Ausführen Ihres Azure Stream Analytics Auftrags in einem Azure virtuellen Netzwerk

Erfahren Sie, wie Sie Ihren Azure Stream Analytics(ASA)-Auftrag in einem Azure virtuellen Netzwerk für die Netzwerkisolation und sicheren Zugriff auf Ressourcen ausführen.

Übersicht über die Unterstützung virtueller Netzwerke

Mit der Unterstützung für virtuelle Netzwerke können Sie den Zugriff auf Azure Stream Analytics auf Ihre virtuelle Netzwerkinfrastruktur beschränken. Die Integration virtueller Netzwerke bietet die Vorteile der Netzwerkisolation und kann durch bereitstellen einer containerisierten Instanz Ihres ASA-Auftrags in Ihrem virtuellen Netzwerk erreicht werden. Ihr in das virtuelle Netzwerk eingefügter ASA-Auftrag kann dann über folgende Elemente privat auf Ihre Ressourcen innerhalb des virtuellen Netzwerks zugreifen:

  • Private Endpunkte, die Ihren in ein virtuelles Netzwerk eingefügten ASA-Auftrag über private Links mit Unterstützung von Azure Private Link mit Ihren Datenquellen verbinden.
  • Dienstendpunkte, die Ihre Datenquellen mit dem in das VNet eingefügten ASA-Auftrag verbinden.
  • Diensttags, die Datenverkehr zu Azure Stream Analytics zulassen oder blockieren.

Verfügbare Regionen

Die Integration virtueller Netzwerke wird derzeit in den folgenden Regionen unterstützt:

Ost-USA, Ost-USA 2, West-USA 2, Zentral-USA, Nord-Mittel-USA, Zentral-Kanada, Westeuropa, Nordeuropa, Südostasien, Brasilien Süd, Japan Ost, Vereinigtes Königreich Süd, Zentralindien, Australien Ost, Frankreich Zentral, Deutschland West-Mittel und VAE Nord.

Wenn Ihre Region nicht aufgeführt ist und Sie daran interessiert sind, diese Funktion zu verwenden, füllen Sie dieses Formular aus.

Anfragen werden basierend auf Bedarf und Machbarkeit ausgewertet. Sie werden benachrichtigt, wenn die Region unterstützt werden kann.

Voraussetzungen

  • Für ASA-Aufträge, die in ein virtuelles Netzwerk eingebunden sind, ist ein Allzweck-V2-Speicherkonto (GPV2) erforderlich.

    • In das VNet eingefügte ASA-Aufträge erfordern Zugriff auf Metadaten wie Prüfpunkte, die zu betrieblichen Zwecken in Azure-Tabellen gespeichert werden.

    • Wenn Sie bereits über ein GPV2-Konto verfügen, das mit Ihrem ASA-Auftrag bereitgestellt wurde, sind keine zusätzlichen Schritte erforderlich.

    • Benutzer*innen mit Aufträgen mit höherer Skalierung und Storage Premium müssen weiterhin ein GPV2-Speicherkonto bereitstellen.

    • Wenn Sie Speicherkonten vor öffentlichem IP-basierten Zugriff schützen möchten, sollten Sie es mit verwalteter Identität und vertrauenswürdigen Diensten konfigurieren.

      Weitere Informationen zu Speicherkonten finden Sie unter Speicherkontoübersicht und Speicherkonto erstellen.

  • Ein Azure virtuelles Netzwerk. Sie können ein vorhandenes virtuelles Netzwerk verwenden oder ein neues netzwerk erstellen.

  • Ein funktionsfähiges Azure NAT Gateway.

    Wichtig

    ASA-Jobs, die in ein virtuelles Netzwerk eingefügt werden, verwenden eine interne Technologie zur Containerinjektion, die von Azure-Netzwerk bereitgestellt wird.

    Um die Sicherheit und Zuverlässigkeit Ihrer Azure Stream Analytics Jobs zu verbessern, müssen Sie eine der folgenden Aktionen ausführen:

    • Konfigurieren eines NAT-Gateways: Diese Konfiguration stellt sicher, dass der gesamte ausgehende Datenverkehr aus Ihrem virtuellen Netzwerk über eine sichere und konsistente öffentliche IP-Adresse weitergeleitet wird.

    • Standardmäßiger ausgehender Zugriff deaktivieren: Diese Einstellung verhindert unbeabsichtigten ausgehenden Datenverkehr aus Ihrem virtuellen Netzwerk und erhöht die Sicherheit Ihres Netzwerks.

    Azure NAT Gateway ist ein vollständig verwalteter und äußerst resilienter NAT-Dienst (Network Address Translation, Netzwerkadressenübersetzung). Bei der Konfiguration in einem Subnetz werden für die gesamte Konnektivität in ausgehender Richtung die statischen öffentlichen IP-Adressen des NAT Gateways verwendet. Diagramm: Architektur des virtuellen Netzwerks

    Weitere Informationen zu Azure NAT Gateway finden Sie unter Azure NAT Gateway.

