Dela via

Konfigurera en brandvägg för serverlös beräkningsåtkomst

Den här sidan beskriver hur du konfigurerar en Azure Storage-brandvägg för serverlös beräkning med hjälp av användargränssnittet för Azure Databricks-kontokonsolen. Du kan också använda API:et för nätverksanslutningskonfigurationer.

Information om hur du konfigurerar en privat slutpunkt för serverlös beräkningsåtkomst finns i Konfigurera privat anslutning till Azure-resurser.

Anmärkning

Azure Databricks-avgifter för nätverkskostnader när serverlösa arbetsbelastningar ansluter till kundresurser. Se Förstå kostnader för serverlösa nätverk i Databricks.

Översikt över brandväggsaktivering för serverlös beräkning

Serverlös nätverksanslutning hanteras med nätverksanslutningskonfigurationer (NCC). Kontoadministratörer skapar NCC:er i kontokonsolen och en NCC kan kopplas till en eller flera arbetsytor. NCC:er är regionala konstruktioner på kontonivå som används för att hantera skapande av privata slutpunkter och brandväggsaktivering i stor skala.

En NCC definierar nätverksidentiteter för Azure-resurser som standardregler. När en NCC är kopplad till en arbetsyta använder serverlös beräkning på den arbetsytan ett av dessa nätverk för att ansluta till Azure-resursen. Du kan vitlista dessa nätverk i Azure-resursbrandväggar. För azure-resursbrandväggar som inte är lagringsbaserade kontaktar du ditt kontoteam för att lära dig mer om att använda stabila NAT-IP-adresser.

Aktivering av NCC-brandvägg stöds från serverlösa SQL-lager, jobb, notebooks, deklarativa lakeflow-pipelines och modellbetjäningsslutpunkter.

Du kan också begränsa åtkomsten till arbetsytans lagringskonto till auktoriserade nätverk, inklusive serverlös beräkning. När en NCC är ansluten läggs dess nätverksregler automatiskt till i arbetsytans lagringskonto. Se Aktivera brandväggsstöd för ditt arbetsytelagringskonto.

Mer information om NCC:er finns i Vad är en nätverksanslutningskonfiguration (NCC)?.

Kostnadskonsekvenser för lagringsåtkomst mellan regioner

Brandväggen gäller endast när Azure-resurserna finns i samma region som Azure Databricks-arbetsytan. För trafik mellan regioner från serverlös beräkning i Azure Databricks (till exempel finns arbetsytan i regionen USA, östra och ADLS-lagring finns i Europa, västra) dirigerar Azure Databricks trafiken via en Azure NAT Gateway-tjänst.

Krav

  • Du måste vara administratör för Azure Databricks-kontot.
  • Varje NCC kan kopplas till upp till 50 arbetsytor.
  • Varje Azure Databricks-konto kan ha upp till 10 NCC:er per region som stöds. NCC:er tillhandahåller delade stabila IP CIDR-block i stället för distinkta IP-block per konfiguration, och dessa IP-intervall är regionspecifika. Listan över regioner som stöds finns i Azure Databricks-regioner.
  • Du måste ha WRITE åtkomst till azure-lagringskontots nätverksregler.

Steg 1: Skapa en nätverksanslutningskonfiguration och kopiera undernäts-ID:n

Databricks rekommenderar att du delar nätverkskort mellan arbetsytor i samma affärsenhet och de som delar samma region och anslutningsegenskaper. Om vissa arbetsytor till exempel använder lagringsbrandväggen och andra arbetsytor använder den alternativa metoden Private Link använder du separata NCC:er för dessa användningsfall.

  1. Som kontoadministratör går du till kontokonsolen.
  2. I sidofältet klickar du på Säkerhet.
  3. Klicka på Konfigurationer för nätverksanslutning.
  4. Klicka på Lägg till nätverkskonfiguration.
  5. Ange ett namn för NCC.
  6. Välj region. Detta måste matcha din arbetsyteregion.
  7. Klicka på Lägg till.
  8. Klicka på din nya nätverkssäkerhetsgrupp i listan över NCC:er.
  9. I Standardregler under Nätverksidentiteter klickar du på Visa alla.
  10. I dialogrutan klickar du på knappen Kopiera undernät .

Steg 2: Koppla en NCC till arbetsytor

Du kan koppla en NCC till upp till 50 arbetsytor i samma region som NCC.

För att använda API:et för att bifoga en NCC till en arbetsyta, se Account Workspaces-API:et.

