تمكين دعم جدار الحماية لحساب تخزين مساحة العمل

تحتوي كل مساحة عمل Azure Databricks على حساب تخزين Azure مقترن في مجموعة موارد مدارة تعرف باسم حساب تخزين مساحة العمل. يتضمن حساب تخزين مساحة العمل بيانات نظام مساحة العمل (إخراج الوظيفة وإعدادات النظام والسجلات) وجذر DBFS وفي بعض الحالات كتالوج مساحة عمل كتالوج Unity. توضح هذه المقالة كيفية تقييد الوصول إلى حساب تخزين مساحة العمل من الموارد والشبكات المعتمدة فقط باستخدام قالب ARM (Azure Resource Manager).

ما هو دعم جدار الحماية لحساب تخزين مساحة العمل؟

بشكل افتراضي، يقبل حساب تخزين Azure لحساب تخزين مساحة العمل الاتصالات المصادق عليها من جميع الشبكات. يمكنك تقييد هذا الوصول عن طريق تمكين دعم جدار الحماية لحساب تخزين مساحة العمل. وهذا يضمن عدم السماح بالوصول إلى الشبكة العامة وعدم إمكانية الوصول إلى حساب تخزين مساحة العمل من الشبكات غير المصرح بها. قد تحتاج إلى تكوين هذا إذا كان لدى مؤسستك نهج Azure التي تضمن أن حسابات التخزين خاصة.

عند تمكين دعم جدار الحماية لحساب تخزين مساحة العمل الخاص بك، يجب أن يستخدم جميع الوصول من الخدمات خارج Azure Databricks نقاط النهاية الخاصة المعتمدة مع Private Link. ينشئ Azure Databricks موصل وصول للاتصال بالتخزين باستخدام هوية مدارة من Azure. يجب أن يستخدم الوصول من حساب Azure Databricks بلا خادم إما نقاط نهاية الخدمة أو نقاط النهاية الخاصة.

المتطلبات

• يجب أن تمكن مساحة العمل الخاصة بك حقن VNet للاتصالات من مستوى الحوسبة الكلاسيكي.

• يجب أن تمكن مساحة العمل اتصال نظام المجموعة الآمن (لا يوجد IP عام / NPIP) للاتصالات من مستوى الحوسبة الكلاسيكي.

• يجب أن تكون مساحة العمل الخاصة بك على خطة Premium.

• يجب أن يكون لديك شبكة فرعية منفصلة لنقاط النهاية الخاصة لحساب التخزين. هذا بالإضافة إلى الشبكتين الفرعيتين الرئيسيتين لوظائف Azure Databricks الأساسية.

  يجب أن تكون الشبكة الفرعية في نفس الشبكة الظاهرية مثل مساحة العمل أو في شبكة ظاهرية منفصلة يمكن لمساحة العمل الوصول إليها. استخدم الحد الأدنى للحجم /28 في رمز CIDR.

• إذا كنت تستخدم Cloud Fetch مع خدمة Power BI Microsoft Fabric، فيجب عليك دائما استخدام بوابة للوصول الخاص إلى حساب تخزين مساحة العمل أو تعطيل إحضار السحابة. راجع الخطوة 2 (مستحسن): تكوين نقاط النهاية الخاصة لشبكات VNets لعميل جلب السحابة.

يمكنك أيضا استخدام قالب ARM في الخطوة 5: نشر قالب ARM المطلوب لإنشاء مساحة عمل جديدة. في هذه الحالة، قم بإيقاف تشغيل جميع الحوسبة في مساحة العمل الخاصة بك قبل اتباع الخطوات من 1 إلى 4.

الخطوة 1: إنشاء نقاط نهاية خاصة لحساب التخزين

أنشئ نقطتي نهاية خاصتين لحساب تخزين مساحة العمل من الشبكة الظاهرية التي استخدمتها لحقن VNet لقيم الموارد الفرعية الهدف: dfs و blob.

1. في مدخل Microsoft Azure، انتقل إلى مساحة العمل الخاصة بك.

2. ضمن Essentials، انقر فوق اسم مجموعة الموارد المدارة.

3. ضمن الموارد، انقر فوق المورد من نوع حساب التخزين الذي يحتوي على اسم يبدأ ب dbstorage.

4. في الشريط الجانبي، انقر فوق Networking.

