Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Databricks Apps podporuje jemně odstupňované řízení sítě, které vám pomůže zabezpečit a spravovat, jak vaše aplikace komunikuje s internetem a interními prostředky. Pravidla příchozího a odchozího provozu můžete nakonfigurovat pomocí kombinace seznamů přístupu IP, privátního připojení front-endu a zásad sítě.
Síťová architektura
Azure Databricks nasadí aplikace do bezserverové výpočetní roviny, kde přijímají provoz přímo. To je podobné jiným službám optimalizovaným pro směrování požadavků, jako jsou Model Serving a AI Search.
Proces připojení funguje takto:
- Počáteční požadavky uživatelů na aplikaci Azure Databricks iniciují ověřování pomocí OAuth s řídicí vrstvou, aby ověřily relaci a autorizovaly přístup k aplikaci.
- Po úspěšném ověření se všechny následné požadavky směrují přímo do bezserverové výpočetní roviny bez procházení řídicí roviny.
Zásady zabezpečení sítě nakonfigurované pro bezserverovou výpočetní rovinu se vztahují na provoz Databricks Apps. To zahrnuje seznamy IP přístupů a privátní konfigurace připojení front-endu.
Ovládací prvky pro řízení příchozího provozu
Pomocí následujících funkcí můžete omezit přístup k pracovnímu prostoru Azure Databricks a aplikacím z veřejného internetu.
- Přístupové seznamy IP adres: Omezte přístup k pracovnímu prostoru a aplikacím na známé a důvěryhodné rozsahy IP adres povolením přístupových seznamů IP adres na úrovni pracovního prostoru. Je povolený pouze provoz z nakonfigurovaných rozsahů IP adres. Podrobnosti najdete v tématu Konfigurace přístupových seznamů IP adres pro pracovní prostory.
:::
Front-end private connectivity: Směřujte příchozí provoz prostřednictvím připojení služby Azure Private Link, abyste zabezpečeně přistupovali k aplikacím přes vaše virtuální síť.
Abyste zajistili správné vyřešení názvů prostřednictvím vašeho privátního připojení, musíte pro doménu nakonfigurovat podmíněné předávání DNS. Jinak se dotazy DNS pro doménu vaší aplikace můžou místo privátního koncového bodu překládat na veřejné IP adresy. Pokyny k nastavení najdete v tématu Konfigurování příchozích Private Link.
Starší regionální adresy URL se v Databricks Apps nepodporují, protože nepodporují OAuth, což se vyžaduje pro ověřování aplikací. Podrobnosti najdete v Původní regionální adrese URL.
Ovládání odchozího provozu
Pokud chcete řídit odchozí provoz z vaší aplikace, vytvořte konfiguraci síťového připojení (NCC) a použijte zásady sítě pro pracovní prostor, který je hostitelem aplikace.
Konfigurace připojení k síti
Pomocí konfigurace připojení network bezpečně připojte aplikaci ke službám Azure. Centra síťové konfigurace poskytují stabilní ID podsítí, které můžete přidat do brány firewall účtu úložiště, abyste explicitně povolili přístup z vaší aplikace a dalších bezserverových výpočetních prostředků.
Pokud chcete dále omezit odchozí provoz do privátních cílů, nakonfigurujte bezserverové privátní koncové body pro Azure prostředky nebo směrujte provoz přes nástroj pro vyrovnávání zatížení Azure ve vaší virtuální síti.
Zásady sítě
Pomocí zásad sítě vynucujte omezení výchozího přenosu dat pro aplikace Databricks a další bezserverové úlohy. To je užitečné, když potřebujete splnit požadavky organizace nebo dodržování předpisů pro řízení odchozího připojení.
Poznámka:
Zásady sítě jsou dostupné jenom na úrovni Premium.
Použijte zásadu sítě, pokud vaše aplikace:
- Musí omezit přístup ke konkrétní sadě schválených externích domén.
- Potřebuje zabránit náhodnému exfiltraci dat.
- Musí splňovat standardy zabezpečení nebo dodržování předpisů, které omezují odchozí internetový provoz.
Požadované výchozí domény pro nasazení aplikace
Pokud používáte zásady sítě omezeného výchozího přenosu dat, musíte povolit konkrétní domény pro sestavení aplikace nebo modul runtime, aby bylo úspěšné. Bez těchto domén nasazení aplikací selžou, protože proces sestavení nemůže stahovat závislosti ani komunikovat s požadovanými službami.
