Поделиться через

Подключение заданий Stream Analytics к ресурсам в виртуальной сети Azure

  • Статья

Задания Stream Analytics устанавливают исходящие подключения к входным и выходным ресурсам Azure для обработки данных в режиме реального времени и получения результатов. Эти входные и выходные ресурсы (например, Центры событий Azure и база данных Azure SQL) могут находиться за брандмауэром Azure или в виртуальная сеть Azure (VNET). Служба Stream Analytics работает с сетями, которые нельзя непосредственно включить в сетевые правила.

Однако существует несколько способов безопасного подключения заданий Stream Analytics к входным и выходным ресурсам в таких сценариях.

Задание Stream Analytics не принимает входящее подключение.

Запуск задания Azure Stream Analytics в виртуальная сеть Azure (общедоступная предварительная версия)

Поддержка виртуальной сети позволяет заблокировать доступ к Azure Stream Analytics к инфраструктуре виртуальной сети. Эта возможность обеспечивает преимущества сетевой изоляции. Ее можно реализовать, развернув контейнерный экземпляр задания ASA в виртуальная сеть. После этого внедренное в виртуальную сеть задание ASA сможет получить частный доступ к ресурсам в виртуальной сети через:

  • Частные конечные точки, которые подключают внедренное в виртуальную сеть задание ASA к источникам данных через приватные каналы на основе Приватный канал Azure.
  • Конечные точки службы, которые подключают источники данных к заданию ASA, внедренного в виртуальную сеть.
  • Теги служб, которые разрешают или запрещают трафик в Azure Stream Analytics.

В настоящее время интеграция с виртуальной сетью доступна только в избранных регионах. Посетите эту страницу, чтобы узнать о последнем списке регионов с поддержкой виртуальной сети и о том, как запросить его в вашем регионе.

Частные конечные точки в кластерах Stream Analytics

Кластеры Stream Analytics — это выделенный вычислительный кластер (с одним клиентом), в котором можно выполнять задания Stream Analytics. Вы можете создавать управляемые частные конечные точки в кластере Stream Analytics, что позволяет любым заданиям, которые выполняются в кластере, устанавливать безопасное исходящее подключение к входным и выходным ресурсам.

Создание частных конечных точек в кластере Stream Analytics выполняется в два этапа. Этот вариант лучше всего подходит для средних и больших потоковых рабочих нагрузок, так как минимальный размер кластера Stream Analytics составляет 12 единиц SU V2 или 36 SU V1 (единицы безопасности могут совместно использоваться разными заданиями в различных подписках или средах, таких как разработка, тестирование и рабочая среда). Дополнительные сведения см. в статье Кластер Azure Stream Analytics .

Аутентификация управляемого удостоверения с конфигурацией "Разрешить доверенные службы"

Некоторые службы Azure предоставляют параметр сети Разрешить доверенные службы Майкрософт, который при включении позволяет заданиям Stream Analytics безопасно подключаться к ресурсу с помощью строгой проверки подлинности. Этот параметр позволяет вам подключать задания к входным и выходным ресурсам, не требуя кластера Stream Analytics и частных конечных точек. Настройка задания для использования этой методики происходит в два этапа:

  • Используйте режим аутентификации управляемого удостоверения при настройке ввода или вывода в задании Stream Analytics.
  • Предоставьте конкретным заданиям Stream Analytics явный доступ к целевым ресурсам, назначив роль Azure для управляемого удостоверения назначаемого системой задания.

Включение параметра Разрешить доверенные службы Майкрософт не предоставляет абсолютный доступ к любому заданию, но дает возможность полностью контролировать, какие конкретно задания Stream Analytics могут получать безопасный доступ к ресурсам.

С помощью этого метода ваши задания могут подключаться к следующим службам Azure:

  1. Хранилище BLOB-объектов или Azure Data Lake Storage 2-го поколения — может быть для вашего задания учетной записью хранения, входом или выходом для потоковой передачи.
  2. Центры событий Azure — могут быть для вашего задания входом или выходом для потоковой передачи.

Если для заданий требуется подключение к другим типам входа или выхода, можно сначала выполнить запись данных из Stream Analytics в выход Центров событий, а затем в любое нужное вам назначение с помощью Функций Azure. Если вы хотите напрямую выполнять запись из Stream Analytics в другие типы выходов, защищенных в виртуальной сети или брандмауэре, тогда единственным вариантом является использование частных конечных точек в кластерах Stream Analytics.

Дальнейшие действия