Freigeben über

Konfigurieren der privaten Konnektivität von serverlosem Compute

  • Artikel

In diesem Artikel wird beschrieben, wie Sie private Konnektivität für serverloses Computing mithilfe der Azure Databricks-Kontokonsolen-Benutzeroberfläche konfigurieren. Sie können auch die Netzwerkkonnektivitätskonfigurations-API verwenden.

Wenn Sie Ihre Azure-Ressource so konfigurieren, dass nur Verbindungen von privaten Endpunkten akzeptiert werden, muss jede Verbindung mit der Ressource aus Ihren klassischen Databricks-Computeressourcen auch private Endpunkte verwenden.

Informationen zum Konfigurieren einer Azure Storage-Firewall für den Zugriff auf serverloses Computing mithilfe von Subnetzen finden Sie unter Konfigurieren einer Firewall für serverlosen Computezugriff. Informationen zum Verwalten von Regeln privater Endpunkte finden Sie unter Verwalten von Regeln privater Endpunkte.

Hinweis

Für serverlose Features fallen derzeit keine Gebühren für die Verarbeitung ausgehender und eingehender Daten an. In einem späteren Release können Gebühren anfallen. Azure Databricks wird Sie vorab über Änderungen der Netzwerkpreise informieren. Die stündlichen Endpunktgebühren bleiben in Kraft.

Übersicht über die private Konnektivität für serverloses Computing

Serverlose Netzwerkkonnektivität wird mit Netzwerkkonnektivitätskonfigurations-Objekten (Network Connectivity Configuration, NCCs) verwaltet. Kontoadministratoren erstellen NCCs in der Kontokonsole, und ein NCC kann an einen oder mehrere Arbeitsbereiche angefügt werden

Wenn Sie einen privaten Endpunkt in einem NCC-Objekt hinzufügen, erstellt Azure Databricks eine Anforderung für einen privaten Endpunkt an Ihre Azure-Ressource. Sobald die Anforderung auf der Ressourcenseite akzeptiert wird, wird der private Endpunkt für den Zugriff auf Ressourcen aus der serverlosen Computeebene verwendet. Der private Endpunkt ist Ihrem Azure Databricks-Konto zugeordnet und nur über autorisierte Arbeitsbereiche zugänglich.

Private NCC-Endpunkte werden nur von serverlosen SQL-Warehouses unterstützt. Sie werden von anderen Computeressourcen in der serverlosen Computeebene nicht unterstützt.

Hinweis

Private NCC-Endpunkte werden nur für von Ihnen verwaltete Datenquellen unterstützt. Wenden Sie sich für die Verbindung mit dem Arbeitsbereichspeicherkonto an Ihr Azure Databricks-Kontoteam.

Weitere Informationen zu NCCs finden Sie unter Was ist eine Netzwerkkonnektivitätskonfiguration (Network Connectivity Configuration, NCC)?.

Anforderungen

  • Ihr Arbeitsbereich muss dem Premium-Tarif angehören.
  • Sie müssen ein Azure Databricks-Kontoadministrator sein.
  • In jedem Azure Databricks-Konto können bis zu zehn NCCs pro Region vorhanden sein.
  • Jede Region kann über 100 private Endpunkte verfügen, die nach Bedarf über 1-10 NCCs verteilt werden.
  • Jede NCC kann an bis zu 50 Arbeitsbereiche angefügt werden.

Schritt 1: Erstellen einer Netzwerkkonnektivitätskonfiguration

Databricks empfiehlt, eine NCC zwischen Arbeitsbereichen in derselben Geschäftseinheit sowie den Arbeitsbereichen freizugeben, die dieselben regionalen Konnektivitätseigenschaften aufweisen. Verwenden Sie beispielsweise separate NCCs, wenn einige Arbeitsbereiche Private Link und andere Firewallaktivierung verwenden.

  1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
  2. Klicken Sie in der Randleiste auf Cloudressourcen.
  3. Klicken Sie auf Netzwerkkonnektivitätskonfigurationen.
  4. Klicken Sie auf Netzwerkkonnektivitätskonfiguration hinzufügen.
  5. Geben Sie einen Namen für das NCC ein.
  6. Wählen Sie die Region aus. Diese muss mit Ihrer Arbeitsbereichsregion übereinstimmen.
  7. Klicken Sie auf Hinzufügen.

Schritt 2: Anfügen einer NCC an einen Arbeitsbereich

  1. Klicken Sie in der Randleiste der Kontokonsole auf Arbeitsbereiche.
  2. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
  3. Klicken Sie auf Arbeitsbereich aktualisieren.
  4. Wählen Sie im Feld für Netzwerkkonnektivitätskonfiguration Ihr NCC aus. Sollte diese nicht sichtbar sein, vergewissern Sie sich, dass Sie dieselbe Azure-Region für den Arbeitsbereich und die NCC ausgewählt haben.
  5. Klicken Sie auf Aktualisieren.
  6. Warten Sie zehn Minuten, bis die Änderung wirksam wird.
  7. Starten Sie alle ausgeführten serverlosen SQL-Warehouses im Arbeitsbereich neu.

