Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Databricks Apps admite un control de red específico para ayudarle a proteger y administrar cómo se comunica la aplicación con Internet y los recursos internos. Puede configurar reglas de tráfico de entrada (entrantes) y de salida (salientes) mediante una combinación de listas de acceso IP, conectividad privada de front-end y directivas de red.
Arquitectura de red
Azure Databricks implementa aplicaciones en el plano de proceso sin servidor, donde reciben tráfico directamente. Esto es similar a otros servicios optimizados para rutas, como Servicio de modelos y Búsqueda de vectores.
El proceso de conexión funciona de la siguiente manera:
- Las solicitudes de usuario iniciales a una aplicación de Azure Databricks inician la autenticación de OAuth con el plano de control para validar la sesión y autorizar el acceso a la aplicación.
- Tras la autenticación correcta, todas las solicitudes posteriores se enrutan directamente al plano de proceso sin servidor sin atravesar el plano de control.
Las directivas de seguridad de red configuradas para el plano de proceso sin servidor se aplican al tráfico de Databricks Apps. Esto incluye listas de acceso IP y configuraciones de conectividad privada de front-end.
Controles de entrada
Use las siguientes características para limitar el acceso al área de trabajo y las aplicaciones de Azure Databricks desde la red pública de Internet.
- Listas de acceso IP: Restrinja el acceso del área de trabajo y de la aplicación a intervalos IP conocidos y de confianza habilitando las listas de acceso IP en el nivel de área de trabajo. Solo se permite el tráfico desde los intervalos IP configurados. Para más información, consulte Configuración de listas de acceso IP para áreas de trabajo.
Conectividad privada de front-end: Enrutar el tráfico de entrada a través de una conexión de Azure Private Link para acceder de forma segura a las aplicaciones a través de la red virtual.
Debe configurar el reenvío DNS condicional para el dominio
databricksapps.compara garantizar la resolución de nombres adecuada a través de la conexión privada. De lo contrario, las consultas DNS del dominio de la aplicación podrían resolverse en direcciones IP públicas en lugar del punto de conexión privado. Para obtener instrucciones de configuración, consulte Configuración de Private Link front-end.
Controles de salida
Para controlar el tráfico saliente desde la aplicación, cree una configuración de conectividad de red (NCC) y aplique directivas de red al área de trabajo que hospeda la aplicación.
Configuraciones de conectividad de red
Use una configuración de conectividad de red para conectar de forma segura la aplicación a los servicios de Azure. Las NCCs proporcionan identificadores de subred estables que puede agregar a un firewall de cuenta de almacenamiento para permitir explícitamente el acceso desde su aplicación y otros servicios sin servidor.
Para restringir aún más el tráfico de salida a destinos privados, configure puntos de conexión privados sin servidor para recursos de Azure o enrute el tráfico a través de un equilibrador de carga de Azure en la red virtual.
Directivas de red
Utilice directivas de red para aplicar restricciones de egreso en aplicaciones de Databricks y otras cargas de trabajo sin servidor. Esto resulta útil cuando necesita cumplir los requisitos de cumplimiento o de la organización para controlar la conectividad saliente.
Nota:
Las directivas de red solo están disponibles en el nivel Premium.
Aplique una directiva de red si su aplicación:
- Debe limitar el acceso a un conjunto específico de dominios externos aprobados.
- Necesita evitar la filtración accidental de datos
- Debe cumplir con los estándares de seguridad o cumplimiento que restringen el tráfico saliente de Internet.
Procedimientos recomendados para configurar directivas de red
Siga estas instrucciones para evitar interrupciones no deseadas y asegurarse de que las aplicaciones puedan acceder a los recursos necesarios:
- Permitir solo destinos necesarios. Agregue nombres de dominio completos (FQDN) para los recursos públicos o privados que necesita la aplicación.
- Incluya repositorios de paquetes según sea necesario. Si la aplicación instala paquetes públicos de Python o Node.js, puede permitir dominios como
pypi.orgpara Python oregistry.npmjs.orgpara Node. La aplicación puede requerir dominios adicionales o diferentes en función de las dependencias específicas. Sin estos repositorios, las compilaciones de aplicaciones que se basan enrequirements.txtopackage.jsonpodrían producir errores. - Use el modo de ejecución seca para validar la directiva de red. Este modo simula la aplicación de directivas sin bloquear el tráfico.
- Revise los intentos de conexión denegados mediante la
system.access.outbound_networktabla . Esto le ayuda a identificar dominios que es posible que necesite permitir. Consulte Comprobación de los registros de denegación.
- Agregue los dominios externos necesarios, como las API de confianza o las cuentas de almacenamiento de Azure no registradas en el catálogo de Unity.
Cifrado y enrutamiento de tráfico
Databricks Apps usa rutas de enrutamiento dedicadas y varias capas de cifrado para proteger las comunicaciones de red y proteger los datos.
Enrutamiento del tráfico
El tráfico entre el plano de control de Azure Databricks, el plano de proceso, otros recursos de Azure Databricks y los servicios en la nube viaja a través de la red global del proveedor de nube y no atraviesa la red pública de Internet.
El tráfico entre los usuarios y databricksapps.com podría atravesar la red pública de Internet en función de la ubicación de red del usuario. Para evitar el enrutamiento público de Internet, configure la conectividad privada de front-end.
Cifrado en tránsito
Todas las comunicaciones de red hacia y desde las aplicaciones se cifran:
-
Tráfico de usuario: La comunicación entre los usuarios y
databricksapps.comusa el cifrado de seguridad de la capa de transporte (TLS) 1.3. - Tráfico del plano de control: La comunicación entre el plano de control de Azure Databricks y el plano de proceso usa TLS mutua (mTLS) para las operaciones de administración, como la creación, las actualizaciones y la eliminación de aplicaciones.
Cifrado en reposo
Databricks Apps cifra los datos almacenados mediante los métodos siguientes:
- Código de aplicación: Azure Databricks almacena el código de la aplicación en los archivos del área de trabajo y usa el mismo cifrado que los cuadernos y otros archivos del área de trabajo.
- Almacenamiento de proceso: Las aplicaciones usan discos de sistema operativo del host efímero cifrados con AES-256 y la implementación de cifrado predeterminada del proveedor de nube.