Redes clásicas del plano de proceso
Este artículo presenta características para personalizar el acceso a la red entre el plano de control de Azure Databricks y el plano de proceso clásico. La conectividad entre el plano de control y el plano de proceso sin servidor siempre se realiza a través de la red troncal de la nube y no de la red pública de Internet.
Para obtener más información sobre el plano de control y el plano de proceso, consulte Introducción a la arquitectura de Azure Databricks.
Para más información sobre el proceso clásico y el proceso sin servidor, consulte Tipos de proceso.
Las características de esta sección se centran en establecer y proteger la conexión entre el plano de control de Azure Databricks y el plano de proceso clásico. En el diagrama siguiente, esta conexión está representada por la etiqueta 2:
Para obtener más información sobre cómo configurar las características de red de Azure entre Azure Databricks y Azure Storage, consulte Conceder al área de trabajo de Azure Databricks acceso a Azure Data Lake Storage Gen2.
Habilitar la conectividad segura del clúster
Databricks recomienda habilitar la conectividad segura del clúster en las áreas de trabajo de Azure Databricks. Cuando se habilita la conectividad segura del clúster, los recursos de proceso del plano de proceso clásico se conectan al plano de control a través de una retransmisión. Esto significa que las redes virtuales del cliente no tienen puertos abiertos y los recursos del plano de proceso no tienen direcciones IP públicas. Esto simplifica la administración de red al eliminar la necesidad de configurar puertos en grupos de seguridad o el emparejamiento de red. Para más información sobre la implementación de un área de trabajo con conectividad de clúster segura, consulte Conectividad segura de clústeres.
Implementación de un área de trabajo en su propia red virtual
De forma predeterminada, todas las implementaciones de Azure Databricks crean una red virtual bloqueada en la suscripción de Azure. Los recursos de proceso clásicos se crean en esa red virtual. En su lugar, puede optar por crear una nueva área de trabajo en su propia red virtual administrada por el cliente (también conocido como inserción de red virtual), lo que le permitirá hacer lo siguiente:
- Proteja la conexión de Azure Databricks a Azure Storage mediante puntos de conexión de servicio o puntos de conexión privados. Consulte Conceder al área de trabajo de Azure Databricks acceso a Azure Data Lake Storage Gen2.
- Restrinja el tráfico saliente de la red virtual mediante reglas de grupo de seguridad de red.
- Proteja la conexión a una red local desde Azure Databricks, aprovechando las rutas definidas por el usuario. Consulte Conexión del área de trabajo de Azure Databricks a la red local y Configuración de ruta definida por el usuario para Azure Databricks.
Para implementar un área de trabajo en su propia red virtual, consulte Implementar Azure Databricks en una red virtual de Azure (inserción en red virtual). También puede emparejar la red virtual de Azure Databricks con otra red virtual de Azure, consulte Emparejar redes virtuales.
Habilitar la conectividad privada desde el plano de control al plano de proceso clásico
Azure Private Link proporciona conectividad privada desde redes virtuales de Azure y redes locales a servicios de Azure sin exponer el tráfico a la red pública. Puede habilitar la conectividad privada desde el plano de proceso clásico a los servicios principales del área de trabajo de Azure Databricks en el plano de control habilitando Azure Private Link.
Para más información, consulte Habilitación de conexiones back-end y front-end de Azure Private Link.