Schritt 3: Erstellen von Regeln für den privaten Endpunkt

Sie müssen für jede Azure-Ressource eine Regel für den privaten Endpunkt in Ihrer NCC erstellen.

  1. Rufen Sie eine Liste der Azure-Ressourcen-IDs für alle Ihre Ziele ab.

    1. Navigieren Sie auf einer anderen Browserregisterkarte im Azure-Portal zum Azure Storage-Konto Ihrer Datenquelle.
    2. Navigieren Sie auf der Übersicht zum Abschnitt Essentials.
    3. Klicken Sie auf den Link JSON-Ansicht. Die Ressourcen-ID für das Speicherkonto wird oben auf der Seite angezeigt.
    4. Kopieren Sie diese Ressourcen-ID an einen anderen Speicherort. Wiederholen Sie diesen Schritt für alle Ziele.

  2. Wechseln Sie zurück zur Browserregisterkarte für die Kontokonsole.

  3. Klicken Sie in der Randleiste auf Cloudressourcen.

  4. Klicken Sie auf Netzwerkkonnektivitätskonfigurationen.

  5. Wählen Sie die NCC aus, die Sie in Schritt 1 erstellt haben.

  6. Klicken Sie unter Regeln für den privaten Endpunkt auf Regel für den privaten Endpunkt hinzufügen.

  7. Fügen Sie in das Feld für Azure-Zielressourcen-ID die Ressourcen-ID für Ihre Ressource ein.

  8. Legen Sie im Feld Azure-Unterressourcen-ID den Wert der Unterressource anhand der nachstehenden Tabelle fest. Jede Regel für den privaten Endpunkt muss eine andere Unterressourcen-ID verwenden.

    Zieltyp Azure-Unterressourcen-ID
    Blob Storage blob
    ADLS-Speicher dfs
    Azure SQL (Um Azure SQL als Ziel zu verwenden, müssen Sie die private Endpunktregel mithilfe der Netzwerkkonnektivitäts-API erstellen.) sqlServer

  9. Klicken Sie auf Hinzufügen.

  10. Warten Sie ein paar Minuten, bis alle Endpunktregeln den Status PENDING aufweisen.

Schritt 4: Genehmigen der neuen privaten Endpunkte für Ihre Ressourcen

Die Endpunkte werden erst wirksam, wenn ein*e Administrator*in mit Rechten für die Ressource den neuen privaten Endpunkt genehmigt. Gehen Sie folgendermaßen vor, um einen privaten Endpunkts über das Azure-Portal zu genehmigen:

  1. Navigieren Sie im Azure-Portal zu Ihrem Azure-Speicherkonto.

  2. Klicken Sie auf der Seitenleiste auf Netzwerk.

  3. Klicken Sie auf Verbindungen mit privatem Endpunkt.

  4. Klicken Sie auf die Registerkarte Privater Zugriff.

  5. Überprüfen Sie unter Verbindungen mit privatem Endpunkt die Liste der privaten Endpunkte.

  6. Aktivieren Sie das Kontrollkästchen neben jedem Endpunkt, der genehmigt werden soll, und klicken Sie oberhalb der Liste auf die Schaltfläche Genehmigen.

  7. Wechseln Sie zurück zu Ihrer NCC in Azure Databricks, und aktualisieren Sie dann die Browserseite, bis alle Endpunktregeln den Status ESTABLISHED aufweisen.

    Private Endpunktlisten

(Optional:) Schritt 5: Festlegen Ihres Speicherkontos zum Blockieren des öffentliches Netzwerkzugriffs

Sie können den Zugriff auf das Azure-Speicherkonto lediglich für zugelassene Netzwerke freigeben, sofern Sie dies noch nicht getan haben.

  1. Öffnen Sie das Azure-Portal.
  2. Navigieren Sie zu Ihrem Speicherkonto für die Datenquelle.
  3. Klicken Sie auf der Seitenleiste auf Netzwerk.
  4. Überprüfen Sie den Wert im Feld für Öffentlicher Netzwerkzugriff. Standardmäßig lautet der Wert Aus allen Netzwerken aktiviert. Ändern Sie diesen in Deaktiviert.

Schritt 6: Neustarten der serverlosen SQL-Warehouses und Testen der Verbindung

  1. Warten Sie nach dem vorherigen Schritt fünf weitere Minuten, bis die Änderungen übernommen wurden.
  2. Starten Sie alle ausgeführten serverlosen SQL-Warehouses in den Arbeitsbereichen neu, an die Ihre NCC angefügt ist. Starten Sie ein serverloses SQL-Warehouse, wenn derzeit keines ausgeführt wird.
  3. Vergewissern Sie sich, dass alle SQL-Warehouses erfolgreich gestartet werden.
  4. Führen Sie mindestens eine Abfrage an Ihre Datenquelle aus, um zu bestätigen, dass das serverlose SQL-Warehouse eine Verbindung zu Ihrer Datenquelle herstellen kann.