Pro všechna nasazení aplikací Databricks se vyžadují následující domény:
| Doména | Purpose |
|---|---|
*.databricksapps.com |
Obsluha aplikací a možnosti připojení uživatelů |
*.databricksapps.us |
Obsluha aplikací a možnosti připojení uživatelů (jenom AWS GovCloud) |
*.databricksapps.mil |
Obsluha aplikací a možnosti připojení uživatelů (jenom AWS GovCloud DoD) |
pypi.org, files.pythonhosted.org |
Stahování balíčků Pythonu během sestavování aplikací; vyžaduje se, pokud vaše aplikace používá requirements.txt. |
registry.npmjs.org |
Stažení balíčku Node.js během sestavování aplikace (vyžaduje se, pokud vaše aplikace používá package.json) |
:::
Nasazení Azure navíc můžou vyžadovat tyto domény:
| Doména | Purpose |
|---|---|
*.blob.core.windows.net |
Azure Blob Storage koncové body, které používají aplikace připojující se k úložišti Azure |
*.dfs.core.windows.net |
Azure Data Lake Storage koncové body používané aplikacemi, které se připojují k Azure Data Lake Storage |
:::
:::
Vaše aplikace může vyžadovat další domény v závislosti na konkrétních závislostech nebo externích rozhraních API, která volá. Pokud vaše aplikace například volá rozhraní REST API třetí strany, přidejte do seznamu povolených domén této rozhraní API.
Důležité
V Private Link prostředích s omezeným odchozím přenosem dat obvykle chybějící položky seznamu povolených domén způsobují selhání nasazení aplikace. Pokud se vaší aplikaci nepodaří nasadit, zkontrolujte systémovou tabulku system.access.outbound_network pro pokusy o odepření připojení a zjistěte, které domény je třeba přidat. Viz Kontrola protokolů odepření.
Osvědčené postupy pro konfiguraci zásad sítě
Pokud se chcete vyhnout nechtěným přerušením a zajistit, aby vaše aplikace měly přístup k požadovaným prostředkům, postupujte podle těchto pokynů:
- Povolit pouze požadované cíle. Přidejte plně kvalifikované názvy domén (FQDN) pro veřejné nebo privátní prostředky, které vaše aplikace potřebuje. Viz Povinné výchozí domény pro nasazení aplikace pro minimální sadu domén potřebných pro nasazení.
- Podle potřeby zahrňte úložiště balíčků. Pokud vaše aplikace instaluje veřejné Python nebo balíčky Node.js, možná budete muset povolit domény, jako je
pypi.orgpro Python, neboregistry.npmjs.orgpro Node. Vaše aplikace může vyžadovat další nebo jiné domény v závislosti na konkrétních závislostech. Bez těchto úložišť mohou selhat sestavení aplikací, které se spoléhají narequirements.txtnebopackage.json. - K ověření zásad sítě použijte režim suchého spuštění. Tento režim simuluje vynucení zásad bez blokování provozu.
- Zkontrolujte odepřené pokusy o připojení pomocí
system.access.outbound_networktabulky. To vám pomůže identifikovat domény, které možná budete muset povolit. Viz Kontrola protokolů odepření.
- Přidejte všechny požadované externí domény, jako jsou důvěryhodná rozhraní API nebo Azure účty úložiště, které nejsou zaregistrované v katalogu Unity.
Nasazení aplikací v prostředích Private Link
Pokud váš pracovní prostor používá privátní připojení front-endu, musíte provést další kroky konfigurace pro nasazení a používání aplikací Databricks. Bez této konfigurace může nasazení aplikací selhat nebo se uživatelé nemusí k aplikaci dostat.
Konfigurace DNS
Pro doménu musíte nakonfigurovat podmíněné předávání databricksapps.com DNS, aby se adresy URL aplikací přeložily na privátní IP adresy místo veřejných IP adres. Bez této konfigurace se uživatelé za privátní sítí nemůžou spojit s nasazenými aplikacemi.
Přidejte pravidla podmíněného předávání pro následující domény na váš Azure DNS server:
*.databricksapps.com*.azuredatabricks.net*.privatelink.azuredatabricks.net
Ověřte, že vaše virtuální síť odkazuje na zónu Azure Privátní DNS. Podrobné pokyny k nastavení DNS najdete v tématu Vlastní konfigurace DNS.
