Nakonfigurujte obvod zabezpečení sítě Azure (NSP) pro prostředky Azure

Azure Databricks bezserverové výpočetní prostředky se připojí k vašim cloudovým prostředkům prostřednictvím spravované síťové infrastruktury. Pokud brány firewall chrání vaše cloudové prostředky, musíte povolit provoz z bezserverového výpočetního prostředí. Metoda konfigurace závisí na typu prostředku:

  • Účty úložiště Azure v oblasti vašeho pracovního prostoru: Přidružte svůj účet úložiště k obvodu zabezpečení sítě (NSP) a povolte značku služby AzureDatabricksServerless.
  • Další prostředky: Přidejte odchozí IP adresy zveřejněné službou Azure Databricks na seznam povolených.

Poznámka:

Pokud potřebujete vyhrazené soukromé připojení ke svým prostředkům, použijte pro přístup ke svému prostředku odchozí připojení Private Link místo přidávání IP adres na seznam povolených. Viz Konfigurace privátního připojení k prostředkům ve vaší virtuální síti.

Nakonfigurujte obvod zabezpečení sítě Azure pro účty úložiště Azure

Hraniční síť zabezpečení sítě (NSP) Azure je integrovaná funkce Azure, která pro prostředky paaS (platforma jako služba) vytvoří logickou hranici izolace. Když přidružíte účty úložiště k zprostředkovateli zabezpečení sítě, spravujete síťový provoz centrálně se zjednodušenou sadou pravidel místo údržby složitých seznamů jednotlivých IP adres nebo ID podsítí. Tato část popisuje, jak nakonfigurovat NSP pro řízení bezserverového výpočetního přístupu k účtům úložiště Azure pomocí portálu Azure.

NSP podporuje přístup z bezserverových skladů SQL, úloh, poznámkových bloků, kanálů Lakeflow a modelů obsluhujících koncové body.

Důležité

Do 9. června 2026 musí být všechny existující Azure úložné účty, které mají na seznamu povolených ID bezserverové podsítě Azure Databricks, přidány do bezpečnostního perimetru sítě a musí povolit značku služby AzureDatabricksServerless.

Klíčové výhody

Použití NSP pro bezserverový odchozí provoz Azure Databricks zlepšuje stav zabezpečení a výrazně snižuje provozní režii:

Benefit Description
Úspora nákladů Provoz odeslaný přes koncové body služby zůstává v páteřní síti Azure a neúčtují se žádné poplatky za zpracování dat.
Zjednodušená správa Azure Databricks doporučujeme použít značku regionální služby k omezení přístupu k určité oblasti, například AzureDatabricksServerless.EastUS2. Veškerá komunikace je směrována přes páteřní síť Azure. Pokud pracovní prostory v mnoha oblastech potřebují přístup, můžete použít více značek regionálních služeb. Úplný seznam podporovaných regionů Azure najdete v Azure Databricks regiony.
Centralizovaná správa zabezpečení Spravujte zásady zabezpečení napříč několika typy prostředků, včetně úložiště, trezorů klíčů a databází, v rámci jednoho profilu NSP.

Podporované služby Azure

Značka služby AzureDatabricksServerless se podporuje jenom u příchozích pravidel NSP, která cílí na Azure Storage (včetně ADLS Gen2) v oblasti pracovního prostoru.

Requirements

Než začnete, musíte splnit následující požadavky:

  • Musíte být správcem účtu Azure Databricks.
  • U prostředku Azure, který chcete nakonfigurovat, musíte mít oprávnění přispěvatele nebo vlastníka.
  • Musíte mít oprávnění k vytváření hraničních prostředků zabezpečení sítě ve vašem předplatném Azure.
  • Aby se zabránilo poplatkům za přenos dat mezi oblastmi, musí být váš pracovní prostor Azure Databricks a prostředky Azure ve stejné Azure oblasti.

