Povolení podpory brány firewall pro účet úložiště pracovního prostoru

Každý pracovní prostor Azure Databricks má přidružený účet úložiště Azure ve spravované skupině prostředků označované jako účet úložiště workspace. Tento účet obsahuje data systému pracovního prostoru (výstup úlohy, nastavení systému a protokoly), kořen Databricks File System a v některých případech katalog pracovního prostoru Unity Catalog. Přístup k účtu úložiště pracovního prostoru můžete omezit jenom na autorizované prostředky a sítě pomocí Azure CLI nebo PowerShellu.

Jaká je podpora firewallu pro váš úložiště pracovního prostoru?

Ve výchozím nastavení váš účet úložiště pracovního prostoru přijímá ověřená připojení ze všech sítí. Když povolíte podporu brány firewall, Azure Databricks blokuje přístup k veřejné síti a omezuje přístup pouze k autorizovaným prostředkům. Můžete to nakonfigurovat, pokud má vaše organizace Azure zásady, které vyžadují, aby účty úložiště byly soukromé.

Pokud je povolená podpora brány firewall, musí služby mimo Azure Databricks, které potřebují přístup k účtu úložiště pracovního prostoru, používat privátní koncové body s Private Link. Azure Databricks bezserverové výpočetní prostředí musí pro přístup k úložišti pracovního prostoru používat koncové body služby nebo soukromé koncové body.

Azure Databricks vytvoří přístupový konektor s identitou spravovanou Azure pro přístup k účtu úložiště pracovního prostoru.

Požadavky

  • Váš pracovní prostor musí povolit injektáž virtuální sítě pro připojení z klasické výpočetní roviny.

  • Váš pracovní prostor musí povolit zabezpečené připojení ke clusteru (bez veřejné IP adresy nebo NPIP) pro připojení z klasické výpočetní roviny.

  • Váš pracovní prostor musí být v plánu Premium.

  • Pro privátní koncové body účtu úložiště musíte mít samostatnou podsíť. Toto je kromě dvou hlavních podsítí pro základní funkcionalitu Azure Databricks.

    Podsíť musí být ve stejné virtuální síti jako pracovní prostor nebo v samostatné virtuální síti, ke které má pracovní prostor přístup. Použijte minimální velikost /28 v zápisu CIDR.

  • Pokud používáte Cloud Fetch s Microsoft Fabric Power BI service, musíte pro privátní přístup k účtu úložiště pracovního prostoru vždy použít bránu virtuální sítě nebo místní bránu. Viz krok 2 (doporučeno): Konfigurace privátních koncových bodů pro klientské virtuální sítě cloudového načítání

  • Pro metody nasazení Azure CLI nebo PowerShellu musíte vytvořit přístupový konektor Azure Databricks a uložit jeho ID prostředku, než povolíte výchozí bránu firewall úložiště pracovního prostoru. To vyžaduje použití spravované identity přiřazené systémem nebo přiřazené uživatelem. Viz Access Connector for Databricks. Nemůžete použít přístupový konektor Azure Databricks ve spravované skupině prostředků.

Pojení služeb mimo Azure Databricks k účtu úložiště

Krok 1: Vytvoření privátních koncových bodů pro účet úložiště

Vytvořte dva privátní koncové body pro úložiště vašeho pracovního prostoru z virtuální sítě (VNet), kterou jste použili pro injekci VNet, pro sub-objekt a hodnoty: dfs a blob.

Poznámka:

Pokud obdržíte chybu přiřazení odepření ve spravované skupině prostředků, váš pracovní prostor může předcházet současnému modelu oprávnění spravované skupiny prostředků. Než budete pokračovat, obraťte se na tým účtu Azure Databricks, aby aktualizoval konfiguraci spravované skupiny prostředků.

Pokud se zobrazí upozornění na spouštění výpočetních prostředků, před provedením kroků 1 až 4 zastavte všechny výpočetní prostředky ve vašem pracovním prostoru.

  1. Přejděte do svého pracovního prostoru.

  2. V části Základy klikněte na název Spravované skupiny prostředků.

  3. V části Prostředkysi poznamenejte název účtu úložiště pro pracovní prostor. Název obvykle začíná dbstorage.

  4. Do vyhledávacího pole v horní části portálu zadejte a vyberte privátní koncový bod.

  5. Klikněte na + Vytvořit.

  6. V poli název Skupina prostředků nastavte svou skupinu prostředků.

    Důležité

    Skupina prostředků nesmí být stejná jako spravovaná skupina prostředků, ve které je váš účet úložiště pracovního prostoru.