  1. I sidofältet för kontokonsolen klickar du på Arbetsytor.
  2. Klicka på arbetsytans namn.
  3. Klicka på Uppdatera arbetsyta.
  4. I fältet Nätverksanslutningskonfigurationer väljer du din NCC. Om den inte visas bekräftar du att du har valt samma region för både arbetsytan och NCC.
  5. Klicka på Uppdatera.
  6. Vänta 10 minuter tills ändringen börjar gälla.
  7. Starta om alla serverlösa beräkningsresurser som körs på arbetsytan.

Om du använder den här funktionen för att ansluta till arbetsytans lagringskonto är konfigurationen klar. Nätverksreglerna läggs automatiskt till i arbetsytans lagringskonto. Fortsätt till nästa steg för ytterligare lagringskonton.

Steg 3: Lås ditt lagringskonto

Om du inte redan har begränsad åtkomst till Azure Storage-kontot till endast tillåtna nätverk gör du det nu. Du behöver inte utföra detta steg för arbetsytans lagringskonto.

Att skapa en lagringsbrandvägg påverkar också anslutningen från det klassiska beräkningsplanet till dina resurser. Du måste också lägga till nätverksregler för att ansluta till dina lagringskonton från klassiska beräkningsresurser.

  1. Gå till Azure-portalen.
  2. Gå till ditt lagringskonto för datakällan.
  3. Klicka på Nätverk i det vänstra navigeringsfältet.
  4. Kontrollera värdet i fältet Offentlig nätverksåtkomst. Som standard är värdet Aktiverat från alla nätverk. Ändra detta till Aktiverad från valda virtuella nätverk och IP-adresser.

Steg 4: Lägg till nätverksregler för Azure Storage-konto

Du behöver inte utföra detta steg för arbetsytans lagringskonto.

  1. I en textredigerare, kopiera och klistra in följande skript, och ersätt parametrarna med värden för ditt Azure-konto.

    # Define parameters

$subscription = `<YOUR_SUBSCRIPTION_ID>` # Replace with your Azure subscription ID or name
$resourceGroup = `<YOUR_RESOURCE_GROUP>` # Replace with your Azure resource group name
$accountName = `<YOUR_STORAGE_ACCOUNT_NAME>` # Replace with your Azure storage account name
$subnets = `<SUBNET_NAME_1>` # Replace with your actual subnet names

# Add network rules for each subnet
foreach ($subnet in $subnets) {
   az storage account network-rule add --subscription $subscription `
      --resource-group $resourceGroup `
      --account-name $accountName `
      --subnet $subnet
}

  2. Starta Azure Cloud Shell.

  3. I Azure Cloud Shell skapar du med hjälp av en redigerare en ny fil som slutar med .ps1 tillägget:

    vi ncc.ps1

  4. Klistra in skriptet från steg 1 i redigeringsprogrammet och tryck sedan på Esc, skriv :wqoch tryck på Enter.

  5. Kör följande kommando för att köra skriptet:

    ./ncc.ps1

  6. När du har kört alla kommandon kan du använda Azure-portalen för att visa ditt lagringskonto och bekräfta att det finns en post i tabellen Virtuella nätverk som representerar det nya undernätet.

    Tips

    • När du lägger till nätverksregler för lagringskonto använder du API:et för nätverksanslutning för att hämta de senaste undernäten.
    • Undvik att lagra NCC-information lokalt.
    • Ignorera omnämnandet av "Otillräckliga behörigheter" i kolumnen slutpunktsstatus eller varningen under nätverkslistan. De anger bara att du inte har behörighet att läsa Azure Databricks-undernäten, men det påverkar inte möjligheten för det serverlösa Azure Databricks-undernätet att kontakta azure-lagringen.

    Exempel på nya poster i listan Virtuella nätverk

  7. Om du vill bekräfta att ditt lagringskonto använder de här inställningarna från Azure-portalen går du till Nätverk i ditt lagringskonto. Bekräfta att åtkomsten till det offentliga nätverket är inställd på Aktiverad från valda virtuella nätverk och IP-adresser och att tillåtna nätverk visas i avsnittet Virtuella nätverk .

Vad händer härnäst?

  • Hantera regler för privata slutpunkter: Kontrollera nätverkstrafik till och från dina privata slutpunkter genom att definiera specifika regler som tillåter eller nekar anslutningar. Se Hantera regler för privata slutpunkter.
  • Konfigurera nätverksprinciper: Implementera nätverksprinciper för att tillhandahålla ytterligare säkerhetskontroller och åtkomstbegränsningar för dina serverlösa beräkningsmiljöer. Se Vad är serverlös hantering av utgående trafik?.
  • Förstå kostnader för dataöverföring och anslutning: Lär dig mer om kostnaderna för att flytta data till och från serverlösa miljöer och konfigurationer av nätverksanslutningar. Se Förstå kostnader för serverlösa nätverk i Databricks.