Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Auf dieser Seite werden Tools zum Sichern des Netzwerkzugriffs zwischen den Computeressourcen in der serverlosen Computeebene von Azure Databricks und Kundenressourcen vorgestellt. Weitere Informationen zur Steuerungsebene und serverlosen Computeebene finden Sie unter Azure Databricks-Architekturübersicht.
Weitere Informationen zum klassischen Compute und serverlosen Compute finden Sie unter Compute.
Hinweis
Azure Databricks-Gebühren für Netzwerkkosten, wenn serverlose Workloads eine Verbindung mit Kundenressourcen herstellen. Siehe Grundlegendes zu Serverlosen Netzwerkkosten für Databricks.
Übersicht über Netzwerke auf der serverlosen Computeebene
Serverlose Computeressourcen werden in der serverlosen Computeebene ausgeführt, die von Azure Databricks verwaltet wird. Kontoadministratoren können die sichere Konnektivität zwischen der serverlosen Computeebene und ihren Ressourcen konfigurieren. Diese Netzwerkverbindung ist im folgenden Diagramm mit der Zahl „2“ gekennzeichnet:
Die Verbindung zwischen der Steuerungsebene und der serverlosen Computeebene erfolgt immer über das Cloud-Backbone-Netzwerk und nicht über das öffentliche Internet. Weitere Informationen zum Konfigurieren von Sicherheitsfeatures für die anderen Netzwerkverbindungen im Diagramm finden Sie unter Netzwerk.
Was ist serverlose Egress-Kontrolle?
Mit der Serverlosen Ausgangssteuerung können Sie ausgehende Netzwerkverbindungen von Ihren serverlosen Computeressourcen verwalten.
Mithilfe von Netzwerkrichtlinien können Sie folgende Aktionen ausführen:
- Erhöhen Sie die Sicherheit: Minimieren Sie Datenexfiltrationsrisiken, indem Sie ausgehende Verbindungen einschränken.
- Definieren Sie präzise Regeln: Steuern ausgehender Verbindungen durch Angabe zulässiger Speicherorte, Verbindungen, FQDNs und Azure-Speicherkonten.
- Vereinfachen Sie die Verwaltung: Konfigurieren und verwalten Sie Ausgangsrichtlinien in Ihrer serverlosen Umgebung.
Weitere Informationen finden Sie unter Was ist die serverlose Ausgangssteuerung?
Was ist eine Netzwerkkonnektivitätskonfiguration (Network Connectivity Configuration, NCC)?
Serverlose Netzwerkkonnektivität wird mit Netzwerkkonnektivitätskonfigurationen (Network Connectivity Configuration, NCC) verwaltet. NCCs sind regionale Konstrukte auf Kontoebene, die verwendet werden, um die Erstellung privater Endpunkte und die Firewallaktivierung im großen Stil zu verwalten.
Kontoadministrator*innen erstellen NCC-Objekte in der Kontokonsole, und ein NCC-Objekt kann an einen oder mehrere Arbeitsbereiche angefügt werden. Ein NCC aktiviert Firewalls und private Endpunkte:
- Aktivierung der Ressourcenfirewall durch Subnetze: Eine NCC aktiviert stabile von Databricks verwaltete Azure-Dienstsubnetze, um Ihren Ressourcenfirewalls Dienstendpunkte für den sicheren Zugriff auf Azure-Ressourcen aus serverlosen SQL-Warehouses hinzuzufügen. Wenn eine NCC an einen Arbeitsbereich angefügt ist, verwendet das serverlose Computing in diesem Arbeitsbereich eines dieser Netzwerke, um die Azure-Ressource mithilfe von Dienstendpunkten zu verbinden. Sie können zulassen, dass diese Netzwerke in Ihrer Azure-Ressourcenfirewall aufgelistet werden. Die Netzwerkregeln werden dem Speicherkonto des Arbeitsbereichs automatisch hinzugefügt. Weitere Informationen finden Sie unter Konfigurieren einer Firewall für serverlosen Computezugriff.
- Private Endpunkte:Wenn Sie einen privaten Endpunkt in einer NCC hinzufügen, erstellt Azure Databricks eine Anforderung für einen privaten Endpunkt für Ihre Azure-Ressource. Sobald die Anforderung auf der Ressourcenseite akzeptiert wird, wird der private Endpunkt für den Zugriff auf Ihre Azure-Ressource aus der serverlosen Computeebene verwendet. Siehe Konfigurieren der privaten Konnektivität mit Azure-Ressourcen.
Hinweis
Databricks verwendet Dienstendpunkte, private IPs und öffentliche IPs, um basierend auf ihrem Standort und Typ eine Verbindung mit Ressourcen herzustellen. Diese Konnektivitätsmethoden sind allgemein verfügbar, sofern nicht ausdrücklich anders angegeben.