metryki z wartością 23416 progową.

Następnie tworzy grupę aplikacji o nazwie myappgroup w przestrzeni nazw mynamespace w grupie myresourcegroup zasobów platformy Azure, określając zasady ograniczania przepustowości i zasady dostępu współdzielonego jako kontekst zabezpieczeń.

$policy1 = New-AzEventHubThrottlingPolicyConfig -Name policy1 -MetricId IncomingBytes -RateLimitThreshold 12345

$policy2 = New-AzEventHubThrottlingPolicyConfig -Name policy2 -MetricId IncomingMessages -RateLimitThreshold 23416

New-AzEventHubApplicationGroup -ResourceGroupName myresourcegroup -NamespaceName mynamespace -Name myappgroup 
		-ClientAppGroupIdentifier NamespaceSASKeyName=myauthkey -ThrottlingPolicyConfig $policy1, $policy2

Aby dowiedzieć się więcej o poleceniu programu PowerShell, zobacz New-AzEventHubApplicationGroup.

W poniższym przykładzie pokazano, jak utworzyć grupę aplikacji przy użyciu szablonu usługi ARM. W tym przykładzie grupa aplikacji jest skojarzona z istniejącą nazwą contososaspolicy zasad sygnatury dostępu współdzielonego przez ustawienie klienta AppGroupIdentifier jako NamespaceSASKeyName=contososaspolicy. Zasady grupy aplikacji są również zdefiniowane w szablonie usługi ARM. Należy ustawić właściwość ClientAppGroupIdentifier na podstawie wybranego typu kontekstu zabezpieczeń. Zapoznaj się z powyższą tabelą, aby poznać obsługiwany typ kontekstu zabezpieczeń

{
	"type": "ApplicationGroups",
	"apiVersion": "2022-01-01-preview",
	"name": "[parameters('applicationGroupName')]",
	"dependsOn": [
		"[resourceId('Microsoft.EventHub/namespaces/', parameters('eventHubNamespaceName'))]",
		"[resourceId('Microsoft.EventHub/namespaces/authorizationRules', parameters('eventHubNamespaceName'),parameters('namespaceAuthorizationRuleName'))]"
	],
	"properties": {
		"ClientAppGroupIdentifier": "NamespaceSASKeyName=contososaspolicy",
		"policies": [{
				"Type": "ThrottlingPolicy",
				"Name": "ThrottlingPolicy1",
				"metricId": "IncomingMessages",
				"rateLimitThreshold": 10
			},
			{
				"Type": "ThrottlingPolicy",
				"Name": "ThrottlingPolicy2",
				"metricId": "IncomingBytes",
				"rateLimitThreshold": 3951729
			}
		],
		"isEnabled": true
	}
}

Włączanie lub wyłączanie grupy aplikacji

Możesz uniemożliwić aplikacjom klienckim uzyskiwanie dostępu do przestrzeni nazw usługi Event Hubs, wyłączając grupę aplikacji zawierającą te aplikacje. Gdy grupa aplikacji jest wyłączona, aplikacje klienckie nie będą mogły publikować ani wykorzystywać danych. Wszystkie ustanowione połączenia z aplikacji klienckich tej grupy aplikacji również zostaną przerwane.

W tej sekcji pokazano, jak włączyć lub wyłączyć grupę aplikacji przy użyciu witryny Azure Portal, programu PowerShell, interfejsu wiersza polecenia i szablonu usługi ARM.

Na stronie Przestrzeń nazw usługi Event Hubs wybierz pozycję Grupy aplikacji w menu po lewej stronie.
Wybierz grupę aplikacji, którą chcesz włączyć lub wyłączyć.
Na stronie Edytowanie grupy aplikacji wyczyść pole wyboru obok pozycji Włączone, aby wyłączyć grupę aplikacji, a następnie wybierz pozycję Aktualizuj w dolnej części strony. Podobnie zaznacz pole wyboru, aby włączyć grupę aplikacji.

Użyj polecenia z --is-enabled ustawieniem az eventhubs namespace application-group update , aby false wyłączyć grupę aplikacji. Podobnie, aby włączyć grupę aplikacji, ustaw tę właściwość na true i uruchom polecenie .

Następujące przykładowe polecenie wyłącza grupę aplikacji o nazwie myappgroup w przestrzeni nazw mynamespace usługi Event Hubs, która znajduje się w grupie myresourcegroupzasobów .

az eventhubs namespace application-group update --namespace-name mynamespace -g myresourcegroup --name myappgroup --is-enabled false

Użyj polecenia Set-AzEventHubApplicationGroup z ustawioną wartością -IsEnabled , aby false wyłączyć grupę aplikacji. Podobnie, aby włączyć grupę aplikacji, ustaw tę właściwość na true i uruchom polecenie .

Następujące przykładowe polecenie wyłącza grupę aplikacji o nazwie myappgroup w przestrzeni nazw mynamespace usługi Event Hubs, która znajduje się w grupie myresourcegroupzasobów .

