将流分析作业连接到 Azure 虚拟网络 (VNET) 中的资源

流分析作业对输入和输出 Azure 资源建立出站连接,以实时处理数据并生成结果。 这些输入和输出资源(例如,Azure 事件中心和 Azure SQL 数据库)可以位于 Azure 防火墙后面或 Azure 虚拟网络 (VNET) 中。 流分析服务是从不能在网络规则中直接包含的网络上运行的。

但是,在这种情况下,可以通过两种方式将流分析作业安全连接到输入和输出资源。

  • 使用流分析群集中的专用终结点。
  • 使用与“允许受信任的服务”网络设置耦合的托管标识身份验证模式。

流分析作业不接受任何入站连接。

流分析群集中的专用终结点。

流分析群集是单租户专用的计算群集,可在其中运行流分析作业。 可以在流分析群集中创建托管专用终结点,这允许在群集上运行的任何作业与输入和输出资源建立安全出站连接。

在流分析群集中创建专用终结点的操作分为两个步骤。 此选项最适合用于大中型流式处理工作负荷,因为流分析群集的最小大小为 12 SU V2 或 36 SU V1(不过,在开发、测试和生产等各种订阅或环境中的不同作业可以共享 SU)。 有关详细信息,请参阅 Azure 流分析群集

使用‘允许受信任的服务’配置的托管标识身份验证

某些 Azure 服务提供“允许受信任的 Microsoft 服务”网络设置,启用此设置后,流分析作业可以使用强身份验证安全地连接到资源。 此选项允许作业连接到输入和输出资源,而无需流分析群集和专用终结点。 配置作业以使用此技术的操作分为 2 个步骤:

  • 在流分析作业中配置输入或输出时使用托管标识身份验证模式。
  • 通过将 Azure 角色分配给作业的系统分配的托管标识,授予特定流分析作业对目标资源的显式访问权限。

启用“允许受信任的 Microsoft 服务”不会授予对任何作业的总访问权限。 这样就可以完全控制哪些特定流分析作业可以安全地访问资源。

可以使用此技术将作业连接到以下 Azure 服务:

  1. Blob 存储或 Azure Data Lake Storage Gen2 - 可以是作业的存储帐户、流式输入或输出。
  2. Azure 事件中心 - 可以是作业的流式处理输入或输出。

如果作业需要连接到其他输入或输出类型,则可以使用 Azure Functions 先从流分析写入到事件中心输出,然后写入到所选择的任何目标。 如果想要从流分析直接写入到 VNet 或防火墙保护的其他输出类型,则唯一的选择是使用流分析群集中的专用终结点。

后续步骤