5. انقر فوق اتصالات نقطة النهاية الخاصة.

6. انقر فوق + نقطة نهاية خاصة.

7. في حقل اسم مجموعة الموارد، قم بتعيين مجموعة الموارد الخاصة بك.

   هام

   يجب ألا تكون مجموعة الموارد هي نفسها مجموعة الموارد المدارة التي يوجد بها حساب تخزين مساحة العمل.

8. في حقل الاسم ، اكتب اسما فريدا لنقطة النهاية الخاصة هذه:

   • بالنسبة إلى نقطة النهاية الخاصة الأولى التي تقوم بإنشائها لكل شبكة مصدر، قم بإنشاء نقطة نهاية DFS. توصي Databricks بإضافة اللاحقة -dfs-pe
   • بالنسبة لنقطة النهاية الخاصة الثانية التي تقوم بإنشائها لكل شبكة مصدر، قم بإنشاء نقطة نهاية Blob. توصي Databricks بإضافة اللاحقة -blob-pe

   يتم ملء حقل اسم واجهة الشبكة تلقائيا.

9. تعيين الحقل Region إلى منطقة مساحة العمل الخاصة بك.

10. انقر فوق التالي.

11. في المورد الفرعي الهدف، انقر فوق نوع المورد الهدف.

    • بالنسبة إلى نقطة النهاية الخاصة الأولى التي تقوم بإنشائها لكل شبكة مصدر، قم بتعيين هذا إلى dfs.
    • بالنسبة لنقطة النهاية الخاصة الثانية التي تقوم بإنشائها لكل شبكة مصدر، قم بتعيين هذا إلى blob.

12. في حقل Virtual network ، حدد VNet.

13. في حقل الشبكة الفرعية، قم بتعيين الشبكة الفرعية إلى الشبكة الفرعية المنفصلة لديك لنقاط النهاية الخاصة لحساب التخزين.

    قد يتم تعبئة هذا الحقل تلقائيا بالشبكة الفرعية لنقاط النهاية الخاصة بك، ولكن قد تضطر إلى تعيينه بشكل صريح. لا يمكنك استخدام إحدى شبكتي العمل الفرعيتين المستخدمتين لوظيفة مساحة عمل Azure Databricks الأساسية، والتي تسمى private-subnet عادة و public-subnet.

14. انقر فوق التالي. تملأ علامة التبويب DNS تلقائيا الاشتراك الصحيح ومجموعة الموارد التي حددتها مسبقا. قم بتغييرها إذا لزم الأمر.

15. انقر فوق التالي وأضف علامات إذا رغبت في ذلك.

16. انقر فوق التالي وراجع الحقول.

17. انقر فوق Create.

لتعطيل دعم جدار الحماية لحساب تخزين مساحة العمل الخاص بك، استخدم نفس العملية كما هو موضح أعلاه، ولكن قم بتعيين المعلمة Storage Account Firewall (storageAccountFirewallفي القالب) إلى Disabled وتعيين Workspace Catalog Enabled الحقل إلى أو false استنادا إلى true ما إذا كانت مساحة العمل تستخدم كتالوج مساحة عمل كتالوج Unity. راجع ما هي الكتالوجات في Azure Databricks؟.

الخطوة 2 (مستحسن): تكوين نقاط النهاية الخاصة لشبكات VNets لعميل جلب السحابة

إحضار السحابة هو آلية في ODBC وJDBC لجلب البيانات بالتوازي من خلال التخزين السحابي لجلب البيانات بشكل أسرع إلى أدوات BI. إذا كنت تقوم بإحضار نتائج استعلام أكبر من 1 ميغابايت من أدوات BI، فمن المحتمل أنك تستخدم Cloud Fetch.

إشعار

إذا كنت تستخدم خدمة Power BI Microsoft Fabric مع Azure Databricks، فيجب عليك تعطيل Cloud Fetch لأن هذه الميزة تمنع الوصول المباشر إلى حساب تخزين مساحة العمل من Fabric Power BI. بدلا من ذلك، يمكنك تكوين بوابة بيانات شبكة ظاهرية أو بوابة بيانات محلية للسماح بالوصول الخاص إلى حساب تخزين مساحة العمل. لا ينطبق هذا على Power BI لسطح المكتب. لتعطيل جلب السحابة، استخدم التكوين EnableQueryResultDownload=0.

