Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek představuje konfigurace sítí pro nasazení a správu účtů a pracovních prostorů Azure Databricks.
Poznámka:
Azure Databricks účtuje poplatky za síťové náklady, když se bezserverové úlohy připojují k prostředkům zákazníků. Informace o nákladech na síť bez serveru Databricks najdete v tématu Vysvětlení nákladů na síť bez serveru Databricks.
Přehled architektury Azure Databricks
Azure Databricks pracuje mimo řídicí rovinu a výpočetní rovinu.
- Řídicí rovina zahrnuje back-endové služby, které Azure Databricks spravuje ve vašem účtu Azure Databricks. Webová aplikace je v řídicí rovině.
- Výpočetní rovina je místo, kde se zpracovávají vaše data. Existují dva typy výpočetních rovin v závislosti na výpočetních prostředcích, které používáte.
- U klasických výpočetních prostředků Azure Databricks jsou výpočetní prostředky ve vašem předplatném Azure v tom, co se nazývá klasická výpočetní rovina. To se týká sítě ve vašem předplatném Azure a jejích prostředcích. Prostředky klasické výpočetní plochy jsou v oblasti, ve které je váš pracovní prostor.
- Pro bezserverovou výpočetní rovinu ve vašem účtu Azure Databricks běží bezserverové výpočetní zdroje. Prostředky bezserverové výpočetní roviny se nacházejí ve stejné cloudové oblasti jako klasická výpočetní rovina vašeho pracovního prostoru. Tuto oblast vyberete při vytváření pracovního prostoru.
Další informace o klasických výpočetních a bezserverových výpočetních prostředcích najdete v tématu Výpočty. Další informace o architektuře najdete v tématu Architektura vysoké úrovně.
Zabezpečení síťového připojení
Azure Databricks ve výchozím nastavení poskytuje zabezpečené síťové prostředí, ale pokud má vaše organizace další potřeby, můžete nakonfigurovat funkce síťového připojení mezi různými síťovými připojeními zobrazenými v následujícím diagramu.
- Uživatelé a aplikace do Azure Databricks: Můžete nakonfigurovat funkce pro řízení přístupu a poskytování privátního připojení mezi uživateli a jejich pracovními prostory Azure Databricks. Viz Síťové možnosti Azure Databricks pro uživatele.
- Řídicí rovina a klasická výpočetní rovina: Klasické výpočetní prostředky, jako jsou clustery, se nasazují ve vašem předplatném Azure a připojují se k řídicí rovině. Pomocí klasických funkcí síťového připojení můžete nasadit prostředky klasické výpočetní roviny ve vlastních virtuálních sítích a povolit privátní připojení z clusterů do řídicí roviny. Viz klasickou výpočetní síť.
- Bezserverová výpočetní rovina a úložiště: Můžete nakonfigurovat privátní a vyhrazená připojení z bezserverového výpočetního prostředí k úložišti. Viz Bezserverové výpočetní platformové sítě.
Síťové funkce Azure Storage, jako jsou privátní koncové body, můžete nakonfigurovat tak, aby zabezpečily připojení mezi klasickou výpočetní rovinou a prostředky Azure. Vizte Udělení přístupu k pracovnímu prostoru Azure Databricks pro Azure Data Lake Storage a doporučení pro sítě ve Federaci Lakehouse.
Můžete také povolit podporu brány firewall pro účet úložiště pracovních prostorů, abyste omezili přístup k účtu z autorizovaných sítí a připojení. Viz Povolení podpory brány firewall pro váš účet úložiště pracovního prostoru.
Připojení mezi řídicí rovinou a bezserverovou výpočetní rovinou je vždy přes páteřní síť Azure, nikoli veřejný internet.
Začínáme
Seznamte se s architekturou sítí Databricks a prozkoumejte klíčové koncepty.
| Téma | Description |
|---|---|
| Přehled architektury Databricks | Seznamte se s architekturou řídicí roviny a výpočetní roviny, která tvoří základ sítě Databricks. |
| Azure Private Link | Vytvořte privátní připojení mezi vaší sítí a Databricks pomocí služby Azure Private Link pro lepší zabezpečení. |
| Vysvětlení nákladů na přenos dat a připojení | Přečtěte si o cenách přenosu dat a optimalizaci nákladů na funkce připojení k síti. |
Connectivity
Nakonfigurujte zabezpečená síťová připojení pro příchozí přístup k pracovním prostorům a odchozí připojení z výpočetních prostředků.
