通过

在 VNet 中配置专用资源连接

注释

无服务器工作负荷连接到客户资源时,Azure Databricks 对网络成本收费。 请参阅了解 Databricks 无服务器网络成本

本页介绍如何使用 Azure Databricks 帐户控制台通过 Azure 负载均衡器配置从无服务器计算到虚拟网络(VNet)中的资源的专用链接连接。

与你的 VPC 中的资源建立专用连接。

为无服务器计算配置专用连接提供:

  • 专用且私密的连接: 您的专用终结点专门绑定到您的 Azure Databricks 帐户,确保仅授权的工作区可以访问 VNet 资源。 这将创建一个安全的专用信道。
  • 增强的数据外泄缓解措施: 尽管具有 Unity 目录的 Azure Databricks 无服务器提供内置的数据外泄保护,但专用链接提供了额外的网络防御层。 通过将 VNet 资源置于专用子网中并通过专用终结点控制访问,可以显著降低在受控网络环境外未经授权的数据移动的风险。

要求

  • 你的帐户和工作区必须位于企业计划中。
  • 你是 Azure Databricks 帐户的帐户管理员。
  • 至少在启用了专用连接的区域中部署了一个活动无服务器工作区。 有关支持的区域,请参阅 无服务器可用性
  • 负载均衡器具有虚拟网络和子网,资源位于此子网中。
  • 每个 Azure Databricks 帐户每个区域最多可以有 10 个 NCC。
  • 每个区域可以有 100 个专用终结点,根据需要分布在 1-10 个 NCC 之间。
  • 每个 NCC 最多可连接到 50 个工作区。
  • VNet 中资源专用连接的每个专用终结点规则最多支持 10 个域名。
  • 不支持 DNS 追查和 DNS 重定向。 所有域名都必须直接解析为后端资源。

步骤 1:创建 Azure 负载均衡器

创建充当 VNet 资源的前端的 Azure 负载均衡器。 此负载均衡器链接到专用链接服务。

若要创建负载均衡器,请按照快速入门中的说明作 :使用 Azure 门户创建内部负载均衡器以对 VM 进行负载均衡。 完成以下内容:

  1. 创建负载均衡器资源。
  2. 添加前端 IP 配置: 这是专用链接服务的入口点。
  3. 添加后端池: 此池包含 VNet 资源的 IP 地址。
  4. 创建运行状况探测: 配置运行状况探测以监视后端资源的可用性。
  5. 添加负载均衡规则: 定义将传入流量分配到后端池的规则。

必须创建专用链接服务,以安全地将负载均衡器公开到专用终结点。 验证专用链接服务是否在负载均衡器 所在的同一区域中 创建。

有关说明,请参阅 Azure 文档: 使用 Azure 门户创建专用链接服务

步骤 3:创建或使用现有的网络连接配置 (NCC) 对象

Azure Databricks 中的 NCC 对象定义工作区的专用连接设置。 如果 NCC 已存在,请跳过此步骤。 创建 NCC 对象:

  1. 作为帐户管理员,请转到帐户控制台。
  2. 在边栏中,单击“ 安全性”。
  3. 单击 “网络连接配置”。
  4. 单击“ 添加网络配置”。
  5. 输入 NCC 的名称。
  6. 选择区域。 这必须与你的工作空间地区匹配。
  7. 单击 添加

步骤 4:创建专用终结点

此步骤将专用链接服务链接到 Azure Databricks NCC。 要想创建专用终结点,请执行以下步骤:

  1. 帐户控制台中,单击“ 安全性”。
  2. 单击 “网络连接配置”。
  3. 选择在步骤 3 中创建的 NCC 对象。
  4. “专用终结点规则 ”选项卡中,单击“ 添加专用终结点规则”。
  5. Azure 资源 ID 字段中,粘贴专用链接服务的完整资源 ID。 在专用链接服务的 “概述 ”页上的 Azure 门户中查找此 ID。 示例 ID: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
  6. 在“ 域名 ”字段中,添加 VNet 资源使用的自定义域名。 这些域名必须映射到负载均衡器后端池中的 IP 配置。
  7. 单击 添加
  8. 确认在新添加的专用终结点中,“状态”列显示为 PENDING

注释

添加为专用链接条目的域名会在网络策略中隐式加入允许列表。

步骤 5:接受你的资源中的专用终结点

在 Databricks 中创建专用终结点规则后,必须在 Azure 门户中批准连接请求。 批准连接:

  1. 从 Azure 门户导航到 专用链接中心
  2. 选择 “专用链接服务”。
  3. 查找并选择与负载均衡器关联的专用链接服务。
  4. “设置”下的左侧栏中,选择 “专用终结点连接”。
  5. 选择待批准的专用终结点。
  6. 单击“ 批准 ”接受连接。
  7. 出现提示时选择“是”
  8. 审批后,连接状态将更改为 “已批准”。

连接可能需要 10 分钟才能完全建立。

步骤 6:确认专用终结点状态

验证是否已从 Azure Databricks 端成功建立专用终结点连接。 请确认连接:

  1. 刷新 Azure Databricks 帐户控制台中的 “网络连接配置 ”页。
  2. “专用终结点规则”选项卡上,确认新专用终结点的“状态”列为ESTABLISHED

步骤 7:将 NCC 附加到一个或多个工作区

此步骤将配置的专用连接与 Azure Databricks 工作区相关联。 如果工作区已附加到所需的 NCC,请跳过此步骤。 将 NCC 附加到工作区:

  1. 在左侧导航中导航到 工作区
  2. 选择现有工作区。
  3. 选择 “更新工作区”。
  4. “网络连接配置”下,选择下拉列表,然后选择已创建的 NCC。
  5. 对所有想要应用此 NCC 的工作区重复这些操作。

注释

NCC 是区域性的对象,只能附加到同一区域内的工作区。

后续步骤

  • 配置与 Azure 资源的专用连接:使用专用链接从虚拟网络建立对 Azure 服务的安全隔离访问,从而绕过公共 Internet。 请参阅 配置与 Azure 资源的专用连接
  • 管理专用终结点规则:通过定义允许或拒绝连接的特定规则来控制传入和传出 Azure 专用终结点的网络流量。 请参阅管理专用终结点
  • 为无服务器计算访问配置防火墙:实现防火墙,以限制和保护无服务器计算环境的入站和出站网络连接。 请参阅为无服务器计算访问配置防火墙
  • 了解数据传输和连接成本:数据传输和连接是指将数据移入和移出 Azure Databricks 无服务器环境。 无服务器产品的网络费用仅适用于使用 Azure Databricks 无服务器计算的客户。 请参阅了解 Databricks 无服务器网络成本