Připojení k externím službám HTTP

Důležité

Tato funkce je ve verzi Public Preview.

HTTP připojení je objekt zabezpečení v Unity Catalogu, který ukládá informace o koncovém bodu a přihlašovacích údajích pro externí službu HTTP. Pomocí připojení HTTP můžete odesílat ověřené požadavky na externí rozhraní REST API, servery MCP a nástroje agenta AI z Azure Databricks bez vložení přihlašovacích údajů do kódu.

Dostupnost v regionu

HTTP připojení v katalogu Unity Catalog jsou k dispozici pouze v regionech, kde je podporován Model Serving. Viz Dostupnost funkcí obsluhy modelu.

Než začnete

Požadavky na pracovní prostor:

  • Pracovní prostor aktivován pro katalog Unity. Pracovní prostory vytvořené po 9. listopadu 2023 jsou pro Unity Catalog automaticky povolené, včetně automatického provisioningu metastoru. Metastore nemusíte vytvářet ručně, pokud váš pracovní prostor pochází z doby před automatickým povolením a nebyl povolen pro Unity Catalog. Viz Začínáme s katalogem Unity.

Požadavky na výpočetní prostředky:

  • Azure Databricks výpočetní prostředky musí používat Databricks Runtime 15.4 LTS nebo novější a Standard nebo Dedicated režim přístupu.
  • Sql Warehouse musí být pro nebo bezserverové a musí používat verzi 2023.40 nebo vyšší.

Požadovaná oprávnění:

  • Pokud chcete vytvořit připojení, musíte být správcem metastoru nebo uživatelem s oprávněním CREATE CONNECTION k metastoru katalogu Unity připojenému k pracovnímu prostoru. V pracovních prostorech, které byly automaticky povoleny pro Katalog Unity, mají správci pracovišť CREATE CONNECTION ve výchozím nastavení oprávnění.

Další požadavky na oprávnění jsou uvedeny v následující části založené na úlohách.

  • Nastavte ověřování pro externí službu pomocí jedné z následujících metod:
    • Nosný token: Získejte nosný token pro jednoduché ověřování na základě tokenu.
    • Dynamická registrace klienta (DCR):Automaticky zjišťovat a registrovat přihlašovací údaje OAuth pomocí protokolu RFC 7591 . Každý uživatel se ověřuje jednotlivě.
    • OAuth 2.0 Machine-to-Machine: Vytvoření a konfigurace aplikace pro povolení ověřování mezi počítači
    • OAuth 2.0 Sdílení mezi uživatelem a zařízením: Ověřování pomocí uživatelské interakce pro sdílení přístupu mezi identitou služby a zařízením.
    • OAuth 2.0 User-to-Machine per user: Autentizujte se pomocí interakce na bázi uživatelů, abyste umožnili přístup mezi identitou uživatele a strojem.

Metody ověřování pro externí služby

Nosný token

Nosný token je jednoduchý ověřovací mechanismus založený na tokenech, kdy se token vydává klientovi a používá se pro přístup k prostředkům bez nutnosti dalších přihlašovacích údajů. Token je součástí hlavičky požadavku a uděluje přístup, pokud je platný.

OAuth Machine-to-Machine

Ověřování OAuth Machine-to-Machine (M2M) se používá, když dva systémy nebo aplikace komunikují bez přímého zásahu uživatele. Tokeny se vydávají registrovanému klientovi počítače, který k ověření používá vlastní přihlašovací údaje. To je ideální pro úlohy komunikace mezi servery, mikroslužby a automatizace, kde není potřeba žádný kontext uživatele. Databricks doporučuje používat OAuth Machine-to-Machine, pokud je k dispozici přes OAuth User-to-Machine Shared.