Set-AzEventHubApplicationGroup -ResourceGroupName myresourcegroup -NamespaceName mynamespace -Name myappgroup -IsEnabled false

Poniższy szablon usługi ARM pokazuje, jak zaktualizować istniejącą przestrzeń nazw (contosonamespace), aby wyłączyć grupę aplikacji, ustawiając isEnabled właściwość na falsewartość . Identyfikator grupy aplikacji to SASKeyName=RootManageSharedAccessKey.

Uwaga

W poniższym przykładzie dodano również dwie zasady ograniczania przepustowości

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "namespace_name": {
      "defaultValue": "contosonamespace",
      "type": "String"
    },
    "client-app-group-identifier": {
      "defaultValue": "SASKeyName=RootManageSharedAccessKey",
      "type": "String"
    }
  },
  "resources": [
    {
      "type": "Microsoft.EventHub/namespaces/applicationGroups",
      "apiVersion": "2022-01-01-preview",
      "name": "[concat(parameters('namespace_name'), '/contosoappgroup')]",
      "properties": {
        "clientAppGroupIdentifier": "[parameters('client-app-group-identifier')]",
        "isEnabled": false,
		"policies": [
			{
				"type": "ThrottlingPolicy",
				"name": "incomingmsgspolicy",
				"metricId": "IncomingMessages",
				"rateLimitThreshold": 10000
			},
			{
				"type": "ThrottlingPolicy",
				"name": "incomingbytespolicy",
				"metricId": "IncomingBytes",
				"rateLimitThreshold": 20000
			}
		]
      }
    }
  ]
}

Stosowanie zasad ograniczania przepustowości

Możesz dodać zero lub więcej zasad podczas tworzenia grupy aplikacji lub do istniejącej grupy aplikacji. Na przykład można dodać zasady ograniczania przepustowości związane z IncomingMessageselementem lub IncomingBytes OutgoingBytes do elementu contosoAppGroup. Te zasady zostaną zastosowane do obciążeń przesyłania strumieniowego zdarzeń aplikacji klienckich korzystających z zasad contososaspolicysygnatury dostępu współdzielonego .

Aby dowiedzieć się, jak dodawać zasady podczas tworzenia grupy aplikacji, zobacz sekcję Tworzenie grupy aplikacji.

Możesz również dodać zasady po utworzeniu grupy aplikacji.

Na stronie Przestrzeń nazw usługi Event Hubs wybierz pozycję Grupy aplikacji w menu po lewej stronie.
Wybierz grupę aplikacji, którą chcesz dodać, zaktualizować lub usunąć zasady.
Na stronie Edytowanie grupy aplikacji możesz wykonać następujące czynności:
1. Aktualizowanie ustawień (w tym wartości progowych) dla istniejących zasad
2. Dodawanie nowych zasad

Użyj polecenia , az eventhubs namespace application-group policy add aby dodać zasady do istniejącej grupy aplikacji.

Przykład:

az eventhubs namespace application-group policy add --namespace-name mynamespace -g MyResourceGroup --name myAppGroup --throttling-policy-config name=policy1 metric-id=OutgoingMessages rate-limit-threshold=10500 --throttling-policy-config name=policy2 metric-id=IncomingBytes rate-limit-threshold=20000

Użyj polecenia Set-AzEventHubApplicationGroup z ustawionymi odpowiednimi wartościami-ThrottingPolicyConfig.

Przykład:

$policyToBeAppended = New-AzEventHubThrottlingPolicyConfig -Name policy1 -MetricId IncomingBytes -RateLimitThreshold 12345

$appGroup = Get-AzEventHubApplicationGroup -ResourceGroupName myresourcegroup -NamespaceName mynamespace -Name myappgroup

$appGroup.ThrottlingPolicyConfig += $policyToBeAppended

Set-AzEventHubApplicationGroup -ResourceGroupName myresourcegroup -NamespaceName mynamespace -Name myappgroup -ThrottlingPolicyConfig $appGroup.ThrottlingPolicyConfig

Poniższy szablon usługi ARM pokazuje, jak zaktualizować istniejącą przestrzeń nazw (contosonamespace), aby dodać zasady ograniczania przepustowości. Identyfikator grupy aplikacji to NamespaceSASKeyName=RootManageSharedAccessKey.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "namespace_name": {
      "defaultValue": "contosonamespace",
      "type": "String"
    },
    "client-app-group-identifier": {
      "defaultValue": "NamespaceSASKeyName=RootManageSharedAccessKey",
      "type": "String"
    }
  },
  "resources": [
    {
      "type": "Microsoft.EventHub/namespaces/applicationGroups",
      "apiVersion": "2022-01-01-preview",
      "name": "[concat(parameters('namespace_name'), '/contosoappgroup')]",
      "properties": {
        "clientAppGroupIdentifier": "[parameters('client-app-group-identifier')]",
        "isEnabled": true,
		"policies": [
			{
				"type": "ThrottlingPolicy",
				"name": "incomingmsgspolicy",
				"metricId": "IncomingMessages",
				"rateLimitThreshold": 10000
			},
			{
				"type": "ThrottlingPolicy",
				"name": "incomingbytespolicy",
				"metricId": "IncomingBytes",
				"rateLimitThreshold": 20000
			}
		]
      }
    }
  ]
}