  • Stellen Sie beim Konfigurieren von Azure IoT Hub mit privaten Endpunkten sicher, dass Sie auch einen privaten Endpunkt und entsprechende DNS-Einstellungen für den integrierten Event Hubs-kompatiblen Endpunkt konfigurieren. IoT Hub diesen Endpunkt verwendet, um Nachrichten weiterzuleiten, und ohne ordnungsgemäße DNS-Auflösung können Dienste wie Azure Stream Analytics möglicherweise keine Verbindung herstellen.

  • Anleitungen zum Einrichten privater Endpunkte und DNS für IoT Hub und Event Hubs finden Sie in den folgenden Ressourcen:

Überlegungen zum Subnetz

Die Integration virtueller Netzwerke hängt von der Verwendung eines dedizierten Subnetzes ab.

Berücksichtigen Sie beim Konfigurieren Ihres delegierten Subnetzes den IP-Bereich, um sowohl die aktuellen als auch zukünftigen Anforderungen für Ihre ASA-Workload zu erfüllen. Da die Subnetzgröße nach der Erstellung nicht geändert werden kann, wählen Sie eine Subnetzgröße aus, die die potenzielle Skalierung Ihres Auftrags unterstützen kann. Azure Networking reserviert die ersten fünf IP-Adressen innerhalb des Subnetzbereichs für die interne Verwendung.

Der Skalierungsvorgang wirkt sich auf die tatsächlichen, verfügbaren unterstützten Instanzen für eine bestimmte Subnetzgröße aus.

Überlegungen zur Schätzung von IP-Bereichen:

  • Stellen Sie sicher, dass der Subnetzbereich nicht mit dem Subnetzbereich von ASA in Konflikt steht. Vermeiden Sie den IP-Bereich 10.0.0.0 bis 10.0.255.255, da er von ASA verwendet wird.
  • Reservieren Sie Folgendes:
    • Fünf IP-Adressen für Azure-Netzwerke
    • Eine IP-Adresse ist erforderlich, um Funktionen wie Beispieldaten, Testverbindung und Metadatenermittlung für Aufträge zu ermöglichen, die diesem Subnetz zugeordnet sind.
    • Zwei IP-Adressen sind für alle sechs Streamingeinheiten (SU) oder ein SU V2 erforderlich. Ausführliche Informationen zum V2-Preismodell finden Sie unter Azure Stream Analytics Preise.

Subnetzdelegierung und Freigabeverhalten:

  • Wenn Sie die Integration virtueller Netzwerke für einen Azure Stream Analytics (ASA)-Auftrag aktivieren, delegiert das Azure-Portal automatisch das angegebene Subnetz an den ASA-Dienst.

  • In den folgenden Szenarien wird ASA die Delegierung des Subnetzes automatisch rückgängig machen:

    • Sie deaktivieren die Integration des virtuellen Netzwerks für den letzten ASA-Auftrag, der dieses Subnetz über das Azure-Portal verwendet.
    • Sie löschen den letzten ASA-Auftrag, der dem Subnetz zugeordnet ist.

Hinweis

Mehrere ASA-Aufträge können dasselbe Subnetz gemeinsam nutzen. Der "letzte Auftrag" bezieht sich auf den Punkt, an dem keine anderen ASA-Aufträge dieses Subnetzes verwenden. Sobald der letzte Auftrag entfernt wurde, gibt ASA das delegierte Subnetz frei. Diese Freigabe kann einige Minuten dauern.

Subnetz muss Intra-Subnet-Traffic ermöglichen

  • Die Subnetzkonfiguration muss den netzwerkinternen Netzwerkdatenverkehr aktivieren.
  • Dies bedeutet, dass sie eingehenden und ausgehenden Datenverkehr zulassen muss, in dem sich sowohl die Quell- als auch die Ziel-IP-Adressen im selben Subnetz befinden. Weitere Informationen finden Sie unter Intra-Subnet-Datenverkehr.

Einrichten der Integration virtueller Netzwerke

Azure-Portal

  1. Wählen Sie im Azure-Portal auf Ihrer Stream Analytics-Auftragsseite unter "Einstellungen" im linken Menü "Netzwerk" aus.

  2. Wählen Sie Diesen Auftrag in einem virtuellen Netzwerk ausführen aus, konfigurieren Sie die Einstellungen wie aufgefordert, und wählen Sie Speichern aus.

    Screenshot der Seite „Netzwerk“ für einen Stream Analytics-Auftrag.

Einrichten der Integration virtueller Netzwerke in Visual Studio Code

  1. Verweisen Sie in Visual Studio Code auf das Subnetz innerhalb Ihres ASA-Auftrags. Dieser Schritt legt für Ihren Job fest, dass er mit einem Subnetz arbeiten muss.

  2. Richten Sie in JobConfig.jsonVirtualNetworkConfiguration wie in der folgenden Abbildung gezeigt ein:

    Screenshot: Beispielkonfiguration für ein virtuelles Netzwerk

Einrichten eines zugeordneten Speicherkontos

  1. Wählen Sie auf ihrer Stream Analytics-Auftragsseite unter "Einstellungen " im linken Menü " Speicherkontoeinstellungen" aus.

