Konfigurace privátního připojení k prostředkům ve vaší virtuální síti

Poznámka:

Azure Databricks účtuje poplatky za síťové náklady, když se bezserverové úlohy připojují k prostředkům zákazníků. Informace o nákladech na síť bez serveru Databricks najdete v tématu Vysvětlení nákladů na síť bez serveru Databricks.

Tato stránka vysvětluje, jak pomocí konzoly účtu Azure Databricks nakonfigurovat připojení Private Link z bezserverového výpočetního prostředí k prostředkům ve vaší virtuální síti prostřednictvím nástroje pro vyrovnávání zatížení Azure.

Konfigurace privátního připojení pro bezserverové výpočetní prostředky poskytuje:

• Vyhrazené a privátní připojení: Váš privátní koncový bod je výhradně svázaný s vaším účtem Azure Databricks a zajišťuje, že přístup k prostředkům virtuální sítě je omezený jenom na autorizované pracovní prostory. Tím se vytvoří zabezpečený vyhrazený komunikační kanál.
• Vylepšené zmírnění exfiltrace dat: I když Azure Databricks Bezserverová služba Unity Catalog nabízí integrovanou ochranu před exfiltrací dat, služba Private Link poskytuje další vrstvu ochrany sítě. Umístěním prostředků virtuální sítě do privátní podsítě a řízením přístupu prostřednictvím vyhrazených privátních koncových bodů výrazně snížíte riziko neoprávněného přesunu dat mimo řízené síťové prostředí.

Požadavky

• Váš účet a pracovní prostor musí být v plánu Enterprise.
• Jste správcem účtu Azure Databricks.
• Máte alespoň jeden aktivní bezserverový pracovní prostor nasazený v oblasti s povoleným privátním připojením. Informace o podporovaných oblastech najdete v tématu Dostupnost bez serveru.
• Váš nástroj pro vyrovnávání zatížení má virtuální síť a podsíť a váš prostředek se nachází v této podsíti.
• Každý účet Azure Databricks může mít až 10 NCC na jednu oblast.
• Každá oblast může mít 100 privátních koncových bodů distribuovaných podle potřeby napříč 1 až 10 síťovými adaptéry.
• Každá NCC je možné připojit až k 50 pracovním prostorům.
• Každé pravidlo privátního koncového bodu pro privátní připojení k prostředkům ve vaší virtuální síti podporuje až 10 názvů domén.
• Pátrání DNS a také přesměrování DNS nejsou podporovány. Všechny názvy domén se musí směrovat přímo na backendové zdroje.

Krok 1: Vytvoření nástroje pro vyrovnávání zatížení Azure

Vytvořte Azure Load Balancer, který slouží jako front-end pro prostředky virtuální sítě. Tento nástroj pro vyrovnávání zatížení je propojený se službou Private Link.

Pokud chcete vytvořit nástroj pro vyrovnávání zatížení, postupujte podle pokynů v rychlém startu: Vytvoření interního nástroje pro vyrovnávání zatížení virtuálních počítačů pomocí webu Azure Portal. Dokončete následující:

1. Vytvořte prostředek pro vyrovnávání zatížení.
2. Přidejte konfiguraci front-endové IP adresy: Toto je vstupní bod pro vaši službu Private Link.
3. Přidejte backendový fond: Tento fond obsahuje IP adresy vašich prostředků VNet.
4. Vytvoření sondy stavu: Nakonfigurujte sondu stavu pro monitorování dostupnosti vašich back-endových prostředků.
5. Přidat pravidla vyrovnávání zatížení: Definujte pravidla pro distribuci příchozího provozu do back-endového fondu.

Krok 2: Vytvoření služby Private Link

Abyste mohli nástroj pro vyrovnávání zatížení bezpečně vystavit privátnímu koncovému bodu, musíte vytvořit službu Private Link. Ověřte, že je služba Private Link vytvořená ve stejné oblasti jako váš nástroj pro vyrovnávání zatížení.

Pokyny najdete v dokumentaci k Azure: Vytvoření služby Private Link pomocí webu Azure Portal.

Krok 3: Vytvoření nebo použití existujícího objektu síťového připojení (NCC)

Objekt NCC v Azure Databricks definuje nastavení privátního připojení pro vaše pracovní prostory. Pokud už NCC existuje, tento krok přeskočte. Vytvoření objektu NCC:

1. Jako správce účtu přejděte do konzoly účtu.
2. Na bočním panelu klikněte na Zabezpečení.
3. Klikněte na Konfigurace připojení k síti.
4. Klikněte na Přidat konfiguraci sítě.
5. Zadejte název pro NCC.
6. Zvolte oblast. To musí odpovídat vaší oblasti pracovního prostoru.
7. Klikněte na tlačítko Přidat.

