Share via

Konfigurace brány firewall pro bezserverový výpočetní přístup

  • Článek

Poznámka:

Pokud jste nakonfigurovali brány firewall úložiště pomocí ID podsítí z dokumentace k Azure Databricks před 31. říjnem 2023, služba Databricks doporučuje aktualizovat pracovní prostory podle kroků v tomto článku nebo pomocí privátního koncového bodu. Pokud se rozhodnete neaktualizovat existující pracovní prostory, budou dál fungovat beze změn.

Tento článek popisuje, jak nakonfigurovat bránu firewall úložiště Azure pro bezserverové výpočetní prostředky pomocí uživatelského rozhraní konzoly účtu Azure Databricks. Můžete také použít rozhraní API konfigurace Připojení ivity sítě.

Pokud chcete nakonfigurovat privátní koncový bod pro bezserverový výpočetní přístup, přečtěte si téma Konfigurace privátního připojení z bezserverového výpočetního prostředí.

Poznámka:

Za funkce bez serveru se v současné době neúčtují žádné poplatky za sítě. V pozdější verzi se vám můžou účtovat poplatky. Azure Databricks poskytne předběžné oznámení o změnách cen sítí.

Přehled povolení brány firewall pro bezserverové výpočetní prostředky

Bezserverové síťové připojení se spravuje pomocí konfigurací připojení k síti (NCCS). Správci účtů vytvářejí síťové adaptéry v konzole účtu a NCC je možné připojit k jednomu nebo více pracovním prostorům.

NCC obsahuje seznam síťových identit pro typ prostředku Azure jako výchozí pravidla. Když je k pracovnímu prostoru připojená služba NCC, výpočetní prostředky bez serveru v tomto pracovním prostoru používají k připojení prostředku Azure jednu z těchto sítí. Tyto sítě můžete povolit v bráně firewall prostředků Azure.

Povolení brány firewall NCC je podporováno pouze z bezserverových skladů SQL pro zdroje dat, které spravujete. Nepodporuje se z jiných výpočetních prostředků v bezserverové výpočetní rovině.

Volitelně můžete nakonfigurovat síťový přístup k účtu úložiště pracovního prostoru jenom z autorizovaných sítí, včetně bezserverových skladů SQL. Viz Povolení podpory brány firewall pro váš účet úložiště pracovního prostoru. Při připojení NCC k pracovnímu prostoru se pravidla sítě automaticky přidají do účtu úložiště Azure pro účet úložiště pracovního prostoru.

Další informace o síťových adaptérech najdete v tématu Co je konfigurace síťového připojení (NCC)?.

Náklady na přístup k úložišti mezi oblastmi

Pro provoz mezi oblastmi z bezserverových skladů SQL Warehouse v Azure Databricks (například pracovní prostor je v oblasti USA – východ a úložiště ADLS je v oblasti Západní Evropa), Azure Databricks směruje provoz přes službu Azure NAT Gateway.

Důležité

Za použití této funkce se v současné době neúčtují žádné poplatky. V pozdější verzi se vám můžou účtovat poplatky za využití. Aby se těmto poplatkům zabránilo, databricks doporučuje vytvořit pracovní prostor ve stejné oblasti jako úložiště.

Požadavky

  • Váš pracovní prostor musí být v plánu Premium.

  • Musíte být správcem účtu Azure Databricks.

  • Každá NCC je možné připojit až k 50 pracovním prostorům.

  • Každý účet Azure Databricks může mít až 10 síťových adaptérů na oblast.

    • Musíte mít WRITE přístup k síťovým pravidlům účtu úložiště Azure.

Krok 1: Vytvoření konfigurace připojení k síti a kopírování ID podsítě

Databricks doporučuje sdílení síťových adaptérů mezi pracovními prostory ve stejné obchodní jednotce a mezi pracovními prostory, které sdílejí stejnou oblast a vlastnosti připojení. Pokud například některé pracovní prostory používají bránu firewall úložiště a jiné pracovní prostory používají alternativní přístup služby Private Link, použijte pro tyto případy použití samostatné síťové adaptéry.

  1. Jako správce účtu přejděte do konzoly účtu.
  2. Na bočním panelu klikněte na Cloudové prostředky.
  3. Klikněte na Konfigurace síťového Připojení ivity.
  4. Klepněte na tlačítko Přidat konfigurace síťového Připojení ivity.
  5. Zadejte název pro NCC.
  6. Zvolte oblast. To musí odpovídat vaší oblasti pracovního prostoru.
  7. Klikněte na tlačítko Přidat.
  8. V seznamu síťových adaptérů klikněte na novou službu NCC.
  9. V části Výchozí pravidla pod síťovými identitami klikněte na Zobrazit vše.
  10. V dialogovém okně klikněte na tlačítko Kopírovat podsítě a uložte seznam podsítí.
  11. Klepněte na tlačítko Zavřít.

Krok 3: Připojení NCC k pracovním prostorům

NCC můžete připojit až k 50 pracovním prostorům ve stejné oblasti jako NCC.

Pokud chcete rozhraní API použít k připojení NCC k pracovnímu prostoru, podívejte se na rozhraní API pracovních prostorů účtů.

