Executar seu trabalho do Azure Stream Analytics em uma Rede Virtual do Azure (versão prévia pública)

Este artigo descreve como executar seu trabalho do Azure Stream Analytics (ASA) em uma rede virtual do Azure.

Visão geral

O suporte à VNet (rede virtual) permite isolar o acesso do Azure Stream Analytics à infraestrutura de rede virtual. Essa capacidade traz os benefícios do isolamento de rede e pode ser realizada implantando uma instância conteinerizada do seu trabalho do ASA dentro da sua Rede Virtual. Seu trabalho do ASA injetado na VNet pode acessar seus recursos de forma privada na rede virtual por meio de:

• Pontos de extremidade privados, que conectam seu trabalho do ASA injetado na VNet às fontes de dados por links privados alimentados pelo Link Privado do Azure.
• Pontos de extremidade de serviço, que conectam suas fontes de dados ao trabalho do ASA injetado na VNet.
• Marcas de serviço, que permitem ou negam o tráfego para o Azure Stream Analytics.

Disponibilidade

Atualmente, esse recurso está disponível apenas em regiões selecionadas: Oeste dos EUA, Canadá Central, Leste dos EUA, Leste dos EUA 2, EUA Central, Europa Ocidental e Norte da Europa. Se você estiver interessado em habilitar a integração VNet em sua região, preencha este formulário.

Requisitos para suporte à integração VNet

• Uma conta de armazenamento de uso geral V2 (GPV2) é necessária para trabalhos do ASA injetados na VNET.

  • Os trabalhos do ASA injetados na VNet exigem acesso a metadados, como pontos de verificação, a serem armazenados em tabelas do Azure para fins operacionais.

  • Se você já tiver uma conta GPV2 provisionada com seu trabalho do ASA, nenhuma etapa adicional será necessária.

  • Os usuários com trabalhos de maior escala com armazenamento Premium ainda são obrigados a apresentar uma conta de armazenamento GPV2.

  • Se você quiser proteger as contas de armazenamento contra acesso baseado em IP público, considere configurá-las usando também a Identidade Gerenciada e os Serviços Confiáveis.

    Para obter mais informações sobre contas de armazenamento, consulte Visão geral da conta de armazenamento e Criar uma conta de armazenamento.

• Uma Rede Virtual do Azure existente ou crie uma.

  Importante

  Os trabalhos do ASA injetados na VNET usam uma tecnologia interna de injeção de contêiner fornecida pela Rede do Azure. No momento, a Rede do Azure recomenda que todos os clientes configurem o Gateway da NAT do Azure para segurança e confiabilidade.

  Um Gateway da NAT do Azure é um serviço de conversão de endereços de rede (NAT) totalmente gerenciado e altamente resiliente. O Gateway da NAT do Azure simplifica a conectividade com a Internet de saída para redes virtuais. Quando configurado em uma sub-rede, toda a conectividade de saída usa seus endereços IP públicos estáticos do gateway da NAT.

  

  Para saber mais sobre a configuração e os preços, consulte Gateway da NAT do Azure.

Requisitos de sub-rede

A integração de rede virtual depende de uma sub-rede dedicada. Quando você cria uma sub-rede, a sub-rede do Azure consome cinco IPs desde o início.

Você deve levar em conta o intervalo de IP associado à sua sub-rede delegada, ao considerar as necessidades futuras para dar suporte à carga de trabalho do ASA. Como o tamanho da sub-rede não pode ser alterado após a atribuição, use uma sub-rede que seja grande o suficiente para acomodar qualquer escala que seu(s) trabalho(s) possa(m) alcançar.

A operação de escala afeta as instâncias reais disponíveis, com suporte, para um determinado tamanho de sub-rede.

