Delen via

Een firewall configureren voor toegang tot serverloze computercapaciteit

Op deze pagina wordt beschreven hoe u een Azure Storage-firewall configureert voor serverloze berekeningen met behulp van de gebruikersinterface van de Azure Databricks-accountconsole. U kunt ook de API voor netwerkconnectiviteitsconfiguraties gebruiken.

Zie Privéconnectiviteit met Azure-resources configureren om een privé-eindpunt te configureren voor serverloze rekentoegang.

Opmerking

Azure Databricks brengt kosten in rekening voor netwerkkosten wanneer serverloze workloads verbinding maken met klantresources. Zie Inzicht in de serverloze netwerkkosten van Databricks.

Overzicht van het inschakelen van firewalls voor serverloze computing

Serverloze netwerkverbinding wordt beheerd met netwerkverbindingconfiguraties (NCCs). Accountbeheerders maken NCC's in de accountconsole en een NCC kunnen worden gekoppeld aan een of meer werkruimten. NCC's zijn regionale constructies op accountniveau die worden gebruikt voor het beheren van het maken van privé-eindpunten en het inschakelen van firewalls op schaal.

Een NCC definieert netwerkidentiteiten voor Azure-resources als standaardregels. Wanneer een NCC is gekoppeld aan een werkruimte, maakt serverloze berekening in die werkruimte gebruik van een van deze netwerken om verbinding te maken met de Azure-resource. U kunt deze netwerken in uw Azure-resourcefirewalls toestaan. Neem voor niet-opslagfirewalls van Azure-resources contact op met uw accountteam voor meer informatie over het gebruik van stabiele NAT-IP's.

Het inschakelen van NCC-firewalls wordt ondersteund vanuit serverloze SQL-warehouses, taken, notebooks, Lakeflow Declarative Pipelines en modelleringseindpunten.

U kunt ook de toegang van het opslagaccount voor werkruimte beperken tot geautoriseerde netwerken, waaronder serverloze computing. Wanneer een NCC is gekoppeld, worden de netwerkregels automatisch toegevoegd aan het werkruimteopslagaccount. Zie Firewall-ondersteuning inschakelen voor uw werkruimteopslagaccount.

Zie Wat is een netwerkverbindingsconfiguratie (NCC)? voor meer informatie over NCC's.

Kostenimplicaties van cross-regionale opslagtoegang

De firewall is alleen van toepassing wanneer de Azure-resources zich in dezelfde regio bevinden als de Azure Databricks-werkruimte. Voor verkeer over regio's heen van Azure Databricks serverloze rekenkracht (bijvoorbeeld, als de werkruimte zich in de regio Oost VS bevindt en de ADLS-opslag in West-Europa), leidt Azure Databricks het verkeer via een Azure NAT Gateway-service.

Behoeften

  • U moet een Azure Databricks-accountbeheerder zijn.
  • Elke NCC kan aan maximaal 50 werkruimtes worden gekoppeld.
  • Elk Azure Databricks-account kan maximaal 10 NCCs per ondersteunde regio hebben. NCCs bieden gedeelde stabiele IP CIDR-blokken in plaats van afzonderlijke IP-blokken per configuratie, en deze IP-bereiken zijn regiospecifiek. Zie Azure Databricks-regio's voor de lijst met ondersteunde regio's.
  • U moet toegang hebben WRITE tot de netwerkregels van uw Azure-opslagaccount.

Stap 1: Maak een netwerkconnectiviteitsconfiguratie en kopieer subnet-ID's

Databricks raadt aan om NCC's te delen tussen werkruimtes binnen dezelfde bedrijfsunit en diezelfde regio en verbindingskenmerken delen. Als sommige werkruimten bijvoorbeeld opslagfirewall gebruiken en andere werkruimten de alternatieve benadering van Private Link gebruiken, gebruikt u afzonderlijke NCC's voor deze use cases.

  1. Als accountbeheerder gaat u naar de accountconsole.
  2. Klik in de zijbalk op Beveiliging.
  3. Klik op Netwerkconnectiviteitsconfiguraties.
  4. Klik op Netwerkconfiguratie toevoegen.
  5. Typ een naam voor de NCC.
  6. Kies de regio. Dit moet overeenkomen met uw werkruimteregio.
  7. Klik op Toevoegen.
  8. Klik in de lijst met NCC's op uw nieuwe NCC.
  9. Klik in Standaardregels onder Netwerkidentiteiten op Alles weergeven.
  10. Klik in het dialoogvenster op de knop Subnetten kopiëren .

Stap 2: Bevestig een NCC aan werkruimtes

U kunt een NCC koppelen aan maximaal 50 werkruimten in dezelfde regio als de NCC.

Als u de API wilt gebruiken om een NCC toe te voegen aan een werkruimte, raadpleegt u de API voor accountwerkruimten.