  7. Do pole Název zadejte jedinečný název tohoto privátního koncového bodu:

    • Pro první privátní koncový bod, který vytvoříte pro každou zdrojovou síť, vytvořte koncový bod DFS. Azure Databricks doporučujeme přidat příponu -dfs-pe.
    • Pro druhý privátní koncový bod, který vytvoříte pro každou zdrojovou síť, vytvořte Blob koncový bod. Azure Databricks doporučujeme přidat příponu -blob-pe.

    Pole Název síťového rozhraní se automaticky naplní.

  8. Nastavte pole Oblast na oblast vašeho pracovního prostoru.

  9. Klikněte na Další: Prostředek.

  10. V metodě Connection vyberte Připojení k prostředku Azure v adresáři.

  11. V Předplatnévyberte předplatné, ve kterém je váš pracovní prostor.

  12. V Zdrojový typ vyberte Microsoft.Storage/storageAccounts.

  13. V prostředku vyberte účet úložiště pro pracovní prostor.

  14. V dílčím prostředkuvyberte typ cílového prostředku.

    • Pro první privátní koncový bod, který vytvoříte pro každou zdrojovou síť, nastavte na dfs.
    • Pro druhý privátní koncový bod, který vytvoříte pro každou zdrojovou síť, nastavte to na blob .

  15. Klikněte na Dalši: Virtual Network.

  16. V poli Virtuální síť vyberte virtuální síť.

  17. V poli podsítě nastavte podsíť na samostatnou podsíť, kterou máte pro privátní koncové body pro účet úložiště.

    Toto pole může automaticky naplnit podsítí pro vaše privátní koncové body, ale možná ho budete muset explicitně nastavit. Nepoužívejte dvě podsítě pracovního prostoru pro základní funkce pracovního prostoru Azure Databricks, které se obvykle nazývají private-subnet a public-subnet.

  18. V případě potřeby změňte konfiguraci privátní IPadresy a výchozí nastavení skupiny zabezpečení aplikace .

  19. Klikněte na Další: DNS. Na záložce DNS se automaticky vyplní příslušné předplatné a skupina prostředků, které jste předtím vybrali. V případě potřeby je změňte.

    Poznámka:

    Pokud k virtuální síti pracovního prostoru není připojena žádná privátní DNS zóna pro typ cílového podprostředku (dfs nebo blob), Azure vytvoří novou privátní DNS zónu. Pokud privátní zóna DNS pro tento typ dílčího prostředku již ve virtuální síti pracovního prostoru existuje, Azure ji automaticky vybere. Virtuální síť může mít pouze jednu privátní zónu DNS pro každý typ podresursu.

  20. Klikněte na Další: Značky a podle potřeby přidejte značky.

  21. Klikněte na Další: Zkontrolovat a vytvořit a zkontrolujte pole.

  22. Klikněte na Vytvořit.

Krok 2 (doporučeno): Konfigurace privátních koncových bodů pro klientské VNety služby Cloud Fetch

Cloudové načítání je mechanismus v rozhraní ODBC a JDBC, který načítá data paralelně prostřednictvím cloudového úložiště, aby data do nástrojů BI poskytovala rychleji. Pokud načítáte výsledky dotazů větší než 100 MB z nástrojů BI, pravděpodobně používáte Cloud Fetch.

Poznámka:

Pokud používáte Microsoft Fabric Power BI service s Azure Databricks a povolíte podporu brány firewall v účtu úložiště pracovního prostoru, musíte nakonfigurovat bránu dat virtuální sítě nebo místní bránu dat tak, aby umožňovala privátní přístup k účtu úložiště. Tím se zajistí, že služba Fabric Power BI bude mít nadále přístup k úložišti pracovního prostoru a že Cloud Fetch bude nadále správně fungovat.

Tento požadavek se nevztahuje na Power BI Desktop.

Pokud používáte Cloud Fetch, vytvořte soukromé koncové body pro účet úložiště pracovního prostoru z virtuálních sítí klientů Cloud Fetch.

Pro každou zdrojovou síť pro klienty Cloud Fetch vytvořte dva soukromé koncové body, které používají dvě různé hodnoty dílčích prostředků cíle : dfs a blob. Podrobný postup najdete v kroku 1: Vytvoření privátních koncových bodů do účtu úložiště . V těchto krocích nezapomeňte pro pole virtuální sítě při vytváření privátního koncového bodu zadat zdrojovou virtuální síť pro každého klienta pro načtení cloudu.

Krok 3: Potvrzení schválení koncových bodů

Po vytvoření všech soukromých koncových bodů pro účet úložiště ověřte jejich schválení. Můžou je automaticky schválit nebo je budete muset schválit v účtu úložiště.