Krok 1: Vytvoření perimetru zabezpečení sítě a zapište si ID profilu

Chcete-li vytvořit obvod a poznamenat si jeho ID profilu, postupujte takto:

  1. Přihlaste se do Azure Portalu.

  2. Do vyhledávacího pole v horní části zadejte perimetry bezpečnosti sítě a vyberte je z výsledků.

  3. Klikněte na + Vytvořit.

  4. Na kartě Základy zadejte následující informace:

    • Předplatné: Vyberte své předplatné Azure.
    • Skupina prostředků: Vyberte existující skupinu prostředků nebo ji vytvořte.
    • Název: Zadejte název vašeho NSP (například databricks-nsp).
    • Oblast: Vyberte oblast vašeho NSP. Oblast musí odpovídat vaší oblasti pracovního prostoru Azure Databricks a oblasti vašeho účtu úložiště Azure.
    • Název profilu: Zadejte název profilu (například databricks-profile).
  5. Klikněte na Zkontrolovat a vytvořit, následně Vytvořit.

  6. Po vytvoření NSP přejděte na něj na portálu Azure.

  7. Na levém bočním panelu přejděte na Profily nastavení>.

  8. Vytvořte nebo vyberte svůj profil (například databricks-profile).

  9. Zkopírujte ID prostředku pro profil. Toto ID potřebujete k programovému přidružení prostředků.

    Tip

    Uložte ID profilu do zabezpečeného umístění. Pokud chcete prostředky přidružit pomocí Azure CLI nebo rozhraní API místo portálu Azure, musíte ho mít k dispozici.

Krok 2: Přidružení účtu úložiště k zprostředkovateli zabezpečení sítě v režimu přechodu

Každý účet úložiště Azure, ke kterému chcete přistupovat z bezserverových výpočetních prostředků Azure Databricks, musíte podle níže uvedených kroků přidružit ke svému profilu NSP.

  1. Na portálu Azure přejděte k perimetru zabezpečení sítě.
  2. Na levém bočním panelu přejděte v části Nastavení na Přidružené prostředky.
  3. Klikněte na + Přidat>přidružit prostředky k existujícímu profilu.
  4. Vyberte profil, který jste vytvořili v kroku 1 (například databricks-profile).
  5. Klikněte na Přidružit.
  6. V podokně výběru prostředků filtrujte podle Microsoft.Storage/storageAccounts, abyste přidružili účet Azure Data Lake Storage Gen2.
  7. Ze seznamu vyberte své účty úložiště.
  8. Klikněte na Přidružit v dolní části podokna.

Ověření režimu přechodu:

  1. V zprostředkovateli zabezpečení sítě přejděte na Nastavení>přidružených prostředků.
  2. V seznamu vyhledejte svůj účet úložiště.
  3. Ověřte, že se ve sloupci Režim přístupu zobrazuje přechod. Přechod je výchozí režim.

Poznámka:

Zůstaňte v režimu přechodu, abyste zachovali kompatibilitu se stávajícím nastavením sítě a využívali výhod zjednodušené správy pravidel. Viz Omezení hraniční sítě.

Režim přechodu vyhodnocuje nejprve pravidla NSP. Pokud se žádné pravidlo NSP neshoduje s příchozím požadavkem, systém se vrátí k existujícím pravidlům brány firewall daného prostředku.

Krok 3: Přidání pravidla příchozího přístupu pro bezserverové výpočetní prostředky Azure Databricks

V profilu NSP musíte vytvořit příchozí pravidlo přístupu, které povolí provoz z bezserverových výpočetních prostředků Azure Databricks do vašich prostředků Azure.

  1. Na portálu Azure přejděte k perimetru zabezpečení sítě.
  2. Na levém bočním panelu přejděte na Profily nastavení>.
  3. Vyberte svůj profil (například databricks-profile).
  4. V části Nastavení klikněte na Příchozí pravidla přístupu.
  5. Klikněte na + Přidat.
  6. Nakonfigurujte pravidlo:
    • Název pravidla: Zadejte popisný název (například allow-databricks-serverless).
    • Typ zdroje: Vyberte značku služby.
    • Povolené zdroje: Vyberte AzureDatabricksServerless.[ your_workspace_region] (například AzureDatabricksServerless.EastUS2). Použití regionální značky omezuje přístup k ip adresám Azure Databricks v oblasti vašeho pracovního prostoru, což snižuje vystavení v porovnání s globální značkou.
  7. Klikněte na tlačítko Přidat.

