在 Azure 虛擬網路中執行串流分析作業 (公開預覽)
本文說明如何在 Azure 虛擬網路中執行串流分析 (ASA) 作業。
概觀
虛擬網路 (VNet) 支援可讓您鎖定對虛擬網路基礎結構的串流分析存取。 這項功能提供網路隔離的優點,而且可藉由在虛擬網路內部署 ASA 作業的容器化執行個體來完成。 然後,您插入 VNet 的 ASA 作業可以透過下列方式以私人方式存取虛擬網路內的資源:
- 私人端點,透過 Azure Private Link 所提供的私人連結,將插入 VNet 的 ASA 作業連線至資料來源。
- 服務端點,可將資料來源連線至插入 VNet 的 ASA 作業。
- 服務標籤,允許或拒絕串流分析的流量。
可用性
目前,此功能僅適用於選取區域:美國西部、加拿大中部、美國東部、美國東部 2、美國中部、西歐和北歐。 如果您想要在您的區域中啟用 VNet 整合,請填寫此表單。
VNet 整合支援的需求
插入 VNET 的 ASA 作業需要一般用途 V2 (GPV2) 儲存體帳戶。
現有的 Azure 虛擬網路或建立一個。
重要
ASA 插入 VNet 的作業會使用 Azure 網路所提供的內部容器插入技術。 目前,Azure 網路建議所有客戶都設定 Azure NAT 閘道的安全性和可靠性。
Azure NAT 閘道是完全受控且復原性高的網路位址轉譯 (NAT) 服務。 Azure NAT 閘道可為虛擬網路簡化輸出網際網路連線能力。 在子網路上設定時,所有輸出連線都會使用 NAT 閘道的靜態公用 IP 位址。
若要了解設定和定價,請參閱 Azure NAT 閘道。
子網路需求
虛擬網路整合取決於專用子網路。 當您建立子網路時,Azure 子網路會從頭取用五個 IP。
當您考慮支援 ASA 工作負載所需的未來需求時,您必須考慮與您的委派子網路相關聯的 IP 範圍。 因為子網路大小在指派之後就無法變更,所以請使用足以容納作業可能連線的任何子網路規模。
調整作業會影響指定子網路大小的實際可用支援執行個體。
估計 IP 範圍的考量事項
- 請確定子網路範圍不會與 ASA 的子網路範圍相衝突。 避免 IP 範圍 10.0.0.0.0 至 10.0.255.255,因為這是 ASA 所使用的 IP 範圍。
- 保留:
- Azure 網路的 5 個 IP 位址
- 需要 1 個 IP 位址,才能協助處理針對與此子網路相關聯的作業,例如範例資料、測試連線和中繼資料探索等功能。
- 每 6 個 SU 或 1 個 SU V2 都需要 2 個 IP 位址 (ASA 的 V2 定價結構於 2023 年 7 月 1 日推出,如需詳細資料,請參閱這裡)
當您指出 VNet 與串流分析作業整合時,Azure 入口網站會自動將子網路委派給 ASA 服務。 Azure 入口網站會在下列案例中取消委派子網路:
最後一個作業
數個 ASA 作業可能會利用相同的子網路。 此處的最後一個作業是指沒有使用指定子網路的其他作業。 當根據關聯性刪除或移除最後一個作業時,串流分析會將子網路發行為資源,該資源會委派給 ASA 作為服務。 等待幾分鐘讓此動作完成。
設定 VNet 整合
Azure 入口網站
從 Azure 入口網站,從功能表欄瀏覽至 [網路],然後選取 [在虛擬網路中執行此作業]。 此步驟會通知我們您的作業必須使用 VNet:
在出現提示時進行設定,然後選取 [儲存]。
VS Code
在 Visual Studio Code 中,參考 ASA 作業內的子網路。 此步驟會告訴您的工作必須使用子網路。
在
JobConfig.json
中,設定您的VirtualNetworkConfiguration
,如下圖所示。
設定相關聯的儲存體帳戶
在 [串流分析作業] 頁面上,選取左側功能表中 [設定] 底下的 [儲存體帳戶設定]。
在 [儲存體帳戶設定] 頁面上,選取 [新增儲存體帳戶]。
請遵循指示來設定儲存體帳戶設定。
重要
- 若要使用連接字串進行驗證,您必須停用儲存體帳戶防火牆設定。
- 若要使用受控識別進行驗證,您必須針對儲存體 Blob 資料參與者角色和儲存體資料表資料參與者角色,將串流分析作業新增至儲存體帳戶的存取控制清單。 如果您未授與作業存取權,作業將無法執行任何作業。 如需如何授與存取權的詳細資訊,請參閱〈使用 Azure RBAC 對其他資源指派受控識別存取權〉。
權限
您至少必須擁有子網路或較高層級的下列角色型存取控制權限,才能透過 Azure 入口網站、CLI 或在直接設定 virtualNetworkSubnetId 網站屬性時設定虛擬網路整合:
動作 | 描述 |
---|---|
Microsoft.Network/virtualNetworks/read |
讀取虛擬網路定義 |
Microsoft.Network/virtualNetworks/subnets/read |
讀取虛擬網路子網路定義 |
Microsoft.Network/virtualNetworks/subnets/join/action |
加入虛擬網路 |
Microsoft.Network/virtualNetworks/subnets/write |
選擇性。 如果您需要執行子網路委派時則需要 |
如果虛擬網路位於與 ASA 作業不同的訂用帳戶中,則您必須確定已向 Microsoft.StreamAnalytics
資源提供者註冊具有虛擬網路的訂用帳戶。 您可以遵循本文件來明確註冊提供者,但會在訂用帳戶中建立第一個作業時自動註冊提供者。
限制
- VNet 作業至少需要 1 個 SU V2 (新定價模式) 或 6 個 SU (目前)
- 請確定子網路範圍不會與 ASA 的子網路範圍相衝突 (也就是說,請勿使用子網路範圍 10.0.0.0/16)。
- ASA 作業和虛擬網路必須位於相同的區域。
- 委派的子網路只能由串流分析使用。
- 您無法在與 ASA 整合時刪除虛擬網路。 您必須解除關聯或移除委派子網路上的最後一個作業*。
- 我們目前不支援 DNS 重新整理。 如果 VNet 的 DNS 組態已變更,您必須重新部署該 VNet 中的所有 ASA 作業 (子網路也必須解除與所有作業的關聯並重新設定)。 如需詳細資訊,請參閱 Azure 虛擬網路中資源的名稱解析以取得詳細資訊。
存取內部部署資源
虛擬網路整合功能不需要額外的設定,即可透過虛擬網路連線至內部部署資源。 您只需要使用 ExpressRoute 或站對站 VPN 將虛擬網路連線至內部部署資源。
價格詳細資料
除了本文件所列的基本需求之外,使用虛擬網路整合時不需要串流分析定價費用以外的額外費用。
疑難排解
這項功能很容易設定,但不表示您在使用過程中不會遇到問題。 如果您遇到存取所需端點的問題,請連絡 Microsoft 支援服務。
注意
如需此功能的直接意見反應,請透過 askasa@microsoft.com 進行連絡。