Compartir vía

Redes

  • Artículo

Este artículo presenta configuraciones de seguridad de red para la implementación y administración de cuentas y áreas de trabajo de Azure Databricks.

Importante

A partir del 4 de diciembre de 2024, Databricks comenzará a cobrar los costos de red en cargas de trabajo sin servidor que se conectan a recursos externos. La facturación se implementará gradualmente y es posible que no se le cobre hasta el 4 de diciembre de 2024. No se le cobrará retroactivamente por el uso antes de habilitar la facturación. Una vez habilitada la facturación, es posible que se le cobre por:

  • Conectividad privada a los recursos a través de Private Link. Los cargos de procesamiento de datos por la conectividad privada a los recursos a través de Private Link se renuncian indefinidamente. Se aplicarán cargos por hora.
  • Conectividad pública a los recursos a través de la puerta de enlace NAT.
  • Cargos de transferencia de datos en los que se incurre, como cuando el proceso sin servidor y el recurso de destino se encuentran en regiones diferentes.

Introducción a la arquitectura de Azure Databricks

Azure Databricks funciona desde un plano de control y un plano de proceso.

  • El plano de controlincluye los servicios de backend que administra Azure Databricks administra en su cuenta de Azure Databricks. La aplicación web está en el plano de control.
  • El plano de procesoes donde se procesan los datos. Hay dos tipos de planos de proceso en función del proceso que use.
    • Para el proceso clásico de cálculos de Azure Databricks, los recursos informáticos se encuentran en su suscripción de Azure en lo que se llama el plano de proceso clásico. Esto hace referencia a la red de la suscripción de Azure y sus recursos. Los recursos del plan de proceso clásico están en la región en la que se encuentra el área de trabajo.
    • Para el proceso sin servidor, los recursos de proceso sin servidor se ejecutan en un plano de proceso sin servