Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje, jak nakonfigurovat privátní připojení z bezserverového výpočetního prostředí pomocí uživatelského rozhraní konzoly účtu Azure Databricks. Můžete také použít rozhraní API pro konfiguraci síťového připojení.
Pokud nakonfigurujete prostředek Azure tak, aby přijímal pouze připojení z privátních koncových bodů, musí jakékoli připojení k prostředku z klasických výpočetních prostředků Databricks používat také privátní koncové body.
Pokud chcete nakonfigurovat bránu firewall služby Azure Storage pro přístup ke službě serverless compute pomocí podsítí, viz Konfigurovat obvod zabezpečení sítě Azure (NSP) pro prostředky Azure. Pokud chcete spravovat existující pravidla privátního koncového bodu, přečtěte si téma Správa pravidel privátního koncového bodu.
Poznámka:
Azure Databricks účtuje poplatky za síťové náklady, když se bezserverové úlohy připojují k prostředkům zákazníka a když služby s vysokými nároky na výkon přenášejí odchozí data mezi oblastmi zpět ke klientům. Informace o nákladech na síť Databricks najdete v tématu Vysvětlení nákladů na síť Databricks.
Přehled privátního připojení pro bezserverové výpočetní prostředky
Bezserverové síťové připojení se spravuje pomocí konfigurací připojení k síti (NCCS). Správci účtů vytvářejí NCC v konzole účtu a jedna NCC může být připojena k jednomu nebo více pracovním prostorům.
Když do služby NCC přidáte privátní koncový bod, Azure Databricks vytvoří požadavek privátního koncového bodu na váš prostředek Azure. Jakmile vlastník prostředku žádost schválí, Azure Databricks použije tento privátní koncový bod pro přístup k prostředkům z bezserverové výpočetní roviny. Privátní koncový bod je vyhrazený pro váš účet Azure Databricks a přístupný jenom z autorizovaných pracovních prostorů.
Privátní koncové body NCC jsou podporovány pro datové sklady SQL, úlohy, notebooky, kanály Lakeflow a koncové body pro obsluhu modelů.
Poznámka:
Privátní koncové body NCC jsou podporované pro zdroje dat, které spravujete, a pro úložiště účtu pracovního prostoru. Podrobnosti o konfiguraci privátních koncových bodů pro účet úložiště pracovního prostoru najdete v tématu Povolení podpory brány firewall pro váš účet úložiště pracovního prostoru.
Privátní koncové body NCC jsou podporovány také pro zdroje dat SAP BDC. Podrobnosti najdete v tématu Vytvoření a správa konektoru SAP Business Data Cloud (BDC).
Obsluha modelu používá k stahování artefaktů modelu cestu k úložišti objektů blob Azure, takže vytvořte privátní koncový bod pro objekt blob ID dílčího prostředku. K protokolování modelů v katalogu Unity z bezserverových notebooků budete potřebovat DFS.
Další informace o síťových adaptérech najdete v tématu Co je konfigurace síťového připojení (NCC)?.
Azurový
Požadavky
- Váš účet a pracovní prostor musí být v plánu Premium.
- Musíte být správcem účtu Azure Databricks.
- Každý účet Azure Databricks může mít až 10 NCC na oblast.
- Každá oblast může mít 100 privátních koncových bodů distribuovaných podle potřeby napříč 1 až 10 síťovými adaptéry.
- Každá NCC je možné připojit až k 50 pracovním prostorům.
Krok 1: Vytvoření konfigurace připojení k síti
Databricks doporučuje sdílení NCC mezi pracovními prostory ve stejné obchodní jednotce a oblasti. Pokud například některé pracovní prostory používají Private Link a jiné pracovní prostory používají firewall enablement, použijte pro tyto účely samostatné NCC.
- Jako správce účtu přejděte do konzoly účtu.
- Na bočním panelu klikněte na Zabezpečení.
- Klikněte na Konfigurace připojení k síti.
- Klikněte na Přidat konfiguraci sítě.
- Zadejte název pro NCC.
- Zvolte oblast. To musí odpovídat vaší oblasti pracovního prostoru.
- Klikněte na tlačítko Přidat.
Krok 2: Připojení NCC k pracovnímu prostoru
- Na bočním panelu konzoly účtu klikněte na Pracovní prostory.
- Klikněte na název pracovního prostoru.
- Klikněte na Aktualizovat pracovní prostor.
- V poli Konfigurace síťového připojení vyberte NCC. Pokud není vidět, ověřte, že jste pro pracovní prostor i NCC vybrali stejnou oblast Azure.
- Klikněte na Aktualizovat.
- Počkejte 10 minut, než se změna projeví.
