Freigeben über

Ausführen eines Azure Stream Analytics-Auftrags in einem virtuellen Azure-Netzwerk

In diesem Artikel wird beschrieben, wie Sie einen ASA-Auftrag (Azure Stream Analytics) in einem virtuellen Azure-Netzwerk ausführen.

Übersicht

Mit der Unterstützung für virtuelle Netzwerke können Sie den Zugriff auf Azure Stream Analytics auf Ihre virtuelle Netzwerkinfrastruktur beschränken. Diese Funktion bietet Ihnen die Vorteile der Netzwerkisolation und kann durch die Bereitstellung einer containerisierten Instanz Ihres ASA-Auftrags in Ihrem virtuellen Netzwerk erreicht werden. Ihr in das virtuelle Netzwerk eingefügter ASA-Auftrag kann dann über folgende Elemente privat auf Ihre Ressourcen innerhalb des virtuellen Netzwerks zugreifen:

  • Private Endpunkte, die den in das VNet eingefügten ASA-Auftrag über private Verbindungen, die von Azure Private Link unterstützt werden, mit Ihren Datenquellen verbinden.
  • Dienstendpunkte, die Ihre Datenquellen mit dem in das VNet eingefügten ASA-Auftrag verbinden.
  • Diensttags, die Datenverkehr zu Azure Stream Analytics zulassen oder verweigern

Verfügbare Regionen

Die Integration virtueller Netzwerke wird derzeit in den folgenden Regionen unterstützt:

Ost-USA, Ost-USA 2, West-USA 2, Zentral-USA, Nord-Mittel-USA, Zentral-Kanada, Westeuropa, Nordeuropa, Südostasien, Brasilien Süd, Japan Ost, Vereinigtes Königreich Süd, Zentralindien, Australien Ost, Frankreich Zentral, Deutschland West-Mittel und VAE Nord.

Wenn Ihre Region nicht aufgeführt ist und Sie an dieser Funktion interessiert sind, füllen Sie dieses Formular aus.

Wir bewerten Anfragen basierend auf Nachfrage und Machbarkeit und informieren Sie darüber, ob wir Ihre Region unterstützen können.

Voraussetzungen

  • Für in das VNet eingefügte ASA-Aufträge ist ein Speicherkonto des Typs „Universell v2“ (GPV2) erforderlich.

    • In das VNet eingefügte ASA-Aufträge erfordern Zugriff auf Metadaten wie Prüfpunkte, die zu betrieblichen Zwecken in Azure-Tabellen gespeichert werden.

    • Wenn Sie bereits über ein GPV2-Konto verfügen, das mit Ihrem ASA-Auftrag bereitgestellt wurde, sind keine zusätzlichen Schritte erforderlich.

    • Benutzer*innen mit Aufträgen mit höherer Skalierung und Storage Premium müssen weiterhin ein GPV2-Speicherkonto bereitstellen.

    • Wenn Sie Speicherkonten vor Zugriff, der auf öffentlichen IP-Adresse basiert, schützen möchten, sollten Sie auch die Konfiguration mithilfe verwalteter Identitäten und vertrauenswürdiger Dienste in Erwägung ziehen.

      Weitere Informationen zu Speicherkonten finden Sie unter Speicherkontoübersicht und Speicherkonto erstellen.

  • Ein virtuelles Azure-Netzwerk. Sie können ein vorhandenes Netzwerk verwenden oder eins erstellen.

  • Eine betriebsbereite Azure NAT Gateway-Instanz. Entsprechende Informationen finden Sie weiter unten unter „WICHTIG“.

    Wichtig

    In das VNet eingefügte ASA-Aufträge verwenden eine interne Technologie zur Containereinschleusung, die von Azure-Netzwerken bereitgestellt wird.

    Um die Sicherheit und Zuverlässigkeit Ihrer Azure Stream Analytics-Aufträge zu verbessern, müssen Sie eine der folgenden Aktionen ausführen:

    • Konfigurieren Sie eine NAT Gateway-Instanz: Dadurch wird sichergestellt, dass der gesamte ausgehende Datenverkehr von Ihrem VNet über eine sichere und konsistente öffentliche IP-Adresse weitergeleitet wird.

    • Deaktivieren Sie den standardmäßigen ausgehenden Zugriff: Dadurch wird unbeabsichtigter ausgehender Datenverkehr von Ihrem VNet verhindert, wodurch die Sicherheit Ihres Netzwerks verbessert wird.

    Azure NAT Gateway ist ein vollständig verwalteter und äußerst resilienter NAT-Dienst (Network Address Translation, Netzwerkadressenübersetzung). Bei der Konfiguration in einem Subnetz werden für die gesamte Konnektivität in ausgehender Richtung die statischen öffentlichen IP-Adressen des NAT Gateways verwendet. Diagramm: Architektur des virtuellen Netzwerks

    Weitere Informationen zu Azure NAT Gateway finden Sie unter Azure NAT Gateway.

