Configuración de la conectividad privada a los recursos de la red virtual

Nota:

Azure Databricks cobra tarifas por el uso de la red cuando las cargas de trabajo sin servidor se conectan a los recursos del cliente. Consulte Descripción de los costos de red sin servidor de Databricks.

En esta página se explica cómo usar la consola de cuenta de Azure Databricks para configurar conexiones de Private Link de computación sin servidor a recursos en tu red virtual (VNet) a través de un equilibrador de carga de Azure.

La configuración de la conectividad privada para el proceso sin servidor proporciona:

• A conexión dedicada y privada: El punto de conexión privado está vinculado exclusivamente a la cuenta de Azure Databricks, lo que garantiza que el acceso a los recursos de red virtual está restringido solo a áreas de trabajo autorizadas. Esto crea un canal de comunicación seguro y dedicado.
• Mitigación mejorada de exfiltración de datos: Si bien Azure Databricks Serverless con Unity Catalog ofrece protección integrada contra la exfiltración de datos, Private Link proporciona una capa adicional de defensa de red. Al colocar los recursos de red virtual en una subred privada y controlar el acceso a través de puntos de conexión privados dedicados, se reduce significativamente el riesgo de movimiento de datos no autorizado fuera del entorno de red controlado.

Requisitos

• La cuenta y el área de trabajo deben estar en el plan Premium.
• Usted es el administrador de la cuenta de su cuenta de Azure Databricks.
• Tiene al menos un espacio de trabajo que utiliza computación sin servidor. Para ver las regiones admitidas, consulte Disponibilidad sin servidor.
• El equilibrador de carga tiene una red virtual y una subred, y el recurso se encuentra en esta subred.
• Cada cuenta de Azure Databricks puede tener hasta 10 NCC por región.
• Cada región puede tener 100 puntos de conexión privados, distribuidos según sea necesario en 1-10 NCC.
• Cada NCC se puede asociar a un máximo de 50 áreas de trabajo.
• Cada regla de punto de conexión privado para la conectividad privada a los recursos de la red virtual admite hasta 10 nombres de dominio.
• No se admite la búsqueda de DNS y la redirección de DNS. Todos los nombres de dominio deben resolverse directamente en los recursos de back-end.

Paso 1: Crear un equilibrador de carga Azure

Cree un Azure Load Balancer que actúe como front-end para los recursos de red virtual. Este equilibrador de carga está vinculado al servicio Private Link.

Para crear un equilibrador de carga, siga las instrucciones del Quickstart: Creación de un equilibrador de carga interno para equilibrar la carga de las máquinas virtuales mediante el portal de Azure. Complete lo siguiente:

1. Cree un recurso de equilibrador de carga.
2. Agregar una configuración IP frontal: Este es el punto de entrada del servicio Private Link.
3. Agregue un grupo de back-end: Este grupo contiene las direcciones IP de los recursos de red virtual.
4. Cree un sondeo de estado: Configure un sondeo de estado para supervisar la disponibilidad de los recursos de back-end.
5. Agregar reglas de equilibrio de carga: defina reglas para distribuir el tráfico entrante al pool de back-end.

Paso 2: Crear un servicio de Private Link

Debe crear un servicio Private Link para exponer de forma segura el equilibrador de carga al punto de conexión privado. Compruebe que el servicio Private Link se haya creado en la misma región que su balanceador de carga.

Para obtener instrucciones, consulte la documentación de Azure: Crear un servicio de Private Link mediante el portal de Azure.

Paso 3: Crear o usar un objeto de configuración de conectividad de red (NCC) existente

El objeto NCC de Azure Databricks define la configuración de conectividad privada para las áreas de trabajo. Omita este paso si ya existe un NCC. Para crear un objeto NCC:

1. Como administrador de la cuenta, vaya a la consola de la cuenta.
2. En la barra lateral, haga clic en Seguridad.
3. Haga clic en Configuraciones de conectividad de red.
4. Haga clic en Agregar configuración de red.
5. Escriba el nombre de la NCC.
6. Elija la región. Debe coincidir con la región del área de trabajo.
7. Haga clic en Agregar.

