Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Private Link skapar en privat och säker anslutning till din Azure Databricks-arbetsyta, vilket säkerställer att nätverkstrafiken inte exponeras för det offentliga Internet.
Det finns tre typer av Private Link-anslutningar:
- Klientdel (användar-till-arbetsyta): Skyddar anslutningen från användare och deras verktyg, till exempel webbappen, API:er eller BI-verktyg, till din Azure Databricks-arbetsyta.
- Serverdel (compute-to-control-plan): Skyddar anslutningen från dina Azure Databricks-kluster till de grundläggande Azure Databricks-tjänster som de behöver för att fungera.
- Webbautentisering: Aktiverar användarinloggning till webbappen via enkel inloggning (SSO) när du använder ett privat nätverk. Den skapar en särskild privat slutpunkt för att hantera återanrop till autentisering från Microsoft Entra-ID, som annars misslyckas i en privat miljö. Webbautentisering är endast nödvändig med privat anslutning till front-end.
Kommentar
För maximal säkerhet implementerar du både klientdels- och serverdelsanslutningar för att blockera all offentlig nätverksåtkomst till din arbetsyta.
Översikt över arkitektur
Arkitekturen som beskrivs i det här dokumentet representerar ett standardimplementeringsmönster för Azure Private Link. Det är avsett att fungera som ett grundläggande ramverk, inte en universell lösning, eftersom den optimala konfigurationen helt beror på nätverkstopologin. Viktiga faktorer som kan kräva att du anpassar den här modellen är:
- Befintliga hubb-och-ekrar eller transit VNet-design.
- Anpassade DNS-regler för vidarebefordran och lösning.
- Specifika regler för brandvägg och nätverkssäkerhetsgrupp (NSG).
- Anslutningskrav mellan regioner eller flera moln.
Nödvändiga virtuella nätverk
Privat anslutning använder två distinkta virtuella nätverk.
- Transit VNet: Det här virtuella nätverket fungerar som en central hubb för användaranslutning. Den innehåller de privata klientslutpunkter som krävs för klientåtkomst till arbetsytor och för webbläsarbaserad SSO-autentisering.
- VNet för arbetsyta: Det här är ett virtuellt nätverk som du skapar specifikt för att värda din Azure Databricks-arbetsyta och den privata slutpunkten på serverdelen.
Undernätsallokering och storleksändring
Planera undernät i varje virtuellt nätverk för att stödja privata anslutningar och distributioner.
Överföring av VNet-undernät:
- Privat slutpunktsundernät: Allokerar IP-adresser för alla privata klientdelsslutpunkter.
- Undernät för webbläsarautentiseringsarbetsyta: Två dedikerade undernät, en värd eller ett offentligt undernät och en container eller ett privat undernät, rekommenderas för att distribuera arbetsytan för webbläsarautentisering.
VNet-undernät för arbetsyta:
- Arbetsyteundernät: Två undernät, en värd eller ett offentligt undernät och en container eller ett privat undernät, krävs för själva distributionen av Azure Databricks-arbetsytan.
- Undernät för privat slutpunkt i serverdelen: Ett ytterligare undernät krävs för att vara värd för den privata slutpunkten för privat serverdelsanslutning.
Storleksändringen beror på dina individuella implementeringsbehov, men du kan använda följande som en guide:
| Virtuellt nätverk | Undernätssyfte | Rekommenderat CIDR-intervall |
|---|---|---|
| Transit | Undernät för privata slutpunkter | /26 to /25 |
| Transit | Arbetsyta för webbläsarautentisering |
/28 eller /27 |
| Workspace | Undernät för privat slutpunkt i backend | /27 |
Privata Azure Databricks-slutpunkter
Azure Databricks använder två olika typer av privata slutpunkter för att helt privatisera trafik. Förstå deras olika roller för att implementera dem korrekt.
-
Slutpunkt för arbetsyta (
databricks_ui_api): Det här är den primära privata slutpunkten för att skydda kärntrafik till och från din arbetsyta. Den hanterar anslutningar för både klientdelen och serverdelen. -
Slutpunkt för webbautentisering (
browser_authentication): Detta är en specialiserad, ytterligare slutpunkt som endast krävs för att få enkel Sign-On (SSO) att fungera för webbläsarinloggningar via en privat anslutning. Det krävs för frontend- och ändpunkt-till-ändpunkt-uppkoppling.
