本页介绍 Azure Databricks 帐户和工作区的 IP 访问列表。
IP 访问列表概述
注意
此功能需要高级计划。
IP 访问列表通过控制哪些网络可以连接到 Azure Databricks 帐户和工作区来提高安全性。 默认值允许来自任何 IP 地址的连接。
- 根据用户的源 IP 地址限制访问。
- 仅允许来自已批准的网络(例如公司办公室或 VPN)的连接。
- 阻止来自不安全或公用网络(如咖啡店)的访问尝试。
有两个 IP 访问列表功能:
- 帐户控制台的 IP 访问列表(公共预览版):帐户管理员可配置帐户控制台的 IP 访问列表,以允许用户仅通过一组批准的 IP 地址连接到帐户控制台 UI 和帐户级 REST API。 帐户所有者和帐户管理员可以使用帐户控制台 UI 或 REST API 来配置允许的和阻止的 IP 地址和子网。 请参阅配置帐户控制台的 IP 访问列表。
- 工作区的 IP 访问列表:工作区管理员可配置 Azure Databricks 工作区的 IP 访问列表,以允许用户仅通过一组批准的 IP 地址连接到工作区或工作区级 API。 工作区管理员使用 REST API 配置允许的和阻止的 IP 地址和子网。 请参阅配置工作区的 IP 访问列表。
注意
如果使用专用链接,IP 访问列表仅适用于通过 Internet(公共 IP 地址)发送的请求。 IP 访问列表无法阻止来自专用链接流量的专用 IP 地址。 若要控制谁可以使用专用链接访问 Azure Databricks,可以检查是否已创建哪些专用终结点,请参阅 Azure 专用链接概念。
基于上下文的入口控件
虽然 IP 访问列表仅基于源 IP 地址过滤请求,但基于上下文的入口控制使帐户管理员可以将多个条件(例如用户身份、请求类型和网络来源)合并为允许和拒绝规则。 这些策略可更精细地控制谁可以访问工作区和从何处访问。
上下文基于的入口控制是在帐户级别配置的。 单个策略可以管理多个工作区,确保在整个组织中实施一致。
这两个控制措施一起应用。 帐户级基于上下文的入口策略和任何工作区 IP 访问列表必须允许请求。 基于上下文的入口可以基于标识或请求范围限制访问,IP 访问列表可以基于网络位置限制访问。 如果任一控制阻止请求,则拒绝访问。
请参阅 基于上下文的入口控件。
如何检查访问?
通过 IP 访问列表功能,可为 Azure Databricks 帐户控制台和工作区配置允许列表和阻止列表:
- “允许列表”包含公共 Internet 上允许访问的 IP 地址集。 显式地允许或以整个子网(例如
216.58.195.78/28)的形式允许多个 IP 地址。 - “阻止列表”包含要阻止的 IP 地址或子网,即使它们包含在允许列表中也是如此。 如果允许的 IP 地址范围包括较小范围的基础结构 IP 地址(这些地址实际上超出了实际的安全网络外围),则可以使用此功能。
尝试连接时:
- 首先,检查所有阻止列表。 如果连接 IP 地址与任何阻止列表匹配,则连接将被拒绝。
- 如果连接未被阻止列表拒绝,则 IP 地址将与允许列表进行比较。 如果至少有一个允许列表,则仅当 IP 地址与一个允许列表匹配时,才允许连接。 如果没有允许列表,则允许所有 IP 地址。
如果禁用该功能,则对帐户或工作区的所有访问均被允许。
对于所有合并的允许列表和阻止列表,帐户控制台最多支持 1000 个 IP/CIDR 值,其中一个 CIDR 作为单个值计数。
对 IP 访问列表的更改可能需要几分钟才能生效。
后续步骤
- 为帐户控制台配置 IP 访问列表:为帐户控制台访问设置 IP 限制,以控制哪些网络可以访问帐户级设置和 API。 请参阅配置帐户控制台的 IP 访问列表。
- 为工作区配置 IP 访问列表:为工作区访问实施 IP 限制,以控制哪些网络可以连接到 Azure Databricks 工作区。 请参阅配置工作区的 IP 访问列表。
- 配置专用连接:使用专用链接从虚拟网络建立对 Azure 服务的安全隔离访问,从而绕过公共 Internet。 请参阅 Azure 专用链接概念。