Tip

Azure Databricks doporučuje používat regionální značku služeb (AzureDatabricksServerless.[your_workspace_region]) pro zajištění přísnějšího zabezpečení. Zařazení globálního štítku AzureDatabricksServerless na seznam povolených umožňuje přístup ze všech oblastí služby Azure Databricks. Pokud pracovní prostory v mnoha oblastech potřebují přístup k vašemu úložišti, můžete použít více značek regionálních služeb.

Pokud používáte značky služeb vázané na region, mějte na paměti, že některé koncové body regionu se mohou nacházet v jiné oblasti Azure než primární koncový bod úložiště. Například pracovní prostor v Japonsku – východ má sekundární úložiště artefaktů v Japonsku – západ. V takovém případě musíte přidat také značku služby pro sekundární oblast. Pokud chcete zkontrolovat plně kvalifikované názvy domén pro oblast vašeho pracovního prostoru, prohlédněte si Metastore, Blob úložiště artefaktů, systémové tabulky úložiště, Blob úložiště protokolu a IP adresy koncových bodů služby Event Hubs.

Krok 4: Ověření konfigurace

Po nakonfigurování poskytovatele zabezpečení sítě ověřte, že Azure Databricks bezserverové výpočetní prostředky mají přístup k úložišti a monitorují aktivitu NSP.

Testování přístupu z bezserverového výpočetního prostředí

  1. Přejděte na portál Azure a vyhledejte prostředek Azure.

  2. Přejděte do části Zabezpečení + sítě>Sítě.

  3. Ověřte, že prostředek zobrazuje přidružení k ochrannému obvodu sítě.

  4. Ověřte, že stav zobrazuje režim přechodu.

  5. Zobrazte příchozí pravidla přidružená k vašemu profilu a ověřte, že pravidlo AzureDatabricksServerless je uvedeno, ať už místní, nebo globální.

  6. V pracovním prostoru Azure Databricks spusťte testovací dotaz, abyste potvrdili, že výpočetní prostředky bez serveru mají přístup k vašemu prostředku. Pokud například chcete otestovat přístup k účtu úložiště ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;
    

    Pokud je dotaz úspěšný, vaše konfigurace NSP funguje správně.

Monitorování aktivity NSP

Monitorování pokusů o připojení, které pravidla NSP povolují nebo zakazují:

  1. Přejděte na portál Azure a vyhledejte prostředek Azure.

  2. Přejděte na Monitorování>Nastavení diagnostiky.

  3. Klikněte na + Přidat nastavení diagnostiky.

  4. Vyberte kategorie protokolů, které chcete monitorovat. U Azure Storage účtů vyberte:

    • StorageRead
    • Zápis do úložiště
  5. Vyberte cíl:

    • Pracovní prostor služby Log Analytics (doporučeno pro dotazování a analýzu)
    • Účet úložiště (pro dlouhodobou archivaci)
    • Centrum událostí (pro streamování do externích systémů)
  6. Klikněte na Uložit.

    Tip

    Diagnostické protokoly zobrazují pokusy o připojení, které odpovídají pravidlům NSP versus pravidla brány firewall zdrojů. V přechodovém režimu protokoly označují, jestli každý požadavek povolilo pravidlo NSP nebo spadlo zpět na bránu firewall prostředků.

Pochopení režimů přístupu k NSP

NSP podporuje dva režimy přístupu: režim přechodu a vynucený režim. Azure Databricks pro většinu případů použití doporučuje, aby zůstal v přechodném režimu po neomezenou dobu.

Režim přechodu (doporučeno):

  • Nejprve vyhodnotí pravidla NSP a pokud neodpovídá žádné pravidlo NSP, použijí se pravidla brány firewall prostředku.
  • Umožňuje používat NSP společně s existujícími konfiguracemi sítě.
  • Kompatibilní s koncovými body služby, klasickými konfiguracemi výpočetních prostředků a vzory provozu veřejné sítě.

