你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将流分析作业连接到 Azure 虚拟网络 (VNET) 中的资源
流分析作业对输入和输出 Azure 资源建立出站连接,以实时处理数据并生成结果。 这些输入和输出资源(例如,Azure 事件中心和 Azure SQL 数据库)可以位于 Azure 防火墙后面或 Azure 虚拟网络 (VNET) 中。 流分析服务是从不能在网络规则中直接包含的网络上运行的。
但是,在这种情况下,可以通过几种方式将流分析作业安全连接到输入和输出资源。
- 在 Azure 虚拟网络(公共预览版)中运行 Azure 流分析作业
- 使用流分析群集中的专用终结点。
- 使用与“允许受信任的服务”网络设置耦合的托管标识身份验证模式。
流分析作业不接受任何入站连接。
在 Azure 虚拟网络(公共预览版)中运行 Azure 流分析作业
虚拟网络 (VNET) 支持可让你锁定对虚拟网络基础结构的 Azure 流分析的访问。 此功能为你提供了网络隔离的优势,并且可以通过在虚拟网络中部署 ASA 作业的容器化实例来实现。 然后,VNET 注入 ASA 作业可以通过以下方式私密访问虚拟网络中的资源:
- 专用终结点,用于通过由 Azure 专用链接提供支持的专用链接将 VNet 注入 ASA 作业连接到数据源。
- 服务终结点,用于将数据源连接到 VNet 注入 ASA 作业。
- 服务标记,允许或拒绝发往 Azure 流分析的流量。
目前,VNET 集成仅在选定区域中可用。 请访问此页面,了解已启用 VNET 的区域的最新列表,以及如何在你的区域中请求它。
流分析群集中的专用终结点。
流分析群集是单租户专用的计算群集,可在其中运行流分析作业。 可以在流分析群集中创建托管专用终结点,这允许在群集上运行的任何作业与输入和输出资源建立安全出站连接。
在流分析群集中创建专用终结点的操作分为两个步骤。 此选项最适合用于大中型流式处理工作负荷,因为流分析群集的最小大小为 12 SU V2 或 36 SU V1(不过,在开发、测试和生产等各种订阅或环境中的不同作业可以共享 SU)。 有关详细信息,请参阅 Azure 流分析定价。
使用‘允许受信任的服务’配置的托管标识身份验证
某些 Azure 服务提供“允许受信任的 Microsoft 服务”网络设置,启用此设置后,流分析作业可以使用强身份验证安全地连接到资源。 此选项允许作业连接到输入和输出资源,而无需流分析群集和专用终结点。 配置作业以使用此技术的操作分为 2 个步骤:
- 在流分析作业中配置输入或输出时使用托管标识身份验证模式。
- 通过将 Azure 角色分配给作业的系统分配的托管标识,授予特定流分析作业对目标资源的显式访问权限。
启用“允许受信任的 Microsoft 服务”不会授予对任何作业的总访问权限。 这样就可以完全控制哪些特定流分析作业可以安全地访问资源。
可以使用此技术将作业连接到以下 Azure 服务:
- Blob 存储或 Azure Data Lake Storage Gen2 - 可以是作业的存储帐户、流式输入或输出。
- Azure 事件中心 - 可以是作业的流式处理输入或输出。
如果作业需要连接到其他输入或输出类型,则可以使用 Azure Functions 先从流分析写入到事件中心输出,然后写入到所选择的任何目标。 如果想要从流分析直接写入到 VNet 或防火墙保护的其他输出类型,则唯一的选择是使用流分析群集中的专用终结点。