Sdílené uživatelské zařízení OAuth

Sdílené ověřování OAuth typu uživatel-počítač umožňuje jedné identitě uživatele ověřit a sdílet stejnou sadu přihlašovacích údajů mezi více klienty nebo uživateli. Všichni uživatelé sdílejí stejný přístupový token. Tento přístup je vhodný pro sdílená zařízení nebo prostředí, kde je dostatečná konzistentní identita uživatele, ale snižuje individuální odpovědnost a sledování. V případech, kdy se vyžaduje přihlášení pomocí identity, vyberte Sdílení mezi uživatelem a počítačem. Databricks doporučuje používat OAuth Machine-to-Machine, pokud je k dispozici přes OAuth User-to-Machine Shared.

Dynamická registrace klienta (DCR)

Dynamická registrace klienta (DCR) používá protokol RFC 7591 k automatickému zjišťování koncových bodů OAuth a registraci klienta v externí službě. Zadáte jenom adresu URL hostitele a Databricks zpracuje zbytek – zjistí autorizační server, zaregistruje přihlašovací údaje OAuth a spravuje toky souhlasu uživatele. Každému uživateli se zobrazí výzva k autorizaci při prvním použití a povolení individuálního řízení přístupu a odpovědnosti. Externí služba musí podporovat OAuth 2.0 DCR a zveřejnit koncové body metadat OAuth pro automatické zjišťování. Tato metoda je ideální pro připojení k serverům MCP a dalším službám, které podporují standard DCR.

OAuth uživatel–stroj pro každého uživatele

Ověřování OAuth uživatele pro stroj ke každému uživateli umožňuje každé identitě uživatele ověřovat a používat vlastní přihlašovací údaje pro přístup k prostředkům. Každý uživatel má jedinečný přístupový token, který umožňuje individuální řízení přístupu, auditování a odpovědnost. Tato metoda je vhodná, když se vyžaduje přístup k datům specifickým pro uživatele a při přístupu k externím službám jménem jednotlivého uživatele.

Externí služby musí splňovat specifikace OAuth 2.0.

Připojení HTTP, která používají OAuth, se musí připojit ke službám, které splňují oficiální specifikaci OAuth 2.0 , aby mohly zpracovávat a vracet data přístupového tokenu. To znamená, že odpovědi služby musí používat přesné názvy polí a formáty dat popsané ve specifikaci, například access_token, expires_ina tak dále.

Pokud máte problémy s připojením k externí službě pomocí OAuth 2.0, zkontrolujte, jestli odpovědi služby splňují tyto požadavky.

Spravovaní poskytovatelé OAuth

Pro následující poskytovatele Azure Databricks spravuje přihlašovací údaje OAuth v back-endu, takže si neregistrujete vlastní aplikaci OAuth. Při vytváření připojení vyberte možnost OAuth User to Machine Per User a zvolte poskytovatele.

Poskytovatel Poznámky ke konfiguraci Podporované obory Popis
Glean MCP Vyžaduje hostitele. Základní cesta je konfigurovatelná (výchozí hodnota /mcp/defaultje ). mcp Získejte přístup k podnikovému vyhledávání, chatu, dokumentům a nástrojům agenta Glean.
GitHub MCP None repo read:project read:org Přístup k úložištím, organizacím a datům projektu na GitHubu
Atlassian MCP None read:jira-work read:jira-user read:confluence-content.all offline_access Přistupujte k problémům v Jira, uživatelům a obsahu Confluence.
Slack MCP None search:read.public search:read.private search:read.mpim search:read.im search:read.files search:read.users channels:history groups:history mpim:history im:history canvases:read users:read users:read.email Vyhledávat zprávy, soubory, kanály, plátna a uživatele ve Slacku; číst historii kanálů, skupin, MPIM a DM.

Pokud používáte Managed OAuth, přidejte v případě potřeby následující identifikátory URI pro přesměrování na seznam povolených:

Cloud Přesměrování URI
AWS https://oregon.cloud.databricks.com/api/2.0/http/oauth/redirect
Azure https://westus.azuredatabricks.net/api/2.0/http/oauth/redirect
GCP https://us-central1.gcp.databricks.com/api/2.0/http/oauth/redirect

Vytvoření připojení k externí službě

Nejprve vytvořte připojení katalogu Unity k externí službě, která určuje cestu a přihlašovací údaje pro přístup ke službě.