Režim vynucení (nedoporučuje se pro většinu zákazníků):

  • Obchází pravidla brány firewall prostředků a blokuje veškerý provoz, který neodpovídá pravidlu NSP. Režim vynucení má vliv nejen na Azure Databricks, ale také na všechny další služby, které jste povolili přes bránu firewall prostředků – tyto služby musí být připojeny k NSP, aby mohly pokračovat v práci.
  • Pokud používáte koncové body služby pro připojení k úložišti z libovolného pracovního prostoru Azure Databricks, zůstaňte v režimu přechodu.

Warning

Zůstaňte v režimu přechodu, abyste zachovali kompatibilitu se stávajícím nastavením sítě a využívali výhod zjednodušené správy pravidel. Viz Omezení hraniční sítě.

Konfigurace přístupu k jiným prostředkům pomocí odchozích IP adres

Důležité

Od poloviny února 2026 Azure Databricks publikuje odchozí IP adresy ve formátu JSON ve veřejném koncovém bodu, což je podporovaná metoda pro načtení těchto IP adres.

Pokud používáte stabilní IP adresy z verze Public Preview nebo je zkopírujete z konfigurace připojení k síti (NCC) v konzole účtu, musíte do nové metody migrovat před 25. květnem 2026. Po 25. květnu 2026 se starší seznamy IP adres vyřadí z provozu a neúplné migrace můžou vést k přerušení úloh.

U prostředků jiných než účtů Azure Storage ve stejné oblasti jako váš pracovní prostor používají bezserverové výpočty k přístupu k vašim prostředkům veřejné IP adresy.

Pokud chcete serverless umožnit přístup k prostředkům chráněným bránou firewall, musíte do seznamu povolených přidat bloky CIDR, které publikuje Azure Databricks. Další informace o publikovaných odchozích IP adresách najdete v tématu Odchozí IP adresy pro bezserverovou výpočetní bránu firewall ve verzi Preview.

Zjištění odchozích IP adres pro vaše prostředí

  1. Stáhnout ip-ranges.json.
  2. Vyfiltrujte JSON na položky, které platí pro váš pracovní prostor. Zachovat pouze položky, kde:
    • service je Databricks
    • type je outbound
    • region odpovídá vaší oblasti pracovního prostoru
    • platform zápasy azure
  3. Přidejte ipv4Prefixes (bloky CIDR) z odpovídajících položek na seznam povolených ve firewallu prostředku.

Automatizace aktualizací pro zachování aktuálního seznamu povolených

Aktualizace seznamu povolených musíte automatizovat. Azure Databricks tyto IP adresy v průběhu času změní, takže statická jednorázová kopie nakonec přeruší bezserverové připojení. Aktualizace se publikují tak často jako jednou za 30 dní, nové IP adresy se aktivují hned po 60 dnech od publikování a nové oblasti se pravidelně přidávají. Chcete-li zachovat aktuální seznam povolených:

  1. Načítejte ip-ranges.json podle plánu (například každých 30 dnů).
  2. Porovnejte jeho timestampSeconds pole s uloženou kopií a detekujte změny.
  3. Pokud došlo ke změně, zkontrolujte, zda se změnily IP adresy vašich platform a region.
  4. Aktualizujte seznam povolených adres ve firewallu o všechny nové IP adresy.
  5. Uložte soubor pro další porovnání.

Considerations

Než nakonfigurujete bránu firewall pro bezserverové výpočetní prostředky, projděte si následující aspekty:

  • Konfigurace brány firewall má vliv také na připojení z klasických výpočetních prostředků. Musíte také aktualizovat pravidla přístupu k prostředkům tak, aby umožňovala IP adresy pro připojení z klasických výpočetních prostředků.
  • Před testováním připojení z bezserverového výpočetního prostředí počkejte na rozšíření pravidla brány firewall.

Další kroky

  • Konfigurace privátního připojení k prostředkům ve vašem VPC: Použijte PrivateLink k vytvoření zabezpečeného a izolovaného přístupu k prostředkům ve vašem VPC od bezserverového výpočetního prostředí. Viz Konfigurace privátního připojení k prostředkům ve vaší virtuální síti.
  • Správa pravidel privátního koncového bodu: Zobrazení, aktualizace a odebrání pravidel privátního koncového bodu pro konfiguraci připojení k síti Viz Správa pravidel privátních koncových bodů.