Observera följande för webbautentiseringsslutpunkten:
- Återanrop krav för SSO: När du använder Private Link för klientåtkomst är denna slutpunkt obligatorisk för användarens webbinloggning. Den hanterar SSO-autentiseringens återanrop från Microsoft Entra ID på ett säkert sätt, vilka annars blockeras i ett privat nätverk. Azure Databricks konfigurerar automatiskt nödvändiga privata DNS-poster när du skapar den här slutpunkten. Den här processen påverkar inte REST API-autentisering.
-
Distributionsregel: Endast en
browser_authenticationslutpunkt kan finnas per Azure-region och privat DNS-zon. Den här enskilda slutpunkten hanterar alla arbetsytor i den regionen som delar samma DNS-konfiguration. - Bästa praxis för produktion: För att förhindra avbrott skapar du en dedikerad "privat webbautentiseringsarbetsyta" i varje produktionsregion. Det enda syftet är att vara värd för den här kritiska slutpunkten. Inaktivera "Offentlig nätverksåtkomst" för den här arbetsytan och kontrollera att inga andra privata klientdelsslutpunkter har skapats för den. Om den här värdarbetsytan tas bort misslyckas webbinloggningen för alla andra arbetsytor i regionen.
- Alternativ konfiguration: För enklare distributioner kan du vara värd för slutpunkten på en befintlig arbetsyta i stället för att skapa en dedikerad. Detta är lämpligt för icke-produktionsmiljöer eller om du är säker på att du bara har en arbetsyta i regionen. Tänk dock på att borttagningen av värdarbetsytan omedelbart bryter autentiseringen för andra arbetsytor som är beroende av den.
Privat anslutning för front-end
Följande diagram illustrerar nätverksflödet för privat klientdelsanslutning. Front-end-anslutningen använder en databricks_ui_api privat slutpunkt och en browser_authentication privat slutpunkt via transit-VNet för att säkra anslutningen från användare och deras verktyg till deras Azure Databricks-arbetsyta.
Se Konfigurera privat anslutning till Azure Databricks.
Privat backendanslutning
Följande diagram illustrerar nätverksflödet för privat bakgrundsanslutning. Privata serverdelsanslutningar använder en databricks_ui_api privat slutpunkt via arbetsytans virtuella nätverk för att skydda anslutningen från dina Azure Databricks-kluster till de centrala Azure Databricks-tjänster som de behöver för att fungera.
Se Konfigurera privat backend-anslutning till Azure Databricks.
Viktiga överväganden
Tänk på följande innan du konfigurerar privat anslutning:
- Om du har en princip för nätverkssäkerhetsgrupper aktiverad på den privata slutpunkten måste du tillåta portarna 443, 6666, 3306 och 8443-8451 för inkommande säkerhetsregler i nätverkssäkerhetsgruppen i undernätet där den privata slutpunkten distribueras.
- Om du vill skapa en anslutning mellan nätverket och Azure-portalen och dess tjänster kan du behöva lägga till URL:er för Azure-portalen i listan över tillåtna. Se Tillåt URL:er för Azure-portalen på brandväggen eller proxyservern.
Välj rätt Private Link-implementering
Använd den här guiden för att avgöra vilken implementering som passar bäst för dina behov.
| Att tänka på | Frontend-hybrid | Endast bakända | Privat från slutpunkt till slutpunkt |
|---|---|---|---|
| Primärt säkerhetsmål | Säker användaråtkomst | Säker klustertrafik | Maximal isolering (skydda allt) |
| Användaranslutning | Offentlig (internet) | Offentlig eller privat | Endast privat |
| Klusteranslutning till kontrollplan | Offentlig (standardsäker sökväg) | Privat (krävs) | Privat (krävs) |
| Prerequisites | Premium-plan | Premiumplan, VNet-injektion, SCC | Premiumplan, VNet-injektion, SCC |
| Inställning för nätverksåtkomst för arbetsyta | Offentlig åtkomst är aktiverad | Offentlig åtkomst är aktiverad | Offentlig åtkomst har inaktiverats |
| Obligatoriska NSG-regler | AllaRegler | NoAzureDatabricksRules | NoAzureDatabricksRules |
| Obligatoriska privata slutpunkter | Frontend (databricks_ui_api), webbläsarautentisering | Back-end (databricks_ui_api) | Alla tre (klientdel, serverdel, webbläsarautentisering) |
| Relativ kostnad | Kostnad per slutpunkt + dataöverföring | Kostnad per slutpunkt + dataöverföring | Högsta kostnad (flera slutpunkter + dataöverföring) |