  • Stellen Sie beim Konfigurieren von Azure IoT Hub mit privaten Endpunkten sicher, dass Sie auch einen privaten Endpunkt und entsprechende DNS-Einstellungen für den integrierten Event Hubs-kompatiblen Endpunkt konfigurieren. IoT Hub verwendet diesen Endpunkt, um Nachrichten weiterzuleiten, und ohne ordnungsgemäße DNS-Auflösung können Dienste wie Azure Stream Analytics möglicherweise keine Verbindung herstellen.

  • Anleitungen zum Einrichten privater Endpunkte und DNS für IoT Hub und Event Hubs finden Sie in den folgenden Ressourcen:

Subnetzüberlegungen

Die Integration virtueller Netzwerke hängt von der Verwendung eines dedizierten Subnetzes ab.

Bei der Konfiguration Ihres delegierten Subnetzes ist es wichtig, den IP-Adressbereich zu berücksichtigen, um sowohl die aktuellen als auch zukünftigen Anforderungen für Ihren ASA-Workload zu erfüllen. Da die Größe des Subnetzes nach dem Einrichten nicht geändert werden kann, empfiehlt es sich, eine Subnetzgröße auszuwählen, die eine potenzielle Skalierung Ihres Auftrags unterstützen kann. Beachten Sie außerdem, dass Azure Networking die ersten fünf IP-Adressen innerhalb des Subnetzbereichs für die interne Verwendung reserviert.

Der Skalierungsvorgang wirkt sich auf die tatsächlichen, verfügbaren unterstützten Instanzen für eine bestimmte Subnetzgröße aus.

Überlegungen zur Schätzung von IP-Bereichen:

  • Stellen Sie sicher, dass der Subnetzbereich nicht mit dem Subnetzbereich von ASA in Konflikt steht. Vermeiden Sie den IP-Bereich 10.0.0.0 bis 10.0.255.255, da er von ASA verwendet wird.
  • Reservieren Sie Folgendes:
    • Fünf IP-Adressen für Azure-Netzwerke
    • Eine IP-Adresse ist erforderlich, um Funktionen wie Beispieldaten, Testverbindung und Metadatenermittlung für Aufträge zu ermöglichen, die diesem Subnetz zugeordnet sind.
    • Zwei IP-Adressen sind für jeweils 6 Streamingeinheiten (Streaming Unit, SU) oder eine SU V2 erforderlich. (Die V2-Preisstruktur von ASA wird am 1. Juli 2023 eingeführt. Details finden Sie hier.)

Subnetzdelegierung und Freigabeverhalten:

  • Wenn Sie die Integration virtueller Netzwerke für einen Azure Stream Analytics (ASA)-Auftrag aktivieren, delegiert das Azure-Portal automatisch das angegebene Subnetz an den ASA-Dienst.

  • In den folgenden Szenarien wird ASA die Delegierung des Subnetzes automatisch rückgängig machen:

    • Sie deaktivieren die Integration des virtuellen Netzwerks für den letzten ASA-Auftrag, der dieses Subnetz über das Azure-Portal verwendet.
    • Sie löschen den letzten ASA-Auftrag, der dem Subnetz zugeordnet ist.

Hinweis: Mehrere ASA-Aufträge können dasselbe Subnetz gemeinsam nutzen. Der "letzte Auftrag" bezieht sich auf den Punkt, an dem keine anderen ASA-Aufträge dieses Subnetzes verwenden. Sobald der letzte Auftrag entfernt wurde, gibt ASA das delegierte Subnetz frei. Dies kann einige Minuten dauern.

Subnetz muss Intra-Subnet-Traffic ermöglichen

  • Die Subnetzkonfiguration muss den netzwerkinternen Netzwerkdatenverkehr aktivieren.
  • Dies bedeutet, dass sie eingehenden und ausgehenden Datenverkehr zulassen muss, in dem sich sowohl die Quell- als auch die Ziel-IP-Adressen im selben Subnetz befinden. Hiererhalten Sie weitere Informationen.

Einrichten der Integration virtueller Netzwerke

Azure-Portal

  1. Navigieren Sie im Azure-Portal über die Menüleiste zu Netzwerk, und wählen Sie Diesen Auftrag im virtuellen Netzwerk ausführen aus. Dieser Schritt informiert uns darüber, dass Ihr Auftrag ein VNet verwenden muss:

  2. Konfigurieren Sie die Einstellungen gemäß der Eingabeaufforderung, und wählen Sie anschließend Speichern aus.

    Screenshot: Seite „Netzwerk“ für einen Stream Analytics-Auftrag

VS-Code

  1. Verweisen Sie in Visual Studio Code auf das Subnetz innerhalb Ihres ASA-Auftrags. In diesem Schritt wird Ihrem Auftrag mitgeteilt, dass er ein Subnetz verwenden muss.

  2. Richten Sie in JobConfig.jsonVirtualNetworkConfiguration wie in der folgenden Abbildung gezeigt ein:

    Screenshot: Beispielkonfiguration für ein virtuelles Netzwerk

Einrichten eines zugeordneten Speicherkontos

  1. Wählen Sie auf der Seite Stream Analytics-Auftrag im linken Menü unter Konfigurieren die Option Speicherkontoeinstellungen aus.