  2. Wählen Sie auf der Seite Speicherkontoeinstellungen die Option Speicherkonto hinzufügen aus.

  3. Befolgen Sie die Anweisungen zum Konfigurieren Ihrer Speicherkontoeinstellungen.

    Screenshot: Seite „Speicherkontoeinstellungen“ eines Stream Analytics-Auftrags

Wichtig

  • Zum Authentifizieren mit der Verbindungszeichenfolge müssen Sie die Firewalleinstellungen des Speicherkontos deaktivieren.
  • Zum Authentifizieren mit einer verwalteten Identität müssen Sie Ihren Stream Analytics-Auftrag zur Zugriffssteuerungsliste des Speicherkontos für die Rollen „Mitwirkender für Storage-Blobdaten“ und „Mitwirkender für Storage-Tabellendaten“ hinzufügen. Wenn Sie Ihrem Job keinen Zugriff gewähren, kann der Job keine Vorgänge ausführen. Weitere Informationen zum Gewähren von Zugriff finden Sie unter Verwenden von Azure RBAC zum Zuweisen des Zugriffs einer verwalteten Identität auf eine andere Ressource.

Berechtigungen

Sie müssen mindestens über die folgenden Berechtigungen für die rollenbasierte Zugriffssteuerung im Subnetz oder auf einer höheren Ebene verfügen, um die Integration virtueller Netzwerke über das Azure-Portal, die CLI oder beim direkten Festlegen der Site-Eigenschaft „virtualNetworkSubnetId“ zu konfigurieren:

Aktion BESCHREIBUNG
Microsoft.Network/virtualNetworks/read Liest die Definition des virtuellen Netzwerks
Microsoft.Network/virtualNetworks/subnets/read Liest eine Subnetzdefinition für virtuelle Netzwerke aus
Microsoft.Network/virtualNetworks/subnets/join/action Tritt einem virtuellen Netzwerk bei
Microsoft.Network/virtualNetworks/subnets/write Wahlfrei. Erforderlich, wenn Sie die Subnetzdelegierung ausführen müssen

Wenn sich das virtuelle Netzwerk in einem anderen Abonnement als der ASA-Auftrag befindet, müssen Sie sicherstellen, dass das Abonnement mit dem virtuellen Netzwerk für den Ressourcenanbieter Microsoft.StreamAnalytics registriert ist. Sie können den Anbieter explizit registrieren, indem Sie die Schritte im Register-Ressourcenanbieter ausführen, aber es wird automatisch registriert, wenn Sie den Auftrag in einem Abonnement erstellen.

Einschränkungen bei der Integration virtueller Netzwerke

  • Aufträge für virtuelle Netzwerke erfordern mindestens eine SU V2 (neues Preismodell) oder sechs SUs (aktuell).
  • Stellen Sie sicher, dass der Subnetzbereich nicht mit dem ASA-Subnetzbereich in Konflikt steht (d. h. verwenden Sie nicht den Subnetzbereich 10.0.0.0/16).
  • ASA-Aufträge und das virtuelle Netzwerk müssen sich in derselben Region befinden.
  • Das delegierte Subnetz kann nur von Azure Stream Analytics verwendet werden.
  • Sie können ein virtuelles Netzwerk nicht löschen, wenn es in ASA integriert ist. Sie müssen die Zuordnung des letzten Auftrags* mit dem delegierten Subnetz aufheben oder ihn entfernen.
  • Dns-Aktualisierungen (Domain Name System) werden derzeit nicht unterstützt. Wenn sich DIE DNS-Konfigurationen Ihres virtuellen Netzwerks ändern, müssen Sie alle ASA-Aufträge in diesem virtuellen Netzwerk erneut bereitstellen (Subnetze müssen ebenfalls von allen Aufträgen getrennt und neu konfiguriert werden). Weitere Informationen finden Sie unter Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken.

Zugriff auf lokale Ressourcen

Für die Integration virtueller Netzwerke ist keine zusätzliche Konfiguration erforderlich, um über Ihr virtuelles Netzwerk lokale Ressourcen zu erreichen. Sie müssen Ihr virtuelles Netzwerk lediglich über ExpressRoute oder ein Site-to-Site-VPN mit lokalen Ressourcen verbinden.

Preisübersicht

Außerhalb der in diesem Dokument aufgeführten grundlegenden Anforderungen fallen für die VNET-Integration keine zusätzlichen Gebühren für die Nutzung an, die über die Azure Stream Analytics-Gebühren hinausgehen.

Problembehandlung bei der Integration virtueller Netzwerke

Wenn beim Zugriff auf den gewünschten Endpunkt Probleme auftreten, wenden Sie sich an den Microsoft-Support.

Hinweis

Erstellen Sie für direktes Feedback zu dieser Funktion eine Azure-Support Anforderung.

  • Last updated on