  1. Klik in de zijbalk van de accountconsole op Werkruimten.
  2. Klik op de naam van uw werkruimte.
  3. Klik op Werkruimte bijwerken.
  4. Selecteer uw NCC in het veld Netwerkconnectiviteitsconfiguraties . Als dit niet zichtbaar is, controleert u of u dezelfde regio hebt geselecteerd voor zowel de werkruimte als de NCC.
  5. Klik op bijwerken.
  6. Wacht 10 minuten totdat de wijziging van kracht wordt.
  7. Herstart alle actieve serverloze rekenbronnen in de werkruimte.

Als u deze functie gebruikt om verbinding te maken met het opslagaccount van de werkruimte, is uw configuratie voltooid. De netwerkrichtlijnen worden automatisch toegevoegd aan het opslagaccount van de werkruimte. Voor extra opslagaccounts, ga door naar de volgende stap.

Stap 3: Beveilig uw opslagaccount

Als u de toegang tot het Azure-opslagaccount nog niet hebt beperkt tot alleen toegestane netwerken, doet u dit nu. U hoeft deze stap niet uit te voeren voor het opslagaccount van de werkruimte.

Het maken van een opslag-firewall beïnvloedt ook de connectiviteit van het klassieke rekencircuit naar uw middelen. U moet ook netwerkwregels toevoegen om verbinding te maken met uw opslagaccounts vanaf klassieke compute-resources.

  1. Ga naar de Azure-portal.
  2. Navigeer naar uw opslagaccount voor de gegevensbron.
  3. Klik in het linkernavigatievenster op Netwerken.
  4. Controleer de waarde in het veld Openbare netwerktoegang. De waarde is standaard ingeschakeld vanuit alle netwerken. Wijzig dit in Ingeschakeld van geselecteerde virtuele netwerken en IP-adressen.

Stap 4: Voeg netwerkregels voor Azure-opslagaccounts toe

U hoeft deze stap niet uit te voeren voor het opslagaccount van de werkruimte.

  1. Kopieer en plak het volgende script in een teksteditor, waarbij u de parameters vervangt door waarden voor uw Azure-account:

    # Define parameters

$subscription = `<YOUR_SUBSCRIPTION_ID>` # Replace with your Azure subscription ID or name
$resourceGroup = `<YOUR_RESOURCE_GROUP>` # Replace with your Azure resource group name
$accountName = `<YOUR_STORAGE_ACCOUNT_NAME>` # Replace with your Azure storage account name
$subnets = `<SUBNET_NAME_1>` # Replace with your actual subnet names

# Add network rules for each subnet
foreach ($subnet in $subnets) {
   az storage account network-rule add --subscription $subscription `
      --resource-group $resourceGroup `
      --account-name $accountName `
      --subnet $subnet
}

  2. Start Azure Cloud Shell.

  3. Maak in Azure Cloud Shell met behulp van een editor een nieuw bestand dat eindigt op de .ps1 extensie:

    vi ncc.ps1

  4. Plak het script uit stap 1 in de editor en druk Escop , typ :wqen druk op Enter.

  5. Voer de volgende opdracht uit om uw script uit te voeren:

    ./ncc.ps1

  6. Nadat u alle opdrachten hebt uitgevoerd, kunt u Azure Portal gebruiken om uw opslagaccount weer te geven en te bevestigen dat er een vermelding is in de tabel Virtuele netwerken die het nieuwe subnet vertegenwoordigt.

    Advies

    • Wanneer u netwerkregels voor opslagaccounts toevoegt, gebruikt u de Netwerkconnectiviteits-API om de meest recente subnetten op te halen.
    • Vermijd het lokaal opslaan van NCC-informatie.
    • Negeer de vermelding 'Onvoldoende machtigingen' in de kolom eindpuntstatus of de waarschuwing onder de netwerklijst. Ze geven alleen aan dat u geen toestemming heeft om de Azure Databricks-subnetten te lezen, maar het beïnvloedt niet het vermogen van dat Azure Databricks serverloze subnet om contact op te nemen met uw Azure-opslag.

    Voorbeeld van nieuwe vermeldingen in de lijst met virtuele netwerken

  7. Als u wilt controleren of uw opslagaccount deze instellingen gebruikt vanuit Azure Portal, gaat u naar Netwerken in uw opslagaccount. Controleer of de openbare netwerktoegang is ingesteld op Ingeschakeld vanuit geselecteerde virtuele netwerken en IP-adressen en of de toegestane netwerken zijn vermeld in de sectie Virtuele netwerken.

Wat is de volgende stap?

  • Regels voor privé-eindpunten beheren: beheer netwerkverkeer van en naar uw privé-eindpunten door specifieke regels te definiëren waarmee verbindingen worden toe- of geweigerd. Zie Regels voor privé-eindpunten beheren.
  • Netwerkbeleid configureren: implementeer netwerkbeleid om aanvullende beveiligingscontroles en toegangsbeperkingen te bieden voor uw serverloze rekenomgevingen. Zie Wat is serverloos egressbeheer?.
  • Meer informatie over de kosten voor gegevensoverdracht en connectiviteit: meer informatie over de kosten voor het verplaatsen van gegevens naar en uit serverloze omgevingen en configuraties voor netwerkconnectiviteit. Zie Inzicht in de serverloze netwerkkosten van Databricks.