Požadavky na výstupní přenos dat
V Private Link prostředí s omezeným odchozím přenosem dat vyžadují aplikace odchozí připojení ke konkrétním doménám během doby sestavení i za běhu. Úplný seznam domén pro zařazení do seznamu povolených najdete v Požadované výchozí domény pro nasazení aplikace.
Pro konfiguraci výtoku pro aplikace v prostředí Private Link:
- Vytvořte nebo aktualizujte konfiguraci připojení k síti (NCC) a připojte ji k pracovnímu prostoru, který je hostitelem vaší aplikace.
- Vytvořte nebo aktualizujte síťové zásady tak, aby zařadily požadované domény do seznamu povolených.
- Nejprve pomocí režimu suchého spuštění ověřte konfiguraci bez blokování provozu.
-
system.access.outbound_networkV systémové tabulce zkontrolujte všechny pokusy o odepření připojení během nasazování aplikace.
Odstraňování problémů s nasazením Private Link
Pokud se vaší aplikaci nepodaří nasadit v Private Link prostředí:
Zkontrolujte protokoly odepření výchozího přenosu dat. Dotazujte se na systémovou tabulku
system.access.outbound_networkpro nedávné události odmítnutí. Viz Kontrola protokolů odepření.SELECT * FROM system.access.outbound_network WHERE event_time >= CURRENT_TIMESTAMP() - INTERVAL 2 HOUR ORDER BY event_time DESC;Ověřte řešení DNS. Ověřte, že se adresa URL vaší aplikace překládá na privátní IP adresu, nikoli na veřejnou IP adresu. Použijte
nslookupze své privátní sítě k zkontrolování:nslookup <your-app-name>.databricksapps.comPro AWS GovCloud použijte
<your-app-name>.aws-gov.databricksapps.us. Pro AWS GovCloud DoD použijte<your-app-name>.aws-dod.databricksapps.mil.Zkontrolujte konfiguraci zásad sítě. Ověřte, že jsou požadované domény v seznamu povolených. Nejčastější příčinou selhání sestavení jsou chybějící domény pro úložiště balíčků (
pypi.org,registry.npmjs.org).Restartujte aplikaci. Po aktualizaci zásad sítě znovu nasaďte nebo restartujte aplikaci, aby se aktualizované zásady projevily. Viz Restartování nebo opětovné nasazení úloh bez serveru.
Šifrování a směrování provozu
Databricks Apps využívá vyhrazené cesty směrování a více šifrovacích vrstev k zabezpečení síťové komunikace a ochraně dat.
Směrování provozu
Provoz mezi řídicí rovinou Azure Databricks, výpočetní rovinou, dalšími Azure Databricks prostředky a cloudovými službami prochází přes globální síť poskytovatele cloudu a neprochází veřejným internetem.
Provoz mezi uživateli a databricksapps.com (nebo databricksapps.us pro AWS GovCloud nebo databricksapps.mil pro AWS GovCloud DoD) může procházet veřejným internetem v závislosti na síťovém umístění uživatele. Abyste se vyhnuli veřejnému internetovému směrování, nakonfigurujte privátní připojení front-endu.
Šifrování během přenosu
Veškerá síťová komunikace s aplikacemi a z aplikací se šifruje:
-
Uživatelský provoz: Komunikace mezi uživateli a
databricksapps.com(nebodatabricksapps.us/databricksapps.milpro AWS GovCloud) používá šifrování TLS (Transport Layer Security) 1.3. - Provoz řídicí roviny: Komunikace mezi řídicí rovinou Azure Databricks a výpočetní rovinou používá pro operace správy vzájemné TLS (mTLS), včetně vytváření aplikací, aktualizací a mazání.
Šifrování neaktivních uložených dat
Databricks Apps šifruje uložená data pomocí následujících metod:
- Aplikace code: Azure Databricks ukládá kód aplikace do souborů pracovního prostoru a používá stejné šifrování jako poznámkové bloky a další soubory pracovního prostoru.
- Výpočetní úložiště: Aplikace používají dočasné hostitelské disky operačního systému šifrované pomocí AES-256 a výchozí implementace šifrování poskytovatele cloudu.