Krok 4: Vytvoření privátního koncového bodu

Tento krok propojí vaši službu Private Link s vaší službou Azure Databricks NCC. Vytvoření privátního koncového bodu:

1. V konzole účtu klikněte na Zabezpečení.
2. Klikněte na Konfigurace připojení k síti.
3. Vyberte objekt NCC, který jste vytvořili v kroku 3.
4. Na kartě Pravidla privátního koncového bodu klikněte na Přidat pravidlo privátního koncového bodu.
5. Do pole ID prostředku Azure vložte celé ID prostředku vaší služby Private Link. Toto ID najdete na webu Azure Portal na stránce Přehled vaší služby Private Link. Příklad ID: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
6. Do pole Domain names (Názvy domén ) přidejte vlastní názvy domén, které vaše prostředky virtuální sítě používají. Tyto názvy domén se musí mapovat na konfigurace IP adres v back-endovém fondu vašeho nástroje pro vyrovnávání zatížení.
7. Klikněte na tlačítko Přidat.
8. Ověřte, že sloupec Stav pro nově přidané pravidlo privátního koncového bodu je PENDING.

Poznámka:

Domény přidané jako položky služby Private Link jsou implicitně povolené v zásadách sítě.

Krok 5: Přijetí privátního koncového bodu ve vašem prostředku

Po vytvoření pravidla privátního koncového bodu v Databricks musíte schválit žádost o připojení na webu Azure Portal. Schválení připojení:

1. Na webu Azure Portal přejděte do centra Private Link .
2. Vyberte služby Private Link.
3. Vyhledejte a vyberte službu Private Link přidruženou k vašemu nástroji pro vyrovnávání zatížení.
4. Na levém bočním panelu v části Nastavení vyberte připojení privátního koncového bodu.
5. Vyberte nevyřízený privátní koncový bod.
6. Kliknutím na Schválit přijměte připojení.
7. Když se zobrazí výzva, vyberte Ano.
8. Po schválení se stav připojení změní na Schváleno.

Úplné navázání připojení může trvat deset minut.

Krok 6: Potvrzení stavu privátního koncového bodu

Ověřte, že se připojení privátního koncového bodu úspěšně naváže ze strany Azure Databricks. Potvrzení připojení:

1. Aktualizujte stránku konfigurace připojení k síti v konzole účtu Azure Databricks.
2. Na kartě Pravidla privátního koncového bodu ověřte, že sloupec Stav nového privátního koncového bodu je ESTABLISHED.

Krok 7: Připojení NCC k jednomu nebo více pracovním prostorům

Tento krok přidruží nakonfigurované privátní připojení k pracovním prostorům Azure Databricks. Tento krok přeskočte, pokud je váš pracovní prostor již připojený k požadované NCC. Připojení NCC k pracovnímu prostoru:

1. V levém navigačním panelu přejděte do pracovních prostorů .
2. Vyberte existující pracovní prostor.
3. Vyberte Aktualizovat pracovní prostor.
4. V části Konfigurace připojení k síti vyberte rozevírací seznam a zvolte NCC, kterou jste vytvořili.
5. Opakujte pro všechny pracovní prostory, na které chcete použít tuto NCC.

Poznámka:

NCCs jsou regionální objekty, které je možné připojit pouze k pracovním prostorům v tomtéž regionu.

Další kroky

• Konfigurace privátního připojení k prostředkům Azure: Použijte službu Private Link k vytvoření zabezpečeného a izolovaného přístupu ke službám Azure z vaší virtuální sítě a obejití veřejného internetu. Viz Konfigurace privátního připojení k prostředkům Azure.
• Správa pravidel privátních koncových bodů: Řízení síťového provozu do a z privátních koncových bodů Azure definováním konkrétních pravidel, která povolují nebo zakazují připojení. Viz Správa pravidel privátních koncových bodů.
• Nakonfigurujte bránu firewall pro bezserverový výpočetní přístup: Implementujte bránu firewall pro omezení a zabezpečení příchozích a odchozích síťových připojení pro výpočetní prostředí bez serveru. Viz Konfigurace brány firewall pro bezserverový výpočetní přístup.
• Vysvětlení nákladů na přenos dat a připojení: Přenos dat a připojení se týkají přesunu dat do bezserverových prostředí Azure Databricks a z prostředí bez serveru. Poplatky za sítě za bezserverové produkty se vztahují jenom na zákazníky, kteří používají bezserverové výpočetní prostředky Azure Databricks. Informace o nákladech na síť bez serveru Databricks najdete v tématu Vysvětlení nákladů na síť bez serveru Databricks.