مشاركة عبر

تشغيل وظيفة Azure Stream Analytics في شبكة Azure الظاهرية

  • مقالة

توضح هذه المقالة كيفية تشغيل وظيفة Azure Stream Analytics (ASA) في شبكة Azure الظاهرية.

نظرة عامة

يتيح لك دعم الشبكة الظاهرية تأمين الوصول إلى Azure Stream Analytics إلى البنية الأساسية للشبكة الظاهرية. توفر لك هذه الإمكانية فوائد عزل الشبكة ويمكن إنجازها عن طريق نشر مثيل حاوية لوظيفة ASA داخل شبكتك الظاهرية. يمكن لوظيفة ASA المحقونة بالشبكة الظاهرية الوصول بشكل خاص إلى مواردك داخل الشبكة الظاهرية عبر:

  • نقاط النهاية الخاصة، التي تربط شبكتك الظاهرية وظيفة ASA المحقونة بمصادر البيانات الخاصة بك عبر ارتباطات خاصة مدعومة من Azure Private Link.
  • نقاط نهاية الخدمة، التي تربط مصادر البيانات الخاصة بك بشبكتك الظاهرية التي حقنت وظيفة ASA.
  • علامات الخدمة، التي تسمح بنسبة استخدام الشبكة إلى Azure Stream Analytics أو ترفضها.

التوافر

تتوفر هذه الإمكانية حاليا فقط في مناطق محددة: شرق الولايات المتحدة وشرق الولايات المتحدة 2 وغرب الولايات المتحدة وغرب الولايات المتحدة 2 ووسط الولايات المتحدة وشمال وسط الولايات المتحدة ووسط كندا وغرب أوروبا وشمال أوروبا وجنوب شرق آسيا وجنوب البرازيل وشرق اليابان وجنوب المملكة المتحدة ووسط الهند وشرق أستراليا وفرنسا الوسطى وألمانيا الغربية الوسطى وشمال الإمارات العربية المتحدة. إذا كنت مهتما بتمكين تكامل الشبكة الظاهرية في منطقتك، فاملأ هذا النموذج. وتضاف المناطق بناء على الطلب والجدوى. سنقوم بإعلامك إذا تمكنا من تلبية طلبك.

متطلبات دعم تكامل الشبكة الظاهرية

  • مطلوب حساب تخزين للأغراض العامة V2 (GPV2) لمهام ASA المحقونة بالشبكة الظاهرية.

    • تتطلب وظائف ASA المحقونة بالشبكة الظاهرية الوصول إلى بيانات التعريف مثل نقاط التحقق ليتم تخزينها في جداول Azure لأغراض تشغيلية.

    • إذا كان لديك بالفعل حساب GPV2 تم توفيره مع وظيفة ASA الخاصة بك، فلا يلزم اتخاذ خطوات إضافية.

    • لا يزال المستخدمون الذين لديهم وظائف ذات نطاق أعلى مع تخزين Premium مطلوبين لتوفير حساب تخزين GPV2.

    • إذا كنت ترغب في حماية حسابات التخزين من الوصول العام المستند إلى IP، ففكر في تكوينه باستخدام الهوية المدارة والخدمات الموثوق بها أيضا.

      لمزيد من المعلومات حول حسابات التخزين، راجع نظرة عامة على حساب التخزين وإنشاء حساب تخزين.

  • شبكة Azure الظاهرية، يمكنك استخدام شبكة موجودة أو إنشاء واحدة.

  • بوابة Azure Nat التشغيلية، راجع ملاحظة هامة أدناه.

    هام

    تستخدم وظائف حقن شبكة ASA الظاهرية تقنية حقن حاوية داخلية توفرها شبكة Azure.

    لتحسين أمان وموثوقية وظائف Azure Stream Analytics، ستحتاج إلى إما:

    • تكوين بوابة NAT: سيضمن ذلك توجيه جميع نسبة استخدام الشبكة الصادرة من VNET من خلال عنوان IP عام آمن ومتسق.

    • تعطيل الوصول الصادر الافتراضي: سيؤدي ذلك إلى منع أي حركة مرور صادرة غير مقصودة من VNET، ما يعزز أمان شبكتك.

    Azure NAT Gateway هي خدمة ترجمة عناوين الشبكة (NAT) مدارة بالكامل ومرنة للغاية. عند التكوين على شبكة فرعية، تستخدم جميع الاتصالات الصادرة عناوين IP العامة الثابتة لبوابة NAT. رسم تخطيطي يوضح بنية الشبكة الظاهرية.

    لمزيد من المعلومات حول Azure NAT Gateway، راجع Azure NAT Gateway.