Mezi výhody použití připojení katalogu Unity patří:

  • zabezpečená správa přihlašovacích údajů: tajné kódy a tokeny se bezpečně ukládají a spravují v katalogu Unity a zajišťují, že se nikdy nezpřístupní uživatelům.
  • podrobné řízení přístupu: Katalog Unity umožňuje jemně odstupňovanou kontrolu nad tím, kdo může používat nebo spravovat připojení s oprávněními USE CONNECTION a MANAGE.
  • vynucování tokenu specifického pro hostitele: tokeny jsou omezené na host_name zadané při vytváření připojení, takže je nelze použít s neautorizovanými hostiteli.

Požadovaná oprávnění : správce metastoru nebo uživatel s oprávněním CREATE CONNECTION.

Vytvořte připojení pomocí jedné z následujících metod:

  • Použijte uživatelské rozhraní Průzkumníka katalogů.
  • Spusťte příkaz CREATE CONNECTION SQL v poznámkovém bloku Azure Databricks nebo editoru dotazů SQL Databricks.
  • K vytvoření připojení použijte rozhraní REST API databricks nebo rozhraní příkazového řádku Databricks. Viz POST /api/2.1/unity-catalog/connections a příkazy Unity Catalog .

Průzkumník katalogu

K vytvoření připojení použijte uživatelské rozhraní Průzkumníka katalogu.

  1. V pracovním prostoru Azure Databricks klikněte na Data icon.Catalog.

  2. V horní části podokna Katalog klikněte na ikonu Přidat nebo plusPřidat a v nabídce vyberte Vytvořit připojení .

  3. Klikněte na Vytvořit připojení.

  4. Zadejte uživatelsky přívětivý název připojení.

  5. Vyberte typ připojení http.

  6. V následujících možnostech vyberte typ ověřování :

    • Nosný token
    • Dynamická registrace klienta
    • OAuth stroj ke stroji
    • OAuth uživatel k zařízení s sdíleným přístupem
    • Uživatel OAuth na počítač na uživatele
      • Zvolte ruční konfiguraci a zadejte vlastní přihlašovací údaje OAuth. Pokud se připojujete k externímu serveru MCP a chcete, aby databricks spravuje přihlašovací údaje OAuth za vás, podívejte se na spravované poskytovatele OAuth.
  7. Na stránce Ověřování zadejte následující vlastnosti připojení pro HTTP.

    Vlastnosti autentizačního tokenu

    Token nosiče:

    Vlastnictví Popis Příklad hodnoty
    Hostitel Základní adresa URL vašeho pracovního prostoru Databricks nebo jeho nasazení. https://databricks.com
    Přístav Síťový port používaný pro připojení, obvykle 443 pro HTTPS. 443
    Bearer token Ověřovací token použitý k autorizaci požadavků rozhraní API. bearer-token
    Základní cesta Kořenová cesta pro koncové body rozhraní API. /api/
    Dynamické vlastnosti registrace klienta

    Pro dynamickou registraci klienta:

    Vlastnictví Popis
    Hostitel Adresa URL HTTPS externí služby. Databricks používá tuto adresu URL ke zjištění autorizačního serveru OAuth a automatické registraci klienta.
    Přístav Síťový port používaný pro připojení, obvykle 443 pro HTTPS.
    Základní cesta Kořenová cesta pro koncové body rozhraní API.
    Rozsah OAuth (Volitelné) Rozsah, který se má udělit při autorizaci uživatele Vyjádřeno jako seznam řetězců oddělených mezerami a s rozlišováním velkých a malých písmen. Pokud tento parametr vynecháte, server určí výchozí obory.
    Vlastnosti OAuth stroj-na-stroj

    Pro OAuth Machine-to-Machine:

