Konfigurace sítí pro Databricks Apps

Databricks Apps podporuje jemně odstupňované řízení sítě, které vám pomůže zabezpečit a spravovat, jak vaše aplikace komunikuje s internetem a interními prostředky. Pravidla příchozího a odchozího provozu můžete nakonfigurovat pomocí kombinace seznamů přístupu IP, privátního připojení front-endu a zásad sítě.

Síťová architektura

Azure Databricks nasadí aplikace do bezserverové výpočetní roviny, kde přímo přijímají provoz. To se podobá jiným službám optimalizovaným pro směrování tras, jako je poskytování modelů a vektorové vyhledávání.

Proces připojení funguje takto:

1. Počáteční požadavky uživatelů na aplikaci Azure Databricks iniciují ověřování OAuth s řídicí rovinou, aby ověřili relaci a autorizovali přístup k aplikaci.
2. Po úspěšném ověření se všechny následné požadavky směrují přímo do bezserverové výpočetní roviny bez procházení řídicí roviny.

Zásady zabezpečení sítě nakonfigurované pro bezserverovou výpočetní rovinu se vztahují na provoz Databricks Apps. To zahrnuje seznamy IP přístupů a privátní konfigurace připojení front-endu.

Ovládací prvky pro řízení příchozího provozu

Pomocí následujících funkcí omezte přístup k pracovnímu prostoru a aplikacím Azure Databricks z veřejného internetu.

• Přístupové seznamy IP adres: Omezte přístup k pracovnímu prostoru a aplikacím na známé a důvěryhodné rozsahy IP adres povolením přístupových seznamů IP adres na úrovni pracovního prostoru. Je povolený pouze provoz z nakonfigurovaných rozsahů IP adres. Podrobnosti najdete v tématu Konfigurace přístupových seznamů IP adres pro pracovní prostory.

• Privátní připojení front-endu: Směrujte příchozí provoz přes připojení Azure Private Link, abyste mohli bezpečně přistupovat k aplikacím přes vaši virtuální síť.

  Abyste zajistili správné vyřešení názvů prostřednictvím vašeho privátního připojení, musíte pro doménu nakonfigurovat podmíněné předávání DNS. Jinak se dotazy DNS pro doménu vaší aplikace můžou místo privátního koncového bodu překládat na veřejné IP adresy. Pokyny k nastavení najdete v tématu Konfigurace služby Private Link front-end.

Ovládání odchozího provozu

Pokud chcete řídit odchozí provoz z vaší aplikace, vytvořte konfiguraci síťového připojení (NCC) a použijte zásady sítě pro pracovní prostor, který je hostitelem aplikace.

Konfigurace připojení k síti

Pomocí konfigurace síťového připojení můžete bezpečně připojit aplikaci ke službám Azure. Centra síťové konfigurace poskytují stabilní ID podsítí, které můžete přidat do brány firewall účtu úložiště, abyste explicitně povolili přístup z vaší aplikace a dalších bezserverových výpočetních prostředků.

Pokud chcete dále omezit odchozí provoz do privátních cílů, nakonfigurujte bezserverové privátní koncové body pro prostředky Azure nebo směrujte provoz přes nástroj pro vyrovnávání zatížení Azure ve vaší virtuální síti.

Zásady sítě

Pomocí zásad sítě vynucujte omezení výchozího přenosu dat pro aplikace Databricks a další bezserverové úlohy. To je užitečné, když potřebujete splnit požadavky organizace nebo dodržování předpisů pro řízení odchozího připojení.

Poznámka:

Zásady sítě jsou dostupné jenom na úrovni Premium.

Použijte zásadu sítě, pokud vaše aplikace:

• Musí omezit přístup ke konkrétní sadě schválených externích domén.
• Potřebuje zabránit náhodnému exfiltraci dat.
• Musí splňovat standardy zabezpečení nebo dodržování předpisů, které omezují odchozí internetový provoz.

Osvědčené postupy pro konfiguraci zásad sítě

Pokud se chcete vyhnout nechtěným přerušením a zajistit, aby vaše aplikace měly přístup k požadovaným prostředkům, postupujte podle těchto pokynů:

• Povolit pouze požadované cíle. Přidejte plně kvalifikované názvy domén (FQDN) pro veřejné nebo privátní prostředky, které vaše aplikace potřebuje.
• Podle potřeby zahrňte úložiště balíčků. Pokud vaše aplikace instaluje veřejné balíčky Pythonu nebo Node.js, možná budete chtít povolit domény, jako je pypi.org pro Python nebo registry.npmjs.org pro Node. Vaše aplikace může vyžadovat další nebo jiné domény v závislosti na konkrétních závislostech. Bez těchto úložišť mohou selhat sestavení aplikací, které se spoléhají na requirements.txt nebo package.json.
• K ověření zásad sítě použijte režim suchého spuštění. Tento režim simuluje vynucení zásad bez blokování provozu.
• Zkontrolujte odepřené pokusy o připojení pomocí system.access.outbound_network tabulky. To vám pomůže identifikovat domény, které možná budete muset povolit. Viz Kontrola protokolů odepření.

• Přidejte všechny požadované externí domény, jako jsou důvěryhodná rozhraní API nebo účty úložiště Azure, které nejsou zaregistrované v katalogu Unity.

Šifrování a směrování provozu

Databricks Apps využívá vyhrazené cesty směrování a více šifrovacích vrstev k zabezpečení síťové komunikace a ochraně dat.

Směrování provozu

Provoz mezi řídicí rovinou Azure Databricks, výpočetní rovinou, dalšími prostředky Azure Databricks a cloudovými službami prochází přes globální síť poskytovatele cloudu a neprochází veřejným internetem.

Provoz mezi uživateli a databricksapps.com může procházet veřejným internetem v závislosti na síťovém umístění uživatele. Abyste se vyhnuli veřejnému internetovému směrování, nakonfigurujte privátní připojení front-endu.

Šifrování během přenosu

Veškerá síťová komunikace s aplikacemi a z aplikací se šifruje:

• Uživatelský provoz: Komunikace mezi uživateli a databricksapps.com používá šifrování TLS (Transport Layer Security) 1.3.
• Řízení komunikace v rovině: Komunikace mezi řídicí rovinou Azure Databricks a výpočetní rovinou používá vzájemné TLS (mTLS) pro správu operací, včetně tvorby aplikací, jejich aktualizací a odstraňování.

Šifrování neaktivních uložených dat

Databricks Apps šifruje uložená data pomocí následujících metod:

• Kód aplikace: Azure Databricks ukládá kód aplikace do souborů pracovního prostoru a používá stejné šifrování jako poznámkové bloky a další soubory pracovního prostoru.
• Výpočetní úložiště: Aplikace používají dočasné hostitelské disky operačního systému šifrované pomocí AES-256 a výchozí implementace šifrování poskytovatele cloudu.