將串流分析作業連線至 Azure 虛擬網路 (VNET) 中的資源
串流分析作業會建立輸出連線至您的輸入和輸出 Azure 資源,即時處理資料並產生結果。 這些輸入和輸出資源 (例如 Azure 事件中樞和Azure SQL Database) 可能位於 Azure 防火牆後方或 Azure 虛擬網路 (VNET) 中。 串流分析服務會從無法直接包含在網路規則中的網路進行運作。
不過,有數種方式可以安全地將串流分析作業連線至這類案例中的輸入和輸出資源。
- 在 Azure 虛擬網路中執行串流分析作業 (公開預覽)
- 使用串流分析叢集中的私人端點。
- 使用受控識別驗證模式搭配 [允許信任的服務] 網路設定。
您的串流分析作業不接受任何輸入連線。
在 Azure 虛擬網路中執行串流分析作業 (公開預覽)
虛擬網路 (VNET) 支援可讓您鎖定對虛擬網路基礎結構的串流分析存取。 這項功能提供網路隔離的優點,而且可藉由在虛擬網路內部署 ASA 作業的容器化執行個體來完成。 然後,您插入 VNET 的 ASA 作業可以透過下列方式以私人方式存取虛擬網路內的資源:
- 私人端點,透過 Azure Private Link 所提供的私人連結,將插入 VNet 的 ASA 作業連線至資料來源。
- 服務端點,可將資料來源連線至插入 VNet 的 ASA 作業。
- 服務標籤,允許或拒絕串流分析的流量。
目前,VNET 整合僅適用於所選區域。 請瀏覽此頁面,以取得已啟用 VNET 區域的最新清單,以及如何在區域中要求此整合。
串流分析叢集中的私人端點。
串流分析叢集是單一租用戶專用的計算叢集,您可以在其中執行串流分析作業。 您可以在串流分析叢集中建立受控私人端點,可讓在叢集上執行的任何作業建立安全的輸出連線至您的輸入和輸出資源。
在串流分析叢集中建立私人端點是兩步驟作業。 此選項最適合中型到大型串流工作負載,因為串流分析叢集的大小下限為 12 SU V2 或 36 SU V1s (雖然 SU 可能是由各種訂用帳戶,或如開發、測試和生產等環境中的不同作業所共用)。 如需詳細資訊,請參閱 Azure 串流分析叢集。
受控識別驗證搭配「允許信任的服務」設定
有些 Azure 服務提供 [允許信任的服務] 網路設定,若啟用此設定,您的串流分析作業可以使用增強式驗證安全地連線至您的資源。 此選項可讓您將作業連線至輸入和輸出資源,而不需要串流分析叢集和私人端點。 設定您的作業使用這項技巧是兩步驟作業:
- 設定串流分析作業中的輸入或輸出時,請使用受控識別驗證模式。
- 將 Azure 角色指派給作業系統指派的受控識別,以授與特定串流分析作業對目標資源的明確存取權。
啟用 [允許信任的 Microsoft 服務] 不會授與對任何作業的完整存取權。 這可讓您完全控制哪些特定串流分析作業可以安全地存取您的資源。
您的作業可以使用這項技巧連線至下列 Azure 服務:
- Blob 儲存體或 Azure Data Lake Storage Gen2 - 可以是您作業的儲存體帳戶、串流輸入或輸出。
- Azure 事件中樞 - 可以是您作業的串流輸入或輸出。
如果您的作業需要連線至其他輸入或輸出類型,您可以先從串流分析寫入至事件中樞輸出,然後使用 Azure Functions 寫入至您選擇的任何目的地。 如果您想要直接從串流分析寫入至 VNet 或防火牆保護的其他輸出類型,則唯一的選項是使用串流分析叢集中的私人端點。