    Vlastnictví Popis
    ID klienta Jedinečný identifikátor aplikace, kterou jste vytvořili.
    Tajný klíč klienta Tajný kód nebo heslo vygenerované pro aplikaci, kterou jste vytvořili.
    Rozsah OAuth Rozsah, který se má udělit při autorizaci uživatele Parametr rozsahu je vyjádřen jako seznam řetězců oddělených mezerami, které rozlišují velikost písmen.
    Příklad: channels:read channels:history chat:write
    Koncový bod tokenu Klient ho používá k získání přístupového tokenu tím, že prezentuje autorizační udělení nebo obnovovací token.
    Obvykle ve formátu: https://authorization-server.com/oauth/token
    Sdílené vlastnosti OAuth mezi uživateli a počítačem

    Sdílení OAuth mezi uživatelem a strojem

    • Zobrazí se výzva k přihlášení pomocí přihlašovacích údajů OAuth. Přihlašovací údaje, které použijete, budou sdíleny kýmkoli, kdo toto připojení používá. Někteří poskytovatelé vyžadují pro adresu URL přesměrování seznam povolených, uveďte <databricks_workspace_url>/login/oauth/http.html je jako seznam povolených adres URL pro přesměrování. Příklad: https://databricks.com/login/oauth/http.html
    Vlastnictví Popis
    ID klienta Jedinečný identifikátor aplikace, kterou jste vytvořili.
    Tajný klíč klienta Tajný kód nebo heslo vygenerované pro aplikaci, kterou jste vytvořili.
    Rozsah OAuth Rozsah, který se má udělit při autorizaci uživatele Parametr rozsahu je vyjádřen jako seznam řetězců oddělených mezerami, které rozlišují velikost písmen.
    Příklad: channels:read channels:history chat:write
    Koncový bod autorizace Používá se k autentizaci vlastníka prostředku pomocí přesměrování přes uživatelský agent.
    Obvykle ve formátu: https://authorization-server.com/oauth/authorize
    Koncový bod tokenu Klient ho používá k získání přístupového tokenu tím, že prezentuje autorizační udělení nebo obnovovací token.
    Obvykle ve formátu: https://authorization-server.com/oauth/token
    Vlastnosti OAuth User-to-Machine pro jednotlivé uživatele

    Pro uživatele OAuth na počítač na uživatele:

    • Každému uživateli se při prvním použití připojení HTTP zobrazí výzva k přihlášení pomocí jednotlivých přihlašovacích údajů OAuth. Někteří poskytovatelé vyžadují pro adresu URL přesměrování seznam povolených, uveďte <databricks_workspace_url>/login/oauth/http.html je jako seznam povolených adres URL pro přesměrování. Příklad: https://databricks.com/login/oauth/http.html
    Vlastnictví Popis
    ID klienta Jedinečný identifikátor aplikace, kterou jste vytvořili. Autorizační server slouží k identifikaci klientské aplikace během toku OAuth.
    Tajný klíč klienta Tajný kód nebo heslo vygenerované pro aplikaci, kterou jste vytvořili. Používá se k ověření klientské aplikace při výměně autorizačních kódů pro tokeny a musí být důvěrné.
    Rozsah OAuth Rozsah, který se má udělit při autorizaci uživatele Vyjádřeno jako seznam řetězců s rozlišením velkých a malých písmen oddělených mezerami, definující oprávnění, která aplikace požaduje.
    Příklad: channels:read channels:history chat:write
    Koncový bod autorizace Koncový bod použitý k ověření vlastníka prostředku prostřednictvím přesměrování uživatelského agenta a získání autorizace.
    Obvykle ve formátu: https://authorization-server.com/oauth/authorize
    Klient nasměruje uživatele na tento koncový bod, aby se přihlásil a udělil souhlas s oprávněními.
    Koncový bod tokenu Koncový bod používaný klientem k výměně autorizačního udělení (například autorizačního kódu) nebo obnovovacího tokenu pro přístupový token.
    Obvykle ve formátu: https://authorization-server.com/oauth/token
    Metoda výměny přihlašovacích údajů Oauth Poskytovatelé vyžadují různé metody předávání přihlašovacích údajů klienta OAuth během výměny tokenů. Vyberte jednu z následujících možností:
    • header_and_body: Umístí přihlašovací údaje do autorizační hlavičky i textu požadavku (výchozí).
    • body_only: Umístí přihlašovací údaje pouze do textu požadavku bez autorizační hlavičky.
    • header_only: Umístí přihlašovací údaje pouze do autorizační hlavičky (pro poskytovatele, jako je OKTA).
  8. Klikněte na Vytvořit připojení.