Wybieranie wartości progowej dla zasad ograniczania przepustowości

Usługa Azure Event Hubs obsługuje funkcje dzienników metryk aplikacji, aby obserwować zwykłą przepływność w systemie i odpowiednio decydować o wartości progowej dla grupy aplikacji. Możesz wykonać następujące kroki, aby zdecydować się na wartość progową:

Włącz ustawienia diagnostyczne w usłudze Event Hubs z dziennikami metryk aplikacji w wybranej kategorii i wybierz pozycję Log Analytics jako miejsce docelowe.
Utwórz pustą grupę aplikacji bez żadnych zasad ograniczania przepustowości.
Kontynuuj wysyłanie komunikatów/zdarzeń do centrum zdarzeń w zwykłej przepływności.
Przejdź do obszaru roboczego usługi Log Analytics i wykonaj zapytanie dotyczące odpowiedniej nazwy działania (na podstawie tabeli AzureDiagnostics ( resource-governance-overview.md#throttling-policy---threshold-limits )). Następujące przykładowe zapytanie jest ustawione w celu śledzenia wartości progowej dla komunikatów przychodzących:
```
AzureDiagnostics 
    | where ActivityName_s =="IncomingMessages" 
    | where Outcome_s =="Success"      
```
Wybierz sekcję Wykres w obszarze roboczym usługi Log Analytics i wykreśl wykres między czasem wygenerowanym na osi Y i liczbą komunikatów wysyłanych na osi x.

W tym przykładzie widać, że zwykła przepływność nigdy nie przekroczyła ponad 550 komunikatów (oczekiwana bieżąca przepływność). Ta obserwacja pomaga zdefiniować rzeczywistą wartość progową.
Po podjęciu decyzji o wartości progowej dodaj nowe zasady ograniczania w grupie aplikacji.

Publikowanie lub używanie zdarzeń

Po pomyślnym dodaniu zasad ograniczania przepływności do grupy aplikacji można przetestować zachowanie ograniczania przez publikowanie lub używanie zdarzeń przy użyciu aplikacji klienckich, które są częścią contosoAppGroup grupy aplikacji. Aby przetestować, możesz użyć klienta AMQP lub aplikacji klienckiej platformy Kafka i tej samej nazwy zasad SAS lub identyfikatora aplikacji Microsoft Entra używanego do tworzenia grupy aplikacji.

Uwaga

Gdy aplikacje klienckie są ograniczane, powinno wystąpić spowolnienie publikowania lub używania danych.

Weryfikowanie ograniczania przepustowości przy użyciu grup aplikacji

Podobnie jak w przypadku określania limitów progowych dla zasad ograniczania przepustowości, możesz użyć dzienników metryk aplikacji, aby zweryfikować ograniczanie przepustowości i znaleźć więcej szczegółów.

Poniższe przykładowe zapytanie umożliwia sprawdzenie wszystkich ograniczonych żądań w określonym przedziale czasu. Należy zaktualizować element ActivityName, aby był zgodny z operacją, która ma zostać ograniczona.


  AzureDiagnostics 
  |  where Category =="ApplicationMetricsLogs"
  | where ActivityName_s =="IncomingMessages" 
  | where Outcome_s =="Throttled"

Ze względu na ograniczenia na poziomie protokołu dzienniki żądań ograniczonych nie są generowane dla operacji konsumentów w centrum zdarzeń ( OutgoingMessages lub OutgoingBytes). Gdy żądania są ograniczane po stronie konsumenta, obserwujesz powolne przepływność ruchu wychodzącego.

Następne kroki

Aby uzyskać informacje koncepcyjne dotyczące grup aplikacji, zobacz Zarządzanie zasobami przy użyciu grup aplikacji.
Zobacz Dokumentacja programu Azure PowerShell dla usługi Event Hubs
Zobacz Dokumentacja interfejsu wiersza polecenia platformy Azure dla usługi Event Hubs

Udostępnij za pośrednictwem

Zarządzanie zasobami dla aplikacji klienckich przy użyciu grup aplikacji

Tworzenie grupy aplikacji

Obsługiwany typ kontekstu zabezpieczeń

Włączanie lub wyłączanie grupy aplikacji

Stosowanie zasad ograniczania przepustowości

Wybieranie wartości progowej dla zasad ograniczania przepustowości

Publikowanie lub używanie zdarzeń

Weryfikowanie ograniczania przepustowości przy użyciu grup aplikacji

Następne kroki

Opinia

Dodatkowe zasoby