متطلبات الشبكة الفرعية

يعتمد تكامل الشبكة الظاهرية على شبكة فرعية مخصصة.

عند تكوين الشبكة الفرعية المفوضة، من الضروري مراعاة نطاق IP لاستيعاب المتطلبات الحالية والمستقبلية لحمل عمل ASA الخاص بك. نظرا لأنه لا يمكن تعديل حجم الشبكة الفرعية بمجرد إنشائه، فمن المستحسن تحديد حجم شبكة فرعية يمكن أن يدعم المقياس المحتمل لمهمتك. بالإضافة إلى ذلك، يجب أن تدرك أن Azure Networking تحتفظ بعناوين IP الخمسة الأولى ضمن نطاق الشبكة الفرعية للاستخدام الداخلي.

تؤثر عملية المقياس على المثيلات المدعومة الحقيقية والمتوفرة لحجم شبكة فرعية معينة.

اعتبارات تقدير نطاقات IP

  • تأكد من أن نطاق الشبكة الفرعية لا يتصادم مع نطاق الشبكة الفرعية ل ASA. تجنب نطاق IP 10.0.0.0 إلى 10.0.255.255 كما يتم استخدامه من قبل ASA.
  • حجز:
    • خمسة عناوين IP ل Azure Networking
    • مطلوب عنوان IP واحد لتسهيل ميزات مثل نموذج البيانات واتصال الاختبار واكتشاف بيانات التعريف للوظائف المرتبطة بهذه الشبكة الفرعية.
    • مطلوب عنواني IP لكل ست وحدات دفق (SU) أو وحدة SU V2 واحدة (يتم إطلاق هيكل تسعير الإصدار 2 من ASA في 1 يوليو 2023، راجع هنا للحصول على التفاصيل)

تحرير الشبكة الفرعية

عند الإشارة إلى تكامل الشبكة الظاهرية مع وظيفة Azure Stream Analytics، يقوم مدخل Azure تلقائيا بتفويض الشبكة الفرعية إلى خدمة ASA. يقوم Azure بإلغاء حذف الشبكة الفرعية في السيناريوهات التالية:

  • أنت تعلمنا أنه لم تعد هناك حاجة إلى تكامل الشبكة الظاهرية لآخر مهمة مرتبطة بشبكة فرعية محددة عبر مدخل ASA (راجع قسم الكيفية).
  • يمكنك حذف المهمة الأخيرة المقترنة بالشبكة الفرعية المحددة.

نسبة استخدام الشبكة داخل الشبكة الفرعية

يجب أن يقوم تكوين الشبكة الفرعية بتمكين نسبة استخدام الشبكة داخل الشبكة الفرعية. وهذا يعني أنه يجب السماح بنسبة استخدام الشبكة الواردة والصادرة حيث توجد عناوين IP المصدر والوجهة داخل نفس الشبكة الفرعية. تعرف على المزيد من هنا.

المهمة الأخيرة

يمكن للعديد من وظائف Stream Analytics استخدام نفس الشبكة الفرعية. تشير المهمة الأخيرة هنا إلى عدم وجود وظائف أخرى تستخدم الشبكة الفرعية المحددة. عند حذف المهمة الأخيرة أو إزالتها بواسطة المقترنة، يصدر Azure Stream Analytics الشبكة الفرعية كمورد، والتي تم تفويضها إلى ASA كخدمة. السماح بعدة دقائق لإكمال هذا الإجراء.

إعداد تكامل الشبكة الظاهرية

مدخل Azure

  1. من مدخل Microsoft Azure، انتقل إلى Networking من شريط القوائم وحدد Run this job in virtual network. تعلمنا هذه الخطوة أن وظيفتك يجب أن تعمل مع شبكة ظاهرية:

  2. قم بتكوين الإعدادات كما طلب منك وحدد Save.

    لقطة شاشة لصفحة الشبكات لوظيفة Stream Analytics.

تعليمة VS الظاهرية

  1. في Visual Studio Code، قم بالإشارة إلى الشبكة الفرعية داخل وظيفة ASA. تخبر هذه الخطوة وظيفتك أنه يجب أن تعمل مع شبكة فرعية.

  2. JobConfig.jsonفي ، قم بإعداد الخاص بك VirtualNetworkConfiguration كما هو موضح في الصورة التالية.

    لقطة شاشة لنموذج تكوين الشبكة الظاهرية.

إعداد حساب تخزين مقترن

  1. في صفحة وظيفة Stream Analytics، حدد إعدادات حساب التخزين ضمن تكوين في القائمة اليمنى.