  2. Wählen Sie auf der Seite Speicherkontoeinstellungen die Option Speicherkonto hinzufügen aus.

  3. Befolgen Sie die Anweisungen zum Konfigurieren Ihrer Speicherkontoeinstellungen.

    Screenshot: Seite „Speicherkontoeinstellungen“ eines Stream Analytics-Auftrags

Wichtig

  • Zum Authentifizieren mit der Verbindungszeichenfolge müssen Sie die Firewalleinstellungen des Speicherkontos deaktivieren.
  • Wenn Sie sich mit einer verwalteten Identität authentifizieren, müssen Sie Ihren Stream Analytics-Auftrag der Zugriffssteuerungsliste des Speicherkontos mit der Rolle „Mitwirkender an Storage-Blobdaten“ und der Rolle „Mitwirkender an Storage-Tabellendaten“ hinzufügen. Wenn Sie dem Auftrag keinen Zugriff gewähren, kann er keine Vorgänge ausführen. Weitere Informationen zum Gewähren von Zugriff finden Sie unter Verwenden von Azure RBAC zum Zuweisen des Zugriffs einer verwalteten Identität auf eine andere Ressource.

Berechtigungen

Sie müssen mindestens über die folgenden Berechtigungen für die rollenbasierte Zugriffssteuerung im Subnetz oder auf einer höheren Ebene verfügen, um die Integration virtueller Netzwerke über das Azure-Portal, die CLI oder beim direkten Festlegen der Site-Eigenschaft „virtualNetworkSubnetId“ zu konfigurieren:

Aktion BESCHREIBUNG
Microsoft.Network/virtualNetworks/read Liest die Definition des virtuellen Netzwerks
Microsoft.Network/virtualNetworks/subnets/read Liest eine Subnetzdefinition für virtuelle Netzwerke aus
Microsoft.Network/virtualNetworks/subnets/join/action Verknüpft ein virtuelles Netzwerk.
Microsoft.Network/virtualNetworks/subnets/write Wahlfrei. Erforderlich, wenn Sie die Subnetzdelegierung ausführen müssen

Wenn sich das virtuelle Netzwerk in einem anderen Abonnement als der ASA-Auftrag befindet, müssen Sie sicherstellen, dass das Abonnement mit dem virtuellen Netzwerk für den Ressourcenanbieter Microsoft.StreamAnalytics registriert ist. Sie können den Anbieter explizit registrieren, indem Sie diese Dokumentation befolgen. Er wird jedoch automatisch registriert, wenn Sie den Auftrag in einem Abonnement erstellen.

Begrenzungen

  • VNet-Aufträge erfordern mindestens 1 SU V2 (neues Preismodell) oder 6 SUs (aktuelles Preismodell).
  • Stellen Sie sicher, dass der Subnetzbereich nicht mit dem ASA-Subnetzbereich in Konflikt steht (d. h. verwenden Sie nicht den Subnetzbereich 10.0.0.0/16).
  • ASA-Aufträge und das virtuelle Netzwerk müssen sich in derselben Region befinden.
  • Das delegierte Subnetz kann nur von Azure Stream Analytics verwendet werden.
  • Sie können ein virtuelles Netzwerk nicht löschen, wenn es in ASA integriert ist. Sie müssen die Zuordnung des letzten Auftrags* im delegierten Subnetz aufheben oder den letzten Auftrag entfernen.
  • DNS-Aktualisierungen (Domain Name System) werden derzeit nicht unterstützt. Wenn DNS-Konfigurationen Ihres VNet geändert werden, müssen Sie alle ASA-Aufträge in diesem VNet erneut bereitstellen. (Die Zuordnung der Subnetze zu allen Aufträgen muss außerdem aufgehoben werden, und die Subnetze müssen neu konfiguriert werden.) Weitere Informationen finden Sie unter Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken.

Zugriff auf lokale Ressourcen

Für die Integration virtueller Netzwerke ist keine zusätzliche Konfiguration erforderlich, um über Ihr virtuelles Netzwerk lokale Ressourcen zu erreichen. Sie müssen Ihr virtuelles Netzwerk lediglich über ExpressRoute oder ein Site-to-Site-VPN mit lokalen Ressourcen verbinden.

Preisübersicht

Außerhalb der in diesem Dokument aufgeführten grundlegenden Anforderungen fallen für die VNET-Integration keine zusätzlichen Gebühren für die Nutzung an, die über die Azure Stream Analytics-Gebühren hinausgehen.

Problembehandlung

Die Funktion ist zwar einfach einzurichten, dies bedeutet jedoch nicht, dass keinerlei Probleme auftreten. Wenn beim Zugriff auf den gewünschten Endpunkt Probleme auftreten, wenden Sie sich an den Microsoft-Support.

Hinweis

Direktes Feedback zu dieser Funktion können Sie an askasa@microsoft.com senden.

  • Last updated on