Paso 4: Creación de un punto de conexión privado

Este paso vincula el servicio de Private Link a la Azure Databricks NCC. Para crear un punto de conexión privado:

1. En la consola de la cuenta, haga clic en Seguridad.
2. Haga clic en Configuraciones de conectividad de red.
3. Seleccione el objeto NCC que creó en el paso 3.
4. En la pestaña Reglas de punto de conexión privado , haga clic en Agregar regla de punto de conexión privado.
5. En el campo ID de recurso de Azure, pegue el identificador de recurso completo del servicio Private Link. Busque este identificador en el portal de Azure en la página Overview del servicio de Private Link. Identificador de ejemplo: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
6. En el campo Nombres de dominio, agregue los nombres de dominio personalizados que usan los recursos de red virtual. Estos nombres de dominio deben asignarse a las configuraciones IP del grupo de servidores backend del equilibrador de carga.
7. Haga clic en Agregar.
8. Confirme que la columna Estado de la regla de punto de conexión privado recién agregada es PENDING.

Nota:

Los dominios agregados como entradas de enlaces privados se permiten automáticamente en las directivas de red.

Paso 5: Aceptar el punto de conexión privado en el recurso

Después de crear la regla de punto de conexión privado en Databricks, debe aprobar la solicitud de conexión en el portal de Azure. Para aprobar la conexión:

1. Vaya al centro Private Link desde el portal de Azure.
2. Seleccione Private Link services.
3. Busque y seleccione el servicio Private Link asociado al equilibrador de carga.
4. En la barra lateral izquierda, en Configuración, seleccione Conexiones de punto de conexión privado.
5. Seleccione el punto de conexión privado pendiente.
6. Haga clic en Aprobar para aceptar la conexión.
7. Cuando se le solicite, seleccione Sí.
8. Después de la aprobación, el estado de conexión cambia a Aprobado.

La conexión puede tardar diez minutos en establecerse por completo.

Paso 6: Confirmar el estado del punto de conexión privado

Compruebe que el punto de conexión privado se ha establecido correctamente por parte de Azure Databricks. Para confirmar la conexión:

1. Actualice la página Configuraciones de conectividad de red en la consola de la cuenta de Azure Databricks.
2. En la pestaña Reglas de punto de conexión privado , confirme que la columna Estado del nuevo punto de conexión privado es ESTABLISHED.

Paso 7: Asociar el NCC a una o varias áreas de trabajo

En este paso se asocia la conectividad privada configurada con las áreas de trabajo de Azure Databricks. Omita este paso si el área de trabajo ya está asociada al NCC deseado. Para asociar el NCC a un área de trabajo:

1. Vaya a Áreas de trabajo en el panel de navegación izquierdo.
2. Seleccione un área de trabajo existente.
3. Seleccione Actualizar área de trabajo.
4. En Configuraciones de conectividad de red, seleccione la lista desplegable y elija el NCC que ha creado.
5. Repita este proceso para todas las áreas de trabajo a las que desea que se aplique este NCC.

Nota:

Los NCC son objetos regionales que solo se pueden asociar a áreas de trabajo de la misma región.

Pasos siguientes

• Configurar la conectividad privada con recursos Azure: use Private Link para establecer acceso seguro y aislado a los servicios Azure desde la red virtual, pasando la red pública de Internet. Consulte Configurar la conectividad privada con recursos Azure.
• Administrar reglas de punto de conexión privado: Controlar el tráfico de red hacia y desde los puntos de conexión privados de Azure definiendo reglas específicas que permiten o deniegan conexiones. Consulte Administración de reglas de punto de conexión privado.
• Configurar un firewall para el acceso a proceso sin servidor: implemente un firewall para restringir y proteger las conexiones de red entrantes y salientes para los entornos de proceso sin servidor. Consulte Configurar un firewall para el acceso a cómputo sin servidor (heredado).
• Comprender los costos de transferencia de datos y conectividad: La transferencia de datos y la conectividad se refieren a mover datos de entrada y salida en los entornos sin servidor de Azure Databricks. Los cargos de red para productos de computación sin servidor solo se aplican a los clientes que usan Azure Databricks con cómputo sin servidor. Consulte Descripción de los costos de red sin servidor de Databricks.