  2. في صفحة إعدادات حساب التخزين، حدد إضافة حساب تخزين.

  3. اتبع الإرشادات لتكوين إعدادات حساب التخزين.

    لقطة شاشة لصفحة إعدادات حساب التخزين لوظيفة Stream Analytics.

هام

  • للمصادقة باستخدام سلسلة الاتصال، يجب تعطيل إعدادات جدار حماية حساب التخزين.
  • للمصادقة باستخدام الهوية المدارة، يجب إضافة وظيفة Stream Analytics إلى قائمة التحكم في الوصول لحساب التخزين لدور Storage Blob Data Contributor ودور Storage Table Data Contributor. إذا لم تمنح حق الوصول إلى مهمتك، فلن تتمكن الوظيفة من تنفيذ أي عمليات. لمزيد من المعلومات حول كيفية منح الوصول، راجع Use Azure RBAC to assign a managed identity access to another resource.

الأذونات

يجب أن يكون لديك على الأقل أذونات التحكم في الوصول المستندة إلى الدور التالية على الشبكة الفرعية أو على مستوى أعلى لتكوين تكامل الشبكة الظاهرية من خلال مدخل Microsoft Azure أو CLI أو عند تعيين خاصية موقع virtualNetworkSubnetId مباشرة:

الإجراء ‏‏الوصف
Microsoft.Network/virtualNetworks/read اقرأ تعريف الشبكة الظاهرية
Microsoft.Network/virtualNetworks/subnets/read اقرأ تعريف الشبكة الفرعية الظاهرية
Microsoft.Network/virtualNetworks/subnets/join/action ينضم إلى شبكة افتراضية
Microsoft.Network/virtualNetworks/subnets/write اختياري. مطلوب إذا كنت بحاجة إلى تنفيذ تفويض الشبكة الفرعية

إذا كانت الشبكة الظاهرية في اشتراك مختلف عن وظيفة ASA الخاصة بك، يجب التأكد من تسجيل الاشتراك مع الشبكة الظاهرية Microsoft.StreamAnalytics لموفر الموارد. يمكنك تسجيل الموفر بشكل صريح باتباع هذه الوثائق، ولكن يتم تسجيله تلقائيا عند إنشاء الوظيفة في اشتراك.

القيود

  • تتطلب وظائف الشبكة الظاهرية ما لا يقل عن SU V2 (نموذج تسعير جديد) أو ست وحدات SUs (حالية)
  • تأكد من أن نطاق الشبكة الفرعية لا يتصادم مع نطاق الشبكة الفرعية ASA (أي، لا تستخدم نطاق الشبكة الفرعية 10.0.0.0/16).
  • يجب أن تكون وظائف ASA والشبكة الظاهرية في نفس المنطقة.
  • يمكن استخدام الشبكة الفرعية المفوضة فقط من قبل Azure Stream Analytics.
  • لا يمكنك حذف شبكة ظاهرية عند دمجها مع ASA. يجب إلغاء إسناد المهمة الأخيرة أو إزالتها* على الشبكة الفرعية المفوضة.
  • لا ندعم تحديثات نظام أسماء المجالات (DNS) حاليا. إذا تم تغيير تكوينات DNS للشبكة الظاهرية، يجب إعادة نشر جميع مهام ASA في تلك الشبكة الظاهرية (تحتاج الشبكات الفرعية أيضا إلى فصلها عن جميع المهام وإعادة تكوينها). لمزيد من المعلومات، راجع تحليل الاسم للموارد في شبكات Azure الظاهرية لمزيد من المعلومات.

الوصول إلى الموارد المحلية

لا يلزم تكوين إضافي لميزة تكامل الشبكة الظاهرية للوصول من خلال شبكتك الظاهرية إلى الموارد المحلية. تحتاج ببساطة إلى توصيل شبكتك الظاهرية بالموارد المحلية باستخدام ExpressRoute أو VPN من موقع إلى موقع.

تفاصيل التسعير

خارج المتطلبات الأساسية المذكورة في هذا المستند، لا يحتوي تكامل الشبكة الظاهرية على رسوم إضافية للاستخدام تتجاوز رسوم تسعير Azure Stream Analytics.

استكشاف الأخطاء وإصلاحها

من السهل إعداد الميزة، ولكن هذا لا يعني أن تجربتك خالية من المشاكل. إذا واجهت مشكلات في الوصول إلى نقطة النهاية المطلوبة، فاتصل بدعم Microsoft.

إشعار

للحصول على تعليقات مباشرة حول هذه الإمكانية، تواصل مع askasa@microsoft.com.