SQL

K vytvoření připojení použijte příkaz CREATE CONNECTION SQL.

Poznámka:

Příkaz SQL nelze použít k vytvoření připojení, které používá sdílené zařízení OAuth machine-to-user. Místo toho se podívejte na pokyny k uživatelskému rozhraní Průzkumníka katalogů.

Pokud chcete vytvořit nové připojení pomocí Bearer tokenu, spusťte následující příkaz v poznámkovém bloku nebo v Databricks SQL editoru dotazů:

CREATE CONNECTION <connection-name> TYPE HTTP
OPTIONS (
  host '<hostname>',
  port '<port>',
  base_path '<base-path>',
  bearer_token '<bearer-token>'
);

Databricks doporučuje používat tajných kódů místo řetězců prostého textu pro citlivé hodnoty, jako jsou přihlašovací údaje. Například:

CREATE CONNECTION <connection-name> TYPE HTTP
OPTIONS (
  host '<hostname>',
  port '<port>',
  base_path '<base-path>',
  bearer_token secret ('<secret-scope>','<secret-key-password>')
)

Pokud chcete vytvořit nové připojení pomocí OAuth Machine-to-Machine, spusťte v poznámkovém bloku nebo editoru dotazů SQL Databricks následující příkaz:

CREATE CONNECTION <connection-name> TYPE HTTP
OPTIONS (
  host '<hostname>',
  port '<port>',
  base_path '<base-path>',
  client_id '<client-id>'
  client_secret '<client-secret>'
  oauth_scope '<oauth-scope1> <oauth-scope-2>'
  token_endpoint '<token-endpoint>'
)

Sdílejte připojení ke katalogu Unity

Udělte USE CONNECTION oprávnění subjektům identit, které potřebují použít připojení.

  1. V pracovním prostoru přejděte do katalogu>připojení> vaše oprávnění >připojení.
  2. Udělte identitám odpovídající přístup k připojení katalogu Unity.

Předávání požadavků přes proxy připojení HTTP

Pokud chcete odeslat požadavek externí službě, databricks doporučuje použít proxy připojení HTTP.

Proxy připojení HTTP katalogu Unity je koncový bod HTTP hostovaný službou Databricks, který vaším jménem předává požadavky externím službám. Místo správy ověřovacích tokenů ve vaší aplikaci se ověřujete pomocí Databricks a necháte Databricks automaticky vkládat přihlašovací údaje externí služby z připojení katalogu Unity.

To je nejužitečnější v těchto případech:

  • Musíte volat externí rozhraní REST API nebo server MCP z aplikace spuštěné mimo Databricks, aniž byste museli ukládat přihlašovací údaje přímo do vaší aplikace.
  • Chcete, aby Databricks zpracovával úložiště přihlašovacích údajů, aktualizaci tokenu OAuth a toky ověřování pro jednotlivé uživatele pro externí služby.
  • Připojujete klienta MCP (například Claude Desktop nebo Kurzor) k externímu serveru MCP prostřednictvím proxy serveru spravovaného službou Databricks. Viz Použití externích serverů MCP.

Požadovaná oprávnění:USE CONNECTION na objektu připojení.

