Dela via

Konfigurera privat anslutning till resurser i ditt virtuella nätverk

Anmärkning

Azure Databricks-avgifter för nätverkskostnader när serverlösa arbetsbelastningar ansluter till kundresurser. Se Förstå kostnader för serverlösa nätverk i Databricks.

Den här sidan förklarar hur du använder Azure Databricks-kontokonsolen för att konfigurera Private Link-anslutningar från serverlös beräkning till resurser i ditt virtuella nätverk (VNet) via en Azure-lastbalanserare.

Privat anslutning till resurser i din VPC.

När du konfigurerar privat anslutning för serverlös beräkning får du:

  • En dedikerad och privat anslutning: Din privata slutpunkt är exklusivt kopplad till ditt Azure Databricks-konto, vilket säkerställer att åtkomsten till dina VNet-resurser endast är begränsad till auktoriserade arbetsytor. Detta skapar en säker, dedikerad kommunikationskanal.
  • Förbättrad dataexfiltreringsreducering: Även om Azure Databricks Serverless med Unity Catalog erbjuder inbyggt dataexfiltreringsskydd, ger Private Link ytterligare ett lager av nätverksskydd. Genom att placera dina VNet-resurser i ett privat undernät och styra åtkomsten via dedikerade privata slutpunkter minskar du avsevärt risken för obehörig dataförflyttning utanför din kontrollerade nätverksmiljö.

Kravspecifikation

  • Ditt konto och din arbetsyta måste finnas i Enterprise-planen.
  • Du är kontoadministratör för ditt Azure Databricks-konto.
  • Du har minst en aktiv serverlös arbetsyta distribuerad i en region med privat anslutning aktiverad. Information om regioner som stöds finns i Serverlös tillgänglighet
  • Lastbalanseraren har ett virtuellt nätverk och undernät och resursen finns i det här undernätet.
  • Varje Azure Databricks-konto kan ha upp till 10 NCC:er per region.
  • Varje region kan ha 100 privata slutpunkter, distribuerade efter behov över 1–10 NCC:er.
  • Varje NCC kan kopplas till upp till 50 arbetsytor.
  • Varje privat slutpunktsregel för privat anslutning till resurser i ditt virtuella nätverk stöder upp till 10 domännamn.
  • DNS-jakt och DNS-omdirigering stöds inte. Alla domännamn måste matchas direkt till serverdelsresurserna.

Steg 1: Skapa en Azure-lastbalanserare

Skapa en Azure Load Balancer som fungerar som klientdel för dina VNet-resurser. Den här lastbalanseraren är länkad till din Private Link-tjänst.

Om du vill skapa en lastbalanserare följer du anvisningarna i Snabbstart: Skapa en intern lastbalanserare för att belastningsutjämning av virtuella datorer med hjälp av Azure-portalen. Slutför följande:

  1. Skapa en lastbalanserarresurs.
  2. Lägg till en IP-konfiguration för klientdelen: Det här är startpunkten för private link-tjänsten.
  3. Lägg till en serverdelspool: Den här poolen innehåller IP-adresserna för dina VNet-resurser.
  4. Skapa en hälsoavsökning: Konfigurera en hälsoavsökning för att övervaka tillgängligheten för dina serverdelsresurser.
  5. Lägg till regler för belastningsutjämning: Definiera regler för att distribuera inkommande trafik till serverdelspoolen.

Du måste skapa en Private Link-tjänst för att på ett säkert sätt exponera lastbalanseraren för din privata slutpunkt. Kontrollera att Private Link-tjänsten har skapats i samma region som lastbalanseraren.

Anvisningar finns i Azure-dokumentationen: Skapa en Private Link-tjänst med hjälp av Azure-portalen.

Steg 3: Skapa eller använda ett befintligt NCC-objekt (Network Connectivity Configurations)

NCC-objektet i Azure Databricks definierar de privata anslutningsinställningarna för dina arbetsytor. Hoppa över det här steget om det redan finns en NCC. Så här skapar du ett NCC-objekt:

  1. Som kontoadministratör går du till kontokonsolen.
  2. I sidofältet klickar du på Säkerhet.
  3. Klicka på Konfigurationer för nätverksanslutning.
  4. Klicka på Lägg till nätverkskonfiguration.
  5. Ange ett namn för NCC.
  6. Välj region. Detta måste matcha din arbetsyteregion.
  7. Klicka på Lägg till.