Considerações para estimar intervalos de IP

• Verifique se o intervalo de sub-rede não colide com o intervalo de sub-rede do ASA. Evite o intervalo de IP 10.0.0.0 a 10.0.255.255, pois ele é usado pelo ASA.
• Reserve:
  • 5 endereços IP para a Rede do Azure
  • Um endereço IP é necessário para facilitar recursos como dados de exemplo, conexão de teste e descoberta de metadados para trabalhos associados a essa sub-rede.
  • Dois endereços IP são necessários para cada 6 SU ou 1 SU V2 (a estrutura de preços V2 da ASA será lançada em 1º de julho de 2023, consulteaqui para obter detalhes)

Quando você indicar a integração da VNET com seu trabalho do Azure Stream Analytics,o portal do Azure delegará automaticamente a sub-rede ao serviço ASA. O portal do Azure desmarcará a sub-rede nos seguintes cenários:

• Você nos informa que a integração da VNET não é mais necessária para o último trabalho associado à sub-rede especificada por meio do portal do ASA (consulte a seção 'como fazer').
• Exclua o último trabalho associado à sub-rede especificada.

Último trabalho

Vários trabalhos do ASA podem utilizar a mesma sub-rede. O último trabalho aqui refere-se a outros trabalhos que não utilizaram a sub-rede especificada. Quando o último trabalho foi excluído ou removido por associado, o Azure Stream Analytics libera a sub-rede como um recurso, que foi delegado ao ASA como um serviço. Espere vários minutos para que essa ação seja concluída.

Configurar a Integração VNET

Portal do Azure

1. No portal do Azure, navegue até Rede na barra de menus e selecione Executar este trabalho na rede virtual. Esta etapa nos informa que seu trabalho deve funcionar com uma VNET:

2. Defina as configurações avançadas e selecione Salvar.

   

Código VS

1. No Visual Studio Code, faça referência à sub-rede no trabalho do ASA. Esta etapa informa ao seu trabalho que ele deve funcionar com uma sub-rede.

2. Em JobConfig.json, configure sua VirtualNetworkConfiguration conforme mostrado na imagem a seguir.

   

Configurar uma conta de armazenamento associada

1. Na página trabalho do Stream Analytics, selecione Configurações da conta de armazenamento em Configurar no menu esquerdo.

2. Na página Configurações da conta de armazenamento, selecione Adicionar conta de armazenamento.

3. Siga as instruções para definir as configurações da conta de armazenamento.

   

Permissões

Você deve ter pelo menos as seguintes permissões de controle de acesso baseado em função na sub-rede ou em um nível superior para configurar a integração de rede virtual por meio de portal do Azure, CLI ou ao definir a propriedade do site virtualNetworkSubnetId diretamente:

Se a rede virtual estiver em uma assinatura diferente do seu trabalho do ASA, certifique-se de registrar a assinatura com a rede virtual para o provedor de recursos Microsoft.StreamAnalytics. Você pode registrar explicitamente o provedor seguindo esta documentação, mas ele é registrado automaticamente ao criar o trabalho em uma assinatura.

Limitações

• Os trabalhos de VNET exigem um mínimo de 1 SU V2 (novo modelo de preços) ou 6 SUs (atual)
• Verifique se o intervalo de sub-rede não colide com o intervalo de sub-rede ASA (ou seja, não use o intervalo de sub-rede 10.0.0.0/16).
• O(s) trabalho(s) do ASA e a rede virtual devem estar na mesma região.
• A sub-rede delegada só pode ser usada pelo Azure Stream Analytics.
• Você não pode excluir uma rede virtual quando ela é integrada ao ASA. Você deve desassociar ou remover o último trabalho* na sub-rede delegada.
• Não há suporte para atualizações de DNS no momento. Se as configurações de DNS da VNET forem alteradas, você deverá reimplantar todos os trabalhos do ASA nessa VNET (as sub-redes também precisarão ser desassociadas de todos os trabalhos e reconfiguradas). Para obter mais informações, consulte Resolução de nomes para recursos em redes virtuais do Azure para obter mais informações.

Acessar recursos locais

Nenhuma configuração extra é necessária para que o recurso de integração de rede virtual acesse a rede virtual até os recursos locais. Você apenas precisa conectar sua rede virtual aos recursos locais usando o ExpressRoute ou uma VPN site a site.

Detalhes de preço

Fora dos requisitos básicos listados neste documento, a integração de rede virtual não tem nenhum custo extra para uso além dos preços do Azure Stream Analytics.

Solução de problemas

Embora o recurso seja fácil de configurar, isso não significa que sua experiência estará livre de problemas. Se você encontrar problemas para acessar o ponto de extremidade desejado, entre em contato com Suporte da Microsoft.