Adresa URL koncového bodu proxy serveru

Adresa URL koncového bodu proxy serveru se řídí tímto formátem:

https://<workspace-hostname>/api/2.0/unity-catalog/connections/<connection-name>/proxy[/<sub-path>]
Parameter Popis
<connection-name> Název připojení HTTP katalogu Unity.
<sub-path> Optional. Segment cesty připojený po připojení base_path při sestavování odchozí URL. Vynecháte přímé volání základní adresy URL připojení.

Jak proxy vytvoří odchozí požadavek

Proxy zkombinuje hostitele připojení a base_path s dílčí cestou požadavku a vytvoří adresu URL odeslanou externí službě:

{connection host}{base_path}{sub-path}

Pokud je například vaše připojení nakonfigurované s hostiteli https://api.example.com a základní cestou /v1, požadavek na:

POST /api/2.0/unity-catalog/connections/my_connection/proxy/messages

Je přeposláno na:

POST https://api.example.com/v1/messages

Přeposílání záhlaví

Proxy server předává hlavičky vaší žádosti externí službě s následujícími pravidly:

  • Blokované hlavičky: Interní hlavičky Azure Databricks (například Authorization, Cookie, X-Databricks-* a podobné hlavičky relace) jsou odstraněny před předáním, aby se zabránilo úniku přihlašovacích údajů Azure Databricks do externích služeb.
  • Všechny ostatní hlavičky , které zadáte, se předávají beze změny externí službě. Použijte to k předávání hlaviček specifických pro službu, jako jsou Content-Type, nebo vlastní API klíče vyžadované externí službou.

Text požadavku

Tělo žádosti se předá v nezměněné podobě externí službě.

Podporované metody HTTP

GET, POST, PUT, , PATCHDELETE

Autentizace

Ověřujete se u koncového bodu proxy serveru pomocí standardního ověřování Azure Databricks (osobní přístupový token nebo OAuth). Azure Databricks pak načte přihlašovací údaje externí služby uložené v připojení katalogu Unity a vloží je do odchozího požadavku. Podporují se všechny typy ověřování připojení (nosný token, OAuth M2M, sdílené OAuth U2M, OAuth U2M na uživatele). Viz metody ověřování pro externí služby.

Příklad

Následující příklad odešle požadavek POST prostřednictvím proxy do koncového bodu rozhraní API Slack. Nosný token Slack je uložen v připojení Unity Catalog a nikdy není součástí požadavku klienta.

curl -X POST \
  "https://<workspace-hostname>/api/2.0/unity-catalog/connections/slack_connection/proxy/chat.postMessage" \
  -H "Authorization: Bearer <databricks-token>" \
  -H "Content-Type: application/json" \
  -d '{"channel": "C123456", "text": "Hello from Databricks!"}'

Pokud je slack_connection nakonfigurován s hostitelem https://slack.com a základní cestou /api, tento požadavek se předá na https://slack.com/api/chat.postMessage s přihlašovacími údaji pro Slack automaticky vkládanými službou Azure Databricks.

Odeslání požadavku HTTP pomocí http_request

Výstraha

http_request je zastaralý. Pro nový kód použijte Unity Catalog connections proxy endpoint se sadou SDK poskytovatele.

Odešlete do služby požadavky HTTP pomocí http_request integrované funkce SQL.

Požadovaná oprávnění:USE CONNECTION na objektu připojení.

V poznámkovém bloku nebo editoru SQL Databricks spusťte následující příkaz SQL. Nahraďte zástupné hodnoty:

  • connection-name: Objekt připojení , který určuje hostitele, port, base_path a přístupové přihlašovací údaje.
  • http-method: Metoda požadavku HTTP použitá k volání. Příklad: GET, POST, PUT, DELETE
  • path: Cesta k připojení za base_path k vyvolání prostředku služby.
  • json: Text JSON, který se má odeslat s požadavkem.
  • headers: Mapa určující hlavičky požadavku.
SELECT http_request(
  conn => <connection-name>,
  method => <http-method>,
  path => <path>,
  json => to_json(named_struct(
    'text', text
  )),
  headers => map(
    'Accept', "application/vnd.github+json"
  )
);

