Delen via

Privéconnectiviteit met Azure-resources configureren

In dit artikel wordt beschreven hoe u privéconnectiviteit configureert vanuit serverloze berekeningen met behulp van de gebruikersinterface van de Azure Databricks-accountconsole. U kunt ook de API voor netwerkconnectiviteitsconfiguraties gebruiken.

Als u uw Azure-resource zo configureert dat alleen verbindingen van privé-eindpunten worden geaccepteerd, moet elke verbinding met de resource vanuit uw klassieke Databricks-rekenresources ook privé-eindpunten gebruiken.

Om een Azure Storage-firewall te configureren voor serverloze rekentoegang met behulp van subnetten, raadpleegt u in plaats daarvan een firewall configureren voor serverloze rekentoegang. Zie Regels voor privé-eindpunten beheren als u bestaande regels voor privé-eindpunten wilt beheren.

Notitie

Azure Databricks brengt kosten in rekening voor netwerkkosten wanneer serverloze workloads verbinding maken met klantresources. Zie Inzicht in de serverloze netwerkkosten van Databricks.

Overzicht van privéconnectiviteit voor serverloze compute

Serverloze netwerkconnectiviteit wordt beheerd met netwerkconnectiviteitsconfiguraties (NCC's). Accountbeheerders maken NCC's in de accountconsole en een NCC kunnen worden gekoppeld aan een of meer werkruimten

Wanneer u een privé-eindpunt aan een NCC toevoegt, maakt Azure Databricks een privé-eindpuntaanvraag voor uw Azure-resource. Zodra de aanvraag aan de resourcezijde is geaccepteerd, wordt het privé-eindpunt gebruikt voor toegang tot resources vanuit het serverloze rekenvlak. Het privé-eindpunt is toegewezen aan uw Azure Databricks-account en is alleen toegankelijk vanuit geautoriseerde werkruimten.

NCC-privé-eindpunten worden ondersteund vanuit SQL-warehouses, taken, notebooks, Lakeflow-declaratieve pipelines en modelleringseindpunten.

Notitie

  • NCC-privé-eindpunten worden alleen ondersteund voor gegevensbronnen die u beheert. Neem voor verbinding met het opslagaccount van de werkruimte contact op met uw Azure Databricks-accountteam.

  • Modelverwerking gebruikt het Azure Blob Storage-pad om modelartefacten te downloaden, dus maak een privé-eindpunt voor de subresource-ID van je blob. U hebt DFS nodig om modellen in Unity Catalog te registreren vanuit serverloze notebooks.

Zie Wat is een netwerkverbindingsconfiguratie (NCC)? voor meer informatie over NCC's.

Vereisten

  • Uw account en werkruimte moeten zich in het Premium-abonnement bevinden.
  • U moet een Azure Databricks-accountbeheerder zijn.
  • Elk Azure Databricks-account kan maximaal 10 NCC's per regio hebben.
  • Elke regio kan 100 privé-eindpunten hebben, die naar behoefte zijn verdeeld over 1-10 NCC's.
  • Elke NCC kan worden gekoppeld aan maximaal 50 werkruimten.

Stap 1: een netwerkverbindingsconfiguratie maken

Databricks raadt aan om een NCC te delen tussen werkruimten binnen dezelfde bedrijfseenheid en de werkruimten die dezelfde regioconnectiviteitseigenschappen delen. Als sommige werkruimten bijvoorbeeld Gebruikmaken van Private Link en andere werkruimten gebruikmaken van firewall-activering, gebruikt u afzonderlijke NCC's voor deze use cases.

  1. Als accountbeheerder gaat u naar de accountconsole.
  2. Klik in de zijbalk op Beveiliging.
  3. Klik op Netwerkconnectiviteitsconfiguraties.
  4. Klik op Netwerkconfiguratie toevoegen.
  5. Typ een naam voor de NCC.
  6. Kies de regio. Dit moet overeenkomen met uw werkruimteregio.
  7. Klik op Toevoegen.

Stap 2: Een NCC koppelen aan een werkruimte

  1. Klik in de zijbalk van de accountconsole op Werkruimten.
  2. Klik op de naam van uw werkruimte.
  3. Klik op Werkruimte bijwerken.
  4. Selecteer uw NCC in het veld Netwerkconnectiviteitsconfiguraties . Als deze niet zichtbaar is, controleert u of u dezelfde Azure-regio hebt geselecteerd voor zowel de werkruimte als de NCC.
  5. Klik op bijwerken.
  6. Wacht tien minuten totdat de wijziging is doorgevoerd.
  7. Start alle actieve serverloze services opnieuw op in de werkruimte.