  1. Přejděte do svého pracovního prostoru na portálu Azure.
  2. V části Základy klikněte na název Spravované skupiny prostředků.
  3. V části Prostředky klikněte na prostředek typu Účet úložiště, který má název začínající dbstorage.
  4. Na bočním panelu klikněte na Položku Sítě.
  5. Klikněte na připojení privátního koncového bodu.
  6. Zkontrolujte stav připojení a ověřte, že říkají Schváleno, nebo je vyberte a klikněte na Schválit.

Připojení z bezserverového výpočetního prostředí

Poznámka:

Azure Databricks začleňuje všechny stávající účty úložiště pracovního prostoru, které mají povolené brány firewall, do perimetru zabezpečení sítě, který umožňuje značku služby AzureDatabricksServerless. Dokončení tohoto onboardingu se očekává do konce roku 2026.

Když povolíte podporu brány firewall, Azure Databricks automaticky zařadí účet úložiště pracovního prostoru do síťového bezpečnostního perimetru, který umožňuje značku služby AzureDatabricksServerless. To umožňuje Azure Databricks připojení bezserverového výpočetního prostředí prostřednictvím koncových bodů služby. Pokud se chcete připojit prostřednictvím privátních koncových bodů, přidejte do svého NCC pravidlo pro privátní koncový bod pro účet úložiště pracovního prostoru. Viz Konfigurování privátního připojení k prostředkům Azure.

Pokud chcete spravovat vlastní perimetr zabezpečení sítě, můžete odpojit perimetr zabezpečení sítě zřízený Azure Databricks a připojit svůj vlastní. Přepnutí způsobí krátkou přestávku ve službě. Připravte náhradní bezpečnostní perimetr sítě předem a naplánujte údržbové okno.

Povolte podporu brány firewall úložiště pomocí Azure CLI

  • Pokud chcete povolit podporu brány firewall pomocí přístupového konektoru s identitou přiřazenou systémem, spusťte v Cloud Shell:

    az databricks workspace update \
   --resource-group "<resource-group-name>" \
   --name "<workspace-name>" \
   --subscription "<subscription-id>" \
   --default-storage-firewall "Enabled" \
   --access-connector "{\"id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>\", \"identity-type\":\"SystemAssigned\"}"

  • Pokud chcete povolit podporu brány firewall pomocí přístupového konektoru s identitou přiřazenou uživatelem, spusťte v Cloud Shell:

    az databricks workspace update \
--resource-group "<resource-group-name>" \
--name "<workspace-name>" \
--subscription "<subscription-id>" \
--default-storage-firewall "Enabled" \
--access-connector "{\"id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>\", \"identity-type\":\"UserAssigned\", \"user-assigned-identity-id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>\"}"

  • Pokud chcete zakázat podporu brány firewall pomocí přístupového konektoru, spusťte v Cloud Shell:

    az databricks workspace update \
   --name "<workspace-name>" \
   --subscription "<subscription-id>" \
   --resource-group "<resource-group-name>" \
   --default-storage-firewall "Disabled"

Povolit podporu firewallu pro úložiště pomocí PowerShellu

  • Pokud chcete povolit podporu brány firewall pomocí přístupového konektoru s identitou přiřazenou systémem, spusťte v Cloud Shell:

    Update-AzDatabricksWorkspace `
   -Name "<workspace-name>" `
   -ResourceGroupName "<resource-group-name>" `
   -SubscriptionId "<subscription-ID>" `
   -Sku "Premium" `
   -AccessConnectorId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>" `
   -AccessConnectorIdentityType "SystemAssigned" `
   -DefaultStorageFirewall "Enabled"

  • Pokud chcete povolit podporu brány firewall pomocí přístupového konektoru s identitou přiřazenou uživatelem, spusťte v Cloud Shell:

    Update-AzDatabricksWorkspace `
   -Name "<workspace-name>" `
   -ResourceGroupName "<resource-group-name>" `
   -SubscriptionId "<subscription-ID>" `
   -Sku "Premium" `
   -AccessConnectorId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>" `
   -AccessConnectorIdentityType "UserAssigned" `
   -AccessConnectorUserAssignedIdentityId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>" `
   -DefaultStorageFirewall "Enabled"

  • Pokud chcete zakázat podporu brány firewall pomocí přístupového konektoru, spusťte v Cloud Shell:

    Update-AzDatabricksWorkspace `
   -Name "<workspace-name>" `
   -ResourceGroupName "<resource-group-name>" `
   -SubscriptionId "<subscription-ID>" `
   -DefaultStorageFirewall "Disabled"
  • Last updated on