Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här sidan beskriver hur du konfigurerar IP-åtkomstlistor för Azure Databricks-arbetsytor. I den här artikeln beskrivs de vanligaste uppgifterna som du kan utföra med Hjälp av Databricks CLI.
Du kan också använda API:et för IP-åtkomstlistor.
Anmärkning
IP-åtkomstlistor för arbetsytan och kontextbaserade ingresskontroller på kontonivå tillämpas tillsammans. En begäran måste tillåtas av båda kontrollerna för att lyckas.
Sammanhangsbaserade ingresskontroller ger finare säkerhet genom att kombinera identitets-, begärandetyp- och nätverkskällvillkor. Den konfigureras på kontonivå och en enda princip kan styra flera arbetsytor, vilket säkerställer konsekvent tillämpning i hela organisationen. Databricks rekommenderar att du använder kontextbaserade ingresskontroller som primär metod för att hantera åtkomst. Se Sammanhangsbaserad ingresskontroll.
Ip-åtkomstlistor för arbetsytan kan fortfarande användas för att lägga till ytterligare ett begränsningslager baserat endast på IP-adress, men de kan inte utöka åtkomst utöver vad kontextbaserad ingress tillåter.
Krav
- IP-åtkomstlistor stöder endast IPv4-adresser (Internet Protocol version 4).
Om du aktiverar säker klusteranslutning på en arbetsyta måste alla offentliga IP-adresser som beräkningsplanet använder för att komma åt kontrollplanet antingen läggas till i en lista över tillåtna eller så måste du konfigurera Private Link-serverdel. Annars går det inte att starta klassiska beräkningsresurser.
Om du till exempel aktiverar säker klusteranslutning på en arbetsyta som använder VNet-inmatning rekommenderar Databricks att din arbetsyta har en stabil offentlig IP-adress för utgående trafik. Den offentliga IP-adressen och alla andra måste finnas i en lista över tillåtna. Se Utgående IP-adresser när du använder säker klusteranslutning. Om du använder ett Azure Databricks-hanterat virtuellt nätverk och konfigurerar den hanterade NAT-gatewayen för åtkomst till offentliga IP-adresser måste dessa IP-adresser finnas i en lista över tillåtna. Mer information finns i Databricks Community-inlägget.
Kontrollera om din arbetsyta har funktionen IP-åtkomstlista aktiverad
Så här kontrollerar du om funktionen ip-åtkomstlista är aktiverad på arbetsytan:
databricks workspace-conf get-status enableIpAccessLists
Aktivera eller inaktivera funktionen IP-åtkomstlista för en arbetsyta
I en JSON-begärandetext anger du enableIpAccessLists som true (aktiverad) eller false (inaktiverad).
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
Lägga till en IP-åtkomstlista
När funktionen IP-åtkomstlistor är aktiverad och det inte finns några tillåtna listor eller blocklistor för arbetsytan tillåts alla IP-adresser. Om du lägger till IP-adresser i listan över tillåtna blockeras alla IP-adresser som inte finns i listan. Granska ändringarna noggrant för att undvika oavsiktliga åtkomstbegränsningar.
Alla offentliga IP-adresser som beräkningsplanet använder för att komma åt kontrollplanet bör läggas till i en lista över tillåtna.
IP-åtkomstlistor har en etikett, som är ett namn för listan och en listtyp. Listtypen är antingen ALLOW (tillåt lista) eller BLOCK (en blocklista, vilket innebär att exkludera även om den finns i listan över tillåtna).
Om du till exempel vill lägga till en lista över tillåtna:
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
Lista IP-åtkomstlistor
databricks ip-access-lists list
Uppdatera en IP-åtkomstlista
Ange minst ett av följande värden som ska uppdateras:
-
label– Etikett för den här listan. -
list_type– antingenALLOW(tillåt lista) ellerBLOCK(blocklista, vilket innebär att exkludera även om det finns i listan över tillåtna). -
ip_addresses– en JSON-matris med IP-adresser och CIDR-intervall som Strängvärden. -
enabled– Anger om den här listan är aktiverad. Skickatrueellerfalse.
Svaret är en kopia av det objekt som du skickade in med ytterligare fält för ID och ändringsdatum.
Om du till exempel vill inaktivera en lista:
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
Ta bort en IP-åtkomstlista
Så här tar du bort en IP-åtkomst:
databricks ip-access-lists delete <list-id>
Vad händer härnäst?
- Konfigurera IP-åtkomstlistor för kontokonsolen: Konfigurera IP-begränsningar för åtkomst till kontokonsolen för att styra vilka nätverk som kan komma åt inställningar på kontonivå och API:er. Se Konfigurera IP-åtkomstlistor för kontokonsolen.
- Konfigurera privat anslutning: Använd Private Link för att upprätta säker och isolerad åtkomst till Azure-tjänster från ditt virtuella nätverk och kringgå det offentliga Internet. Se Begrepp för Azure Private Link.
- Konfigurera VNet-inmatning: Konfigurera VNet-inmatning med stabil utgående offentlig IP-adress för förbättrad nätverkssäkerhet. Se Distribuera Azure Databricks i ditt virtuella Azure-nätverk (VNet-inmatning).