Poznámka:

Přístup SQL s http_request je blokován pro typy připojení uživatel-stroj pro jednotlivé uživatele a dynamickou registraci klienta. Místo toho použijte sadu Python Databricks SDK.

from databricks.sdk import WorkspaceClient
from databricks.sdk.service.serving import ExternalFunctionRequestHttpMethod

WorkspaceClient().serving_endpoints.http_request(
  conn="connection-name",
  method=ExternalFunctionRequestHttpMethod.POST,
  path="/api/v1/resource",
  json={"key": "value"},
  headers={"extra-header-key": "extra-header-value"},
)

Použití připojení HTTP pro nástroje agenta

Agenti AI můžou pomocí připojení HTTP přistupovat k externím aplikacím, jako je Slack, Google Calendar nebo jakákoli služba s rozhraním API pomocí požadavků HTTP. Agenti můžou používat externě připojené nástroje k automatizaci úloh, odesílání zpráv a načítání dat z platforem třetích stran.

Viz Připojení agentů k nástrojům třetích stran pomocí služeb MCP.

Zabezpečení síťového připojení k externím službám

Azure Databricks směruje provoz pro připojení HTTP prostřednictvím bezserverové výpočetní roviny vašeho pracovního prostoru do externích služeb. Tento provoz můžete zabezpečit pomocí Private Link nebo seznamu povolených IP adres.

Private Link poskytuje úplnou izolaci tenanta. Ke službě se přes připojení může dostat pouze váš pracovní prostor Azure Databricks. Provoz prochází přes privátní připojení, nikoli přes veřejný internet. Použijte Private Link pro externí služby hostované ve vaší cloudové síti (VPC nebo VNet).

Pokud chcete nakonfigurovat Private Link, přečtěte si téma Konfigurování privátního připojení k prostředkům ve vaší virtuální síti. Vzory nastavení proxy serveru najdete v blogové sérii o soukromých a vyhrazených vzorech připojení pro serverless Azure Databricks.

Seznam povolených IP adres

Důležité

Pokud byl váš pracovní prostor vytvořen před březnem 2026, pravidla brány firewall můžou místo odchozích IP adres bez serveru odkazovat na IP adresy řídicí roviny. 30. května 2026 se všechny pracovní prostory automaticky migrují na bezserverové směrování, takže je nutné aktualizovat seznamy povolených, abyste se vyhnuli selháním připojení. Viz Migrace na bezserverové směrování pro připojení HTTP.

Pokud Private Link možnost není, nakonfigurujte pravidla brány firewall externí služby tak, aby povolovali seznam povolených Azure Databricks odchozích IP adres bez serveru. Při použití povolení seznamu IP adres se odchozí IP adresy sdílí mezi zákazníky Azure Databricks, takže tento přístup neposkytuje izolaci zákazníka.

Informace o odchozích IP adresách serverless a pokyny, jak je povolit, najdete v tématu Konfigurace obvodu zabezpečení sítě (NSP) pro prostředky Azure.

Poznámka:

Při používání připojení HTTP se můžou účtovat poplatky za přenos dat Azure Databricks. Další informace najdete v tématu Přenos dat a ceny připojení.

Omezení

  • Funkce http_request je omezená rychlostí. Je určen pro interaktivní a agentní použití, nikoli pro vysokoobjemové dávkové dotazy. Pokud v rámci jednoho dotazu spustíte http_request nad mnoha řádky, mohou být požadavky omezeny, což povede k chybám. Pokud chcete tento problém obejít, použijte sadu Databricks SDK pro Python k odesílání požadavků v menších dávkách s prodlevami mezi nimi. Databricks doporučuje pro nový kód používat se sadou SDK poskytovatele proxy koncový bod připojení Unity Catalog místo http_request.