Stap 3: regels voor privé-eindpunten maken

U moet een privé-eindpuntregel maken in uw NCC voor elke Azure-resource.

  1. Haal een lijst met Azure-resource-id's op voor al uw bestemmingen.
    1. Gebruik Azure Portal in een ander browsertabblad om naar de Azure-services van uw gegevensbron te gaan.
    2. Op de overzichtspagina, kijk in de Essentials sectie.
    3. Klik op de JSON Weergave link. De resource-id voor de service wordt boven aan de pagina weergegeven.
    4. Kopieer die resource-id naar een andere locatie. Herhaal dit voor alle bestemmingen. Voor meer informatie over het vinden van uw resource-id, zie de privé-DNS-zonewaarden van Azure Private Endpoint.
  2. Ga terug naar het browsertabblad van uw accountconsole.
  3. Klik in de zijbalk op Beveiliging.
  4. Klik op Netwerkconnectiviteitsconfiguraties.
  5. Selecteer de NCC die u in stap 1 hebt gemaakt.
  6. In Privé-eindpuntregels op Privé-eindpuntregel toevoegen klikken.
  7. Plak de resource-id van uw resource in het veld Doelresource-id.
  8. Geef in het veld Azure-subresource-id de doel-id en het subresourcetype op. Elke regel voor privé-eindpunten moet een andere subresource-id gebruiken. Zie Ondersteunde resources voor een lijst met ondersteunde subresourcetypen.
  9. Klik op Toevoegen.
  10. Wacht enkele minuten totdat alle eindpuntregels de status PENDINGhebben.

Stap 4: De nieuwe privé-eindpunten voor uw resources goedkeuren

De eindpunten worden pas van kracht als een beheerder met rechten voor de resource het nieuwe privé-eindpunt goedkeurt. Ga als volgt te werk om een privé-eindpunt goed te keuren met behulp van Azure Portal:

  1. Navigeer in Azure Portal naar uw resource.

  2. Klik in de zijbalk op Netwerken.

  3. Klik op privé-eindpuntverbindingen.

  4. Klik op het tabblad Persoonlijke toegang .

  5. Controleer onder de Privé-eindpuntverbindingende lijst met privé-eindpunten.

  6. Klik op het selectievakje naast elk om goed te keuren en klik op de knop goedkeuren boven de lijst.

  7. Ga terug naar uw NCC in Azure Databricks en vernieuw de browserpagina totdat alle eindpuntregels de status ESTABLISHEDhebben.

    lijst met privé-eindpunten

(Optioneel) Stap 5: Stel uw resources in om toegang tot het openbare netwerk niet toe te laten

Als u de toegang tot uw resources nog niet hebt beperkt tot alleen toegestane netwerken, kunt u dit doen.

  1. Ga naar de Azure Portal.
  2. Navigeer naar uw opslagaccount voor de gegevensbron.
  3. Klik in de zijbalk op Netwerken.
  4. Controleer de waarde in het veld Openbare netwerktoegang. Standaard is de waarde ingeschakeld vanuit alle netwerken. Wijzig dit in Uitgeschakeld

Stap 6: Start serverloze rekenvlakresources opnieuw op en test de verbinding

  1. Wacht na de vorige stap vijf extra minuten totdat de wijzigingen zijn doorgegeven.
  2. Start alle actieve serverloze rekenvlakresources opnieuw op in de werkruimten waaraan uw NCC is gekoppeld. Als u geen serverloze computervlakbronnen hebt, start er dan nu een.
  3. Controleer of alle bronnen succesvol zijn gestart.
  4. Voer ten minste één query uit op uw gegevensbron om te bevestigen dat het serverloze SQL Warehouse uw gegevensbron kan bereiken.

Wat is de volgende stap?

  • Regels voor privé-eindpunten beheren: beheer en wijzig uw bestaande configuraties voor privé-eindpunten, waaronder het bijwerken van resource-id's en het beheren van de verbindingsstatus. Zie Regels voor privé-eindpunten beheren.
  • Een firewall configureren voor serverloze rekentoegang: stel netwerkfirewallregels in om de toegang tot Azure-services te beheren met behulp van subnetten in plaats van privé-eindpunten. Zie Een firewall configureren voor serverloze rekentoegang.
  • Netwerkbeleid configureren: implementeer aanvullende netwerkbeveiligingscontroles en -beleidsregels om serverloze rekenconnectiviteit te beheren. Zie Wat is serverloos egressbeheer?.
  • Inzicht in serverloze netwerkbeveiliging: meer informatie over de bredere netwerkbeveiligingsarchitectuur en opties die beschikbaar zijn voor serverloze rekenomgevingen. Zie Serverloze rekenvlaknetwerken.