- Restartujte všechny spuštěné bezserverové služby v pracovním prostoru.
Krok 3: Vytvoření pravidel privátního koncového bodu
Pro každý prostředek Azure musíte ve své službě NCC vytvořit pravidlo privátního koncového bodu.
- Získejte seznam identifikátorů prostředků Azure pro všechna vašich cílová umístění.
- Na jiné kartě prohlížeče použijte portál Azure a přejděte ke službám Azure svého zdroje dat.
- Na stránce Přehled se podívejte do sekce Základy.
- Klikněte na odkaz Zobrazení JSON. ID zdroje služby se zobrazí v horní části stránky.
- Zkopírujte toto ID zdroje do jiného umístění. Opakujte pro všechny cílové destinace. Další informace o vyhledání ID prostředku najdete v tématu Azure Private Endpoint private DNS zone values.
- Vraťte se zpět na kartu prohlížeče konzole vašeho účtu.
- Na bočním panelu klikněte na Zabezpečení.
- Klikněte na Konfigurace připojení k síti.
- Vyberte NCC, kterou jste vytvořili v kroku 1.
- V pravidlech privátního koncového bodu klikněte na přidat pravidlo privátního koncového bodu.
- Do pole Destination Azure ID prostředku vložte ID pro váš prostředek.
- Do pole Azure ID subresursu zadejte cílové ID a typ subresursu. Každé pravidlo privátního koncového bodu musí používat jiné ID podresursu. Seznam podporovaných typů podsourců najdete v tématu Podporované prostředky.
- Klikněte na tlačítko Přidat.
- Počkejte několik minut, dokud nebudou mít všechna pravidla koncového bodu stav
PENDING.
Krok 4: Schvalte nové privátní koncové body vašich zdrojů
Koncové body se neprojeví, dokud je správce neschválí na straně prostředku. Schválení pomocí portálu Azure:
Na portálu Azure přejděte k vašemu prostředku.
Na bočním panelu klikněte na Položku Sítě.
Klikněte na připojení privátního koncového bodu.
Klikněte na kartu Soukromý přístup .
V části připojení privátních koncových bodůzkontrolujte seznam privátních koncových bodů.
Klikněte na zaškrtávací políčko vedle každého, který chcete schválit, a klikněte na tlačítko Schválit nad seznamem.
Vraťte se do své služby NCC v Azure Databricks a aktualizujte stránku prohlížeče, dokud nebudou mít všechna pravidla koncového bodu stav
ESTABLISHED.
(Volitelné) Krok 5: Nastavení prostředků tak, aby nepovolily přístup k veřejné síti
Pokud jste prostředky ještě neomezili tak, aby povolovaly jenom sítě uvedené v seznamu, můžete to udělat teď.
- Přejděte na portál Azure.
- Přejděte ke svému úložnému účtu, abyste získali přístup ke zdroji dat.
- Na bočním panelu klikněte na Položku Sítě.
- V poli Přístup k veřejné síti zkontrolujte hodnotu. Ve výchozím nastavení je tato hodnota povolená ze všech sítí. Změňte tuto možnost na Zakázáno.
Konfigurace Private Link pro Aplikace Azure Gateway v2
Pokud konfigurujete Private Link pro prostředek Aplikace Azure Gateway v2, musíte místo uživatelského rozhraní konzoly účtu použít rozhraní REST API konfigurace připojení k síti. Aplikace Azure Gateway v2 vyžaduje další parametry: ID prostředku, ID skupiny a názvy domén.
- Pomocí následujícího volání rozhraní API vytvořte pravidlo privátního koncového bodu s konfigurací názvu domény:
curl --location 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \ --header 'Content-Type: application/json' \ --header 'Authorization: Bearer <TOKEN>' \ --data '{ "domain_names": [ "<YOUR_DOMAIN_HERE>" ], "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>", "group_id": "<GROUP_ID>" }' - Pokud potřebujete upravit názvy domén pro existující pravidlo privátního koncového bodu, použijte následující požadavek PATCH:
curl --location --request PATCH 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \ --header 'Content-Type: application/json' \ --header 'Authorization: Bearer <TOKEN>' \ --data '{ "domain_names": [ "<YOUR_DOMAIN_HERE>" ] }' - Pokud chcete zobrazit, zobrazit nebo odstranit pravidla privátního koncového bodu služby App Gateway, použijte standardní operace rozhraní API konfigurace připojení k síti popsané v rozhraní API konfigurace síťového připojení.
Krok 7: Restartování prostředků bezserverové roviny výpočetních prostředků a otestování připojení
- Počkejte pět minut, než se změny rozšíří.