  1. Na bočním panelu konzoly účtu klikněte na Pracovní prostory.
  2. Klikněte na název pracovního prostoru.
  3. Klikněte na Aktualizovat pracovní prostor.
  4. V poli Konfigurace síťové Připojení ivity vyberte svou položku NCC. Pokud není vidět, ověřte, že jste pro pracovní prostor i NCC vybrali stejnou oblast.
  5. Klikněte na tlačítko Aktualizovat.
  6. Počkejte 10 minut, než se změna projeví.
  7. Restartujte všechny spuštěné bezserverové sklady SQL v pracovním prostoru.

Pokud tuto funkci používáte pro připojení k účtu úložiště pracovního prostoru, konfigurace je dokončená. Pravidla sítě se automaticky přidají do účtu úložiště pracovního prostoru. V případě dalších účtů úložiště pokračujte dalším krokem.

Krok 3: Uzamčení účtu úložiště

Pokud jste ještě neměli omezený přístup k účtu úložiště Azure, abyste povolili jenom sítě uvedené v seznamu, udělejte to teď. Tento krok pro účet úložiště pracovního prostoru nemusíte provádět.

Vytvoření brány firewall úložiště má vliv také na připojení z klasické výpočetní roviny k vašim prostředkům. Musíte také přidat pravidla sítě pro připojení k účtům úložiště z klasických výpočetních prostředků.

  1. Přejděte na Azure Portal.
  2. Přejděte ke svému účtu úložiště pro zdroj dat.
  3. V levém navigačním panelu klikněte na Sítě.
  4. V poli Přístup k veřejné síti zkontrolujte hodnotu. Ve výchozím nastavení je tato hodnota povolená ze všech sítí. Změňte tuto možnost na Povoleno z vybraných virtuálních sítí a IP adres.

Krok 4: Přidání pravidel sítě účtu úložiště Azure

Tento krok pro účet úložiště pracovního prostoru nemusíte provádět.

  1. Přidejte jedno pravidlo sítě účtu úložiště Azure pro každou podsíť. Můžete to udělat pomocí Azure CLI, PowerShellu, Terraformu nebo jiných nástrojů pro automatizaci. Tento krok nelze provést v uživatelském rozhraní webu Azure Portal.

    V následujícím příkladu se používá Azure CLI:

    az storage account network-rule add --subscription "<sub>" \
    --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
    • Nahraďte <sub> názvem předplatného Azure pro účet úložiště.
    • Nahraďte <res> skupinu prostředků vašeho účtu úložiště.
    • Nahraďte <account> názvem účtu úložiště.
    • Nahraďte <subnet> ID prostředku ARM (resourceId) bezserverové podsítě SQL Warehouse.

    Po spuštění všech příkazů můžete pomocí webu Azure Portal zobrazit účet úložiště a ověřit, že v tabulce virtuálních sítí existuje položka, která představuje novou podsíť. Na webu Azure Portal však nemůžete provádět změny pravidel sítě.

    Tip

    Ignorujte zmínku "Nedostatečná oprávnění" ve sloupci stavu koncového bodu nebo upozornění pod seznamem sítí. Značí jenom to, že nemáte oprávnění ke čtení podsítí Azure Databricks, ale nemáte narušovat schopnost této bezserverové podsítě Azure Databricks kontaktovat vaše úložiště Azure.

    Příklad nových položek v seznamu virtuálních sítí

  2. Tento příkaz opakujte jednou pro každou podsíť. Volitelně můžete automatizovat proces vytváření pravidel sítě. Viz Automatizace vytváření pravidel sítě.

  3. Pokud chcete ověřit, že váš účet úložiště používá tato nastavení na webu Azure Portal, přejděte do části Sítě ve vašem účtu úložiště.

    Ověřte, že je přístup k veřejné síti nastavený na Povoleno z vybraných virtuálních sítí a IP adres a povolených sítí v části Virtuální sítě .

Automatizace vytváření pravidel sítě

Vytváření pravidel sítě pro účet úložiště můžete automatizovat pomocí Azure CLI nebo PowerShellu.

Tento příklad Azure CLI používá dvě podsítě v seznamu, které můžete použít se smyčkou ke spuštění příkazu pro každou podsíť. V tomto příkladu mystorage-rg je skupina prostředků a myaccount je to účet úložiště.

#!/bin/bash
SUBNETS=(/subscriptions/8453a5d5-9e9e-40c7-87a4-0ab4cc197f48/resourceGroups/prod-azure-eastusc3-nephos2/providers/Microsoft.Network/virtualNetworks/kaas-vnet/subnets/worker-subnet /subscriptions/8453a5d5-9e9e-40c7-87a4-0ab4cc197f48/resourceGroups/prod-azure-eastusc3-nephos3/providers/Microsoft.Network/virtualNetworks/kaas-vnet/subnets/worker-subnet)
for SUBNET in ${SUBNETS[@]}
do
  az storage account network-rule add --subscription 9999999-1ff3-43f4-b91e-d0ceb97111111 --resource-group mystorage-rg --account-name myaccount --subnet ${SUBNET}
done

Pokud chcete použít PowerShell, použijte následující příkaz:

Add-AzStorageAccountNetworkRule -ResourceGroupName <resource group name> -Name <storage account name> -VirtualNetworkResourceId <subnets>

Nahrazení:

  • <resource group name> se skupinou prostředků vašeho účtu úložiště.
  • <storage account name> nahraďte názvem vašeho účtu úložiště.
  • <subnets> se seznamem ID prostředků podsítě oddělených čárkami.