Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las distintas organizaciones tienen diferentes requisitos de aislamiento de red. En esta página se describen tres arquitecturas de referencia para los requisitos comunes. Identifique la arquitectura que mejor se adapte a la topología de red, las necesidades de gobernanza de datos y las directivas de control de salida.
Arquitectura de Databricks
Azure Databricks funciona desde un plano de control y un plano de proceso.
- El plano de control incluye los servicios de infraestructura que Azure Databricks gestiona dentro de su cuenta de Azure Databricks. La aplicación web está en el plano de control.
- El plano de procesoes donde se procesan los datos. Hay dos tipos de planos de proceso en función del proceso que use.
- Para el proceso clásico de cálculos de Azure Databricks, los recursos informáticos se encuentran en su suscripción de Azure en lo que se llama el plano de proceso clásico. Esto hace referencia a la red de la suscripción de Azure y sus recursos. Los recursos del plano de computación clásico están en la misma región que el espacio de trabajo.
- Para el proceso sin servidor, los recursos de proceso sin servidor se ejecutan en un plano de proceso sin servidor en la cuenta de Azure Databricks. Los recursos del plano de proceso sin servidor se encuentran en la misma región de nube que el plano de proceso clásico del área de trabajo. Usted selecciona esta región al crear un área de trabajo.
Para más información sobre el proceso clásico y el proceso sin servidor, consulte Proceso. Para obtener información adicional sobre la arquitectura, consulte Arquitectura de alto nivel.
Tipos de conectividad de red
Databricks proporciona un entorno de red seguro de forma predeterminada, pero si su organización tiene necesidades adicionales, puede configurar características de conectividad de red entre las distintas conexiones de red. Cada arquitectura configura características en tres tipos de conectividad de red:
- Inbound: usuarios y aplicaciones para Azure Databricks: puede configurar características para controlar el acceso y proporcionar conectividad privada entre los usuarios y sus áreas de trabajo de Azure Databricks. Consulte la guía de redes para usuarios de Azure Databricks.
- Classic: el plano de control y el plano de proceso clásico: los recursos de proceso clásicos, como los clústeres, se implementan en la suscripción de Azure y se conectan al plano de control. Puede usar características de conectividad de red clásicas para implementar recursos de plano de proceso clásicos en su propia red virtual y para habilitar la conectividad privada desde los clústeres al plano de control. Consulte Redes clásicas del plano de cómputo.
- Outbound: el plano de proceso sin servidor y el almacenamiento: puede configurar firewalls en los recursos para permitir el acceso desde el plano de proceso sin servidor de Azure Databricks. Consulte Redes de plano de proceso sin servidor.
Use el diagrama siguiente para visualizar la forma en que fluyen los datos a través de Databricks.
Elección de la arquitectura de red
Estas arquitecturas proporcionan seguridad de red para cada tipo de conectividad en una progresión. Comience con Seguridad administrada como línea base y capa en los controles a medida que aumenten los requisitos. La mayoría de las organizaciones protegen la entrada y salida antes de pasar a una conectividad privada completa.
| Architecture | Description |
|---|---|
| Seguridad administrada | Su punto de partida. Infraestructura administrada por Azure Databricks con configuración predeterminada segura. Aplique controles de Unity Catalog sobre esta base para la gobernanza de datos. |
| Conectividad protegida | Refuerza el tráfico entrante y saliente además de la seguridad gestionada. Lo mejor para las organizaciones que deben tener auditabilidad y control de acceso sin eliminar los puntos de conexión públicos. |
| Entorno aislado | Convierte todo el acceso en privado, además de la conectividad reforzada. Para sectores regulados (servicios financieros, atención sanitaria, gobierno) con estrictos requisitos de filtración de datos. |
Matriz de características
En la tabla siguiente se muestran las características de seguridad de red que se aplican a cada arquitectura:
| Connectivity | Feature | Seguridad administrada | Conectividad reforzada | Entorno aislado |
|---|---|---|---|---|
| Computación clásica | Conectividad segura de clústeres (SCC) | Sí | Sí | Sí |
| Computación clásica | Inyección de red virtual | Sí | Sí | Sí |
| Computación clásica | Enlace Privado del plano de cálculo clásico | Optional | Sí | Sí |
| Inbound | Private Link entrante del espacio de trabajo | No | No | Sí |
| Inbound | Enlace Privado entrante para servicios de alto rendimiento | No | No | Sí |
| Inbound | Listas de acceso IP del área de trabajo | No | Sí | Sí |
| Inbound | Listas de acceso IP de nivel de cuenta | No | Sí | Sí |
| Inbound | Listas de acceso IP de Delta Sharing | No | Sí | Sí |
| Salida | Control de salida sin servidor | No | Sí | Sí |
| Salida | Private Link sin servidor (puntos de conexión privados de NCC) | No | Sí | Sí |
| Salida | Direcciones IP estables sin servidor | Sí | Sí | Sí |
| Salida | Firewall externo | Optional | Optional | Sí |
Recursos adicionales
| Recurso | Description |
|---|---|
| Procedimientos recomendados de seguridad de Databricks | Arquitecturas de referencia de seguridad, Herramienta de análisis de seguridad (SAT) y el documento técnico sobre seguridad de AWS. |
| Costos de red | Planee y administre los costos de red en las implementaciones de Azure Databricks. |