- Restartujte všechny spuštěné prostředky bezserverového výpočetního prostředí v pracovních prostorech, ke kterým je připojená vaše služba NCC. Pokud nemáte spuštěné prostředky bezserverové výpočetní platformy, začněte ji hned.
- Ujistěte se, že se všechny prostředky úspěšně spustily.
- Spusťte alespoň jeden dotaz na zdroj dat, abyste potvrdili, že bezserverový SQL Warehouse se může spojit s vaším zdrojem dat.
Další kroky
- Správa pravidel privátního koncového bodu: Aktualizace, kontrola a odebrání pravidel privátního koncového bodu Viz Správa pravidel privátních koncových bodů.
- Konfigurovat bránu firewall pro bezserverový výpočetní přístup: Nastavte pravidla brány firewall sítě pro řízení přístupu ke službám Azure pomocí podsítí místo privátních koncových bodů. Viz Konfigurace obvodu zabezpečení sítě (NSP) Azure pro prostředky Azure.
- Konfigurace zásad sítě: Implementujte další ovládací prvky zabezpečení sítě a zásady pro řízení bezserverového výpočetního připojení. Viz Co je řízení výchozího přenosu dat bez serveru?.
- Seznamte se se zabezpečením bezserverové sítě: Přečtěte si o možnostech zabezpečení sítě pro bezserverové výpočetní prostředky. Viz Bezserverové výpočetní platformové sítě.
Azure China
požadavky na Azure Čínu
- Váš účet a pracovní prostor musí být v plánu Premium.
- Musíte být správcem účtu Azure Databricks.
- Každý účet Azure Databricks může mít až 10 NCC na oblast.
- Každý účet může mít až 20 privátních koncových bodů v Azure Číně.
- Každá NCC je možné připojit až k 50 pracovním prostorům.
Poznámka:
V Azure Číně jsou nccs podporovány pouze v oblasti Čína – sever 3. Vzhledem k tomu, že NCC je možné připojit pouze k pracovnímu prostoru ve stejné oblasti, musí být váš pracovní prostor také v Číně – sever 3.
Step 1: Vytvoření konfigurace připojení k síti (Azure Čína)
Databricks doporučuje sdílení NCC mezi pracovními prostory ve stejné obchodní jednotce a oblasti. Pokud například některé pracovní prostory používají Private Link a jiné pracovní prostory používají různé konfigurace připojení, použijte pro tyto případy použití samostatné síťové adaptéry.
Poznámka:
Povolení brány firewall (přístup na základě podsítě) není v Azure v Číně dostupné. Privátní koncové body jsou jedinou podporovanou metodou připojení pro bezserverové výpočetní prostředky v Azure Číně.
- Jako správce účtu přejděte do konzoly účtu.
- Na bočním panelu klikněte na Zabezpečení.
- Klikněte na Konfigurace připojení k síti.
- Klikněte na Přidat konfiguraci sítě.
- Zadejte název pro NCC.
- Jako oblast zvolte Čína – sever 3 . To musí odpovídat vaší oblasti pracovního prostoru.
- Klikněte na tlačítko Přidat.
Krok 2: Připojte NCC k pracovnímu prostoru (Azure China)
- Na bočním panelu konzoly účtu klikněte na Pracovní prostory.
- Klikněte na název pracovního prostoru.
- Klikněte na Aktualizovat pracovní prostor.
- V poli Konfigurace síťového připojení vyberte NCC. Pokud není viditelný, ověřte, že jste jako oblast Azure pro pracovní prostor i NCC vybrali Čína – Sever 3.
- Klikněte na Aktualizovat.
- Počkejte 10 minut, než se změna projeví.
- Restartujte všechny spuštěné bezserverové služby v pracovním prostoru.
Step 3: Vytvoření pravidel privátního koncového bodu (Azure Čína)
Pro každý prostředek Azure musíte ve své službě NCC vytvořit pravidlo privátního koncového bodu. Seznam prostředků podporovaných v Azure Číně najdete v tématu Supported resources.
- Získejte seznam identifikátorů prostředků Azure pro všechna vašich cílová umístění.
- Na jiné kartě prohlížeče použijte portál Azure a přejděte ke službám Azure svého zdroje dat.
- Na stránce Přehled se podívejte do sekce Základy.
- Klikněte na odkaz Zobrazení JSON. ID zdroje služby se zobrazí v horní části stránky.
- Zkopírujte toto ID zdroje do jiného umístění. Opakujte pro všechny cílové destinace. Další informace o vyhledání ID prostředku najdete v tématu Azure Private Endpoint private DNS zone values.
- Vraťte se zpět na kartu prohlížeče konzole vašeho účtu.
- Na bočním panelu klikněte na Zabezpečení.