إذا كنت تستخدم Cloud Fetch، فبادر بإنشاء نقاط نهاية خاصة إلى حساب تخزين مساحة العمل من أي شبكات ظاهرية لعملاء Cloud Fetch.

لكل شبكة مصدر لعملاء Cloud Fetch، قم بإنشاء نقطتي نهاية خاصتين تستخدمان قيمتين مختلفتين للموارد الفرعية الهدف: dfs و blob. راجع الخطوة 1: إنشاء نقاط نهاية خاصة إلى حساب التخزين للحصول على خطوات مفصلة. في هذه الخطوات، لحقل الشبكة الظاهرية عند إنشاء نقطة النهاية الخاصة، تأكد من تحديد VNet المصدر لكل عميل إحضار السحابة.

الخطوة 3: تأكيد موافقات نقطة النهاية

بعد إنشاء جميع نقاط النهاية الخاصة بك إلى حساب التخزين، تحقق مما إذا كانت معتمدة. قد يوافقون تلقائيا أو قد تحتاج إلى الموافقة عليها على حساب التخزين.

1. انتقل إلى مساحة العمل الخاصة بك في مدخل Azure.
2. ضمن Essentials، انقر فوق اسم مجموعة الموارد المدارة.
3. ضمن الموارد، انقر فوق المورد من نوع حساب التخزين الذي يحتوي على اسم يبدأ ب dbstorage.
4. في الشريط الجانبي، انقر فوق Networking.
5. انقر فوق اتصالات نقطة النهاية الخاصة.
6. تحقق من حالة الاتصال للتأكد من أنها تقول تمت الموافقة عليها أو حددها وانقر فوق موافقة.

الخطوة 4: تخويل اتصالات الحوسبة بلا خادم

يجب تخويل الحوسبة بلا خادم للاتصال بحساب تخزين مساحة العمل الخاص بك عن طريق إرفاق تكوين اتصال شبكة (NCC) بمساحة العمل الخاصة بك. عند إرفاق NCC بمساحة عمل، تتم إضافة قواعد الشبكة تلقائيا إلى حساب تخزين Azure لحساب تخزين مساحة العمل. للحصول على إرشادات، راجع تكوين جدار حماية للوصول إلى الحوسبة بدون خادم.

إذا كنت ترغب في تمكين الوصول من حساب Azure Databricks بلا خادم باستخدام نقاط النهاية الخاصة، فاتصل بفريق حساب Azure Databricks.

الخطوة 5: نشر قالب ARM المطلوب

تستخدم هذه الخطوة قالب ARM لإدارة مساحة عمل Azure Databricks. يمكنك أيضا تحديث مساحة العمل أو إنشائها باستخدام Terraform. راجع موفر azurerm_databricks_workspace Terraform.

1. في مدخل Microsoft Azure، ابحث عن وحدد Deploy a custom template.

2. انقر على إنشاء النموذج الخاص بك في المحرر.

3. انسخ قالب ARM من قالب ARM لدعم جدار الحماية لحساب تخزين مساحة العمل ولصقه في المحرر.

4. انقر فوق حفظ.

5. مراجعة الحقول وتحريرها. استخدم نفس المعلمات التي استخدمتها لإنشاء مساحة العمل، مثل الاشتراك والمنطقة واسم مساحة العمل وأسماء الشبكة الفرعية ومعرف المورد للشبكة الظاهرية الموجودة.

   للحصول على وصف للحولات، راجع حقول قالب ARM.

6. انقر فوق مراجعة وإنشاء، ثم إنشاء.

إشعار

يتم تعيين الوصول إلى الشبكة العامة على حساب تخزين مساحة العمل الخاص بك ممكن من الشبكات الظاهرية المحددة وعناوين IP وليس إلى معطل من أجل دعم موارد الحوسبة بلا خادم دون الحاجة إلى نقاط نهاية خاصة. حساب تخزين مساحة العمل موجود في مجموعة موارد مدارة ويمكن تحديث جدار حماية التخزين فقط عند إضافة تكوين اتصال شبكة (NCC) للاتصالات بلا خادم إلى مساحة العمل الخاصة بك. إذا كنت ترغب في تمكين الوصول من حساب Azure Databricks بلا خادم باستخدام نقاط النهاية الخاصة، فاتصل بفريق حساب Azure Databricks.