Steg 4: Skapa en privat slutpunkt

Det här steget länkar din Private Link-tjänst till din Azure Databricks NCC. Så här skapar du en privat slutpunkt:

  1. Klicka på Säkerhet i kontokonsolen.
  2. Klicka på Konfigurationer för nätverksanslutning.
  3. Välj det NCC-objekt som du skapade i steg 3.
  4. På fliken Regler för privat slutpunkt klickar du på Lägg till privat slutpunktsregel.
  5. I fältet Azure-resurs-ID klistrar du in det fullständiga resurs-ID:t för din Private Link-tjänst. Hitta det här ID:t i Azure-portalen på översiktssidan för din Private Link-tjänst. Exempel-ID: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
  6. I fältet Domännamn lägger du till de anpassade domännamn som dina VNet-resurser använder. Dessa domännamn måste mappas till IP-konfigurationerna i lastbalanserarens serverdelspool.
  7. Klicka på Lägg till.
  8. Bekräfta att kolumnen Status för den nyligen tillagda privata slutpunktsregeln är PENDING.

Anmärkning

Domäner som läggs till som Private Link-poster tillåts implicit i nätverksprinciper.

Steg 5: Acceptera den privata slutpunkten på resursen

När du har skapat regeln för privat slutpunkt i Databricks måste du godkänna anslutningsbegäran i Azure-portalen. Så här godkänner du anslutningen:

  1. Gå till Private Link-centret från Azure-portalen.
  2. Välj Private Link-tjänster.
  3. Leta upp och välj den Private Link-tjänst som är associerad med lastbalanseraren.
  4. I det vänstra sidofältet under Inställningar väljer du Privata slutpunktsanslutningar.
  5. Välj den obeslutade privata slutpunkten.
  6. Klicka på Godkänn för att godkänna anslutningen.
  7. När du uppmanas till det väljer du Ja.
  8. Efter godkännandet ändras anslutningstillståndet till Godkänd.

Det kan ta tio minuter innan anslutningen upprättas helt.

Steg 6: Bekräfta status för privat slutpunkt

Kontrollera att den privata slutpunktsanslutningen har upprättats från Azure Databricks-sidan. Bekräfta anslutningen:

  1. Uppdatera sidan Nätverksanslutningskonfigurationer i Azure Databricks-kontokonsolen.
  2. På fliken Regler för privat slutpunkt bekräftar du att kolumnen Status för den nya privata slutpunkten är ESTABLISHED.

Steg 7: Koppla NCC till en eller flera arbetsytor

Det här steget associerar din konfigurerade privata anslutning med dina Azure Databricks-arbetsytor. Hoppa över det här steget om arbetsytan redan är kopplad till önskad NCC. Så här kopplar du NCC till en arbetsyta:

  1. Gå till Arbetsytor i det vänstra navigeringsfältet.
  2. Välj en befintlig arbetsyta.
  3. Välj Uppdatera arbetsyta.
  4. Under Nätverksanslutningskonfigurationer väljer du listrutan och väljer den NCC som du har skapat.
  5. Upprepa för alla arbetsytor som du vill att den här NCC:n ska gälla för.

Anmärkning

NCC:er är regionala objekt som bara kan kopplas till arbetsytor i samma region.

Vad händer härnäst?

  • Konfigurera privat anslutning till Azure-resurser: Använd Private Link för att upprätta säker och isolerad åtkomst till Azure-tjänster från ditt virtuella nätverk och kringgå det offentliga Internet. Se Konfigurera privat anslutning till Azure-resurser.
  • Hantera regler för privata slutpunkter: Kontrollera nätverkstrafik till och från dina privata Azure-slutpunkter genom att definiera specifika regler som tillåter eller nekar anslutningar. Se Hantera regler för privata slutpunkter.
  • Konfigurera en brandvägg för serverlös beräkningsåtkomst: Implementera en brandvägg för att begränsa och skydda inkommande och utgående nätverksanslutningar för dina serverlösa beräkningsmiljöer. Se Konfigurera en brandvägg för serverlös beräkningsåtkomst.
  • Förstå kostnader för dataöverföring och anslutning: Dataöverföring och anslutning refererar till att flytta data till och från serverlösa Azure Databricks-miljöer. Nätverksavgifter för serverlösa produkter gäller endast för kunder som använder serverlös beräkning i Azure Databricks. Se Förstå kostnader för serverlösa nätverk i Databricks.