- Klikněte na Konfigurace připojení k síti.
- Vyberte NCC, kterou jste vytvořili v kroku 1.
- V pravidlech privátního koncového bodu klikněte na přidat pravidlo privátního koncového bodu.
- Do pole Destination Azure ID prostředku vložte ID pro váš prostředek.
- Do pole Azure ID subresursu zadejte cílové ID a typ subresursu. Každé pravidlo privátního koncového bodu musí používat jiné ID podresursu.
- Klikněte na tlačítko Přidat.
- Počkejte několik minut, dokud nebudou mít všechna pravidla koncového bodu stav
PENDING.
Step 4: Schválení nových soukromých koncových bodů na vašich prostředcích (Azure China)
Koncové body se neprojeví, dokud je správce neschválí na straně prostředku. Schválení pomocí portálu Azure:
Na portálu Azure přejděte k vašemu prostředku.
Na bočním panelu klikněte na Položku Sítě.
Klikněte na připojení privátního koncového bodu.
Klikněte na kartu Soukromý přístup .
V části připojení privátních koncových bodůzkontrolujte seznam privátních koncových bodů.
Klikněte na zaškrtávací políčko vedle každého, který chcete schválit, a klikněte na tlačítko Schválit nad seznamem.
Vraťte se do své služby NCC v Azure Databricks a aktualizujte stránku prohlížeče, dokud nebudou mít všechna pravidla koncového bodu stav
ESTABLISHED.
(volitelné) Krok 5: Nastavte prostředky tak, aby nepovolily přístup k veřejné síti (Azure Čína).
Pokud jste prostředky ještě neomezili tak, aby povolovaly jenom sítě uvedené v seznamu, můžete to udělat teď.
- Přejděte na portál Azure.
- Přejděte ke svému úložnému účtu, abyste získali přístup ke zdroji dat.
- Na bočním panelu klikněte na Položku Sítě.
- V poli Přístup k veřejné síti zkontrolujte hodnotu. Ve výchozím nastavení je tato hodnota povolená ze všech sítí. Změňte tuto možnost na Zakázáno.
Konfigurace Privátního Odkazu pro Aplikace Azure Gateway v2 (Azure Čína)
Pokud konfigurujete Private Link pro prostředek Aplikace Azure Gateway v2, musíte místo uživatelského rozhraní konzoly účtu použít rozhraní REST API konfigurace připojení k síti. Aplikace Azure Gateway v2 vyžaduje další parametry: ID prostředku, ID skupiny a názvy domén.
- Pomocí následujícího volání rozhraní API vytvořte pravidlo privátního koncového bodu s konfigurací názvu domény:
curl --location 'https://accounts.databricks.azure.cn/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \ --header 'Content-Type: application/json' \ --header 'Authorization: Bearer <TOKEN>' \ --data '{ "domain_names": [ "<YOUR_DOMAIN_HERE>" ], "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>", "group_id": "<GROUP_ID>" }' - Pokud potřebujete upravit názvy domén pro existující pravidlo privátního koncového bodu, použijte následující požadavek PATCH:
curl --location --request PATCH 'https://accounts.databricks.azure.cn/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \ --header 'Content-Type: application/json' \ --header 'Authorization: Bearer <TOKEN>' \ --data '{ "domain_names": [ "<YOUR_DOMAIN_HERE>" ] }' - Pokud chcete zobrazit, zobrazit nebo odstranit pravidla privátního koncového bodu služby App Gateway, použijte standardní operace rozhraní API konfigurace připojení k síti popsané v rozhraní API konfigurace síťového připojení.
Step 7: Restartujte bezserverové prostředky výpočetní roviny a otestujte připojení (Azure Čína)
- Počkejte pět minut, než se změny rozšíří.
- Restartujte všechny spuštěné prostředky bezserverového výpočetního prostředí v pracovních prostorech, ke kterým je připojená vaše služba NCC. Pokud nemáte spuštěné prostředky bezserverové výpočetní platformy, začněte ji hned.
- Ujistěte se, že se všechny prostředky úspěšně spustily.
- Spusťte alespoň jeden dotaz na zdroj dat, abyste potvrdili, že bezserverový SQL Warehouse se může spojit s vaším zdrojem dat.
Další kroky (Azure Čína)
- Správa pravidel privátního koncového bodu: Aktualizace, kontrola a odebrání pravidel privátního koncového bodu Viz Správa pravidel privátních koncových bodů.
- Seznamte se se zabezpečením bezserverové sítě: Přečtěte si o možnostech zabezpečení sítě pro bezserverové výpočetní prostředky. Viz Bezserverové výpočetní platformové sítě.