| Téma | Description |
|---|---|
| Front-endové sítě | Nakonfigurujte řízení přístupu k síti pro uživatele připojující se k pracovním prostorům Databricks prostřednictvím webového rozhraní a rozhraní API. |
| Front-end Private Link | Povolte privátní připojení z podnikové sítě k pracovním prostorům Databricks pomocí služby Azure Private Link. |
| Síťování výpočetní roviny bez serveru | Nakonfigurujte zabezpečený síťový přístup mezi bezserverovými výpočetními prostředky a zdroji dat a službami. |
| Privátní připojení k prostředkům Azure | Navázání privátních připojení z bezserverových výpočetních prostředků ke službě Azure Storage, SQL Database a dalším službám Azure |
| Privátní připojení k prostředkům ve vaší virtuální síti | Připojte bezserverové výpočetní prostředky k prostředkům běžícím ve vlastní virtuální síti pomocí privátních koncových bodů. |
| Správa pravidel privátního koncového bodu | Nakonfigurujte a spravujte pravidla privátního koncového bodu pro připojení bezserverového výpočetního prostředí. |
| Sítě klasické výpočetní roviny | Seznamte se s možnostmi sítí pro klasické výpočetní prostředky nasazené ve vaší virtuální síti. |
| Nasazení Azure Databricks ve virtuální síti | Hostování clusterů Databricks ve vlastní virtuální síti Azure pro lepší řízení sítě (injektáž virtuální sítě) |
| Partnerské virtuální sítě | Připojte virtuální síť Databricks k jiným virtuálním sítím ve vašem předplatném Azure a získejte přístup k dalším prostředkům. |
| Připojení pracovního prostoru k místní síti | Rozšiřte podnikovou síť na Databricks pomocí sítě VPN nebo Azure ExpressRoute. |
| Back-end Private Link | Vytvořte privátní připojení mezi klasickými výpočetními prostředky a řídicí rovinou Databricks. |
| Nastavení trasy definované uživatelem | Nakonfigurujte trasy definované uživatelem pro řízení toku provozu z clusterů Databricks. |
| Aktualizace konfigurace sítě pracovního prostoru | Upravte konfigurace sítí pro existující pracovní prostory. |
| Zabezpečené připojení ke clusteru | Povolte odchozí připojení z clusterů do řídicí roviny bez otevřených příchozích portů. |
Zabezpečení sítě
Implementujte bezpečnostní prvky pro omezení a monitorování síťového přístupu.
| Téma | Description |
|---|---|
| Co je řízení výchozího přenosu dat bez serveru? | Omezte odchozí síťová připojení z bezserverových výpočetních prostředků, abyste zabránili exfiltraci dat a vynucování dodržování předpisů. |
| Správa zásad sítě pro řízení výchozího přenosu dat bez serveru | Vytvořte a spravujte zásady sítě, které definují povolená odchozí připojení z bezserverového výpočetního prostředí. |
| Přehled přístupových seznamů IP adres | Naučte se používat přístupové seznamy IP adres k řízení, které IP adresy mají přístup k pracovním prostorům Databricks. |
| Přístupové seznamy IP adres pro pracovní prostory | Nakonfigurujte řízení přístupu IP na úrovni pracovního prostoru tak, aby omezovalo přístup ze schválených sítí. |
| Seznamy přístupu IP pro konzolu účtu | Nastavte omezení IP na úrovni účtu, která platí pro více pracovních prostorů pro centralizovanou správu zabezpečení. |
| Konfigurace zásad koncového bodu služby pro přístup k úložišti | Koncové body služby Azure slouží k zabezpečení připojení mezi účty Databricks a Azure Storage. |
| Povolení podpory brány firewall pro účet úložiště pracovního prostoru | Nakonfigurujte pravidla brány firewall služby Azure Storage tak, aby umožňovala přístup z klasických výpočetních prostředků Databricks. |
| Konfigurace brány firewall služby Azure Storage pro bezserverový výpočetní přístup | Ke konfiguraci pravidel brány firewall služby Azure Storage pro připojení bezserverového výpočetního prostředí použijte stabilní značky služeb. |
| Pravidla brány firewall pro názvy domén | Nakonfigurujte pravidla firewallu podle domén tak, aby umožnila službám Databricks překonávat zabezpečení vaší sítě. |
| Šablona ARM pro podporu brány firewall | Šablony Azure Resource Manageru slouží k automatizaci konfigurace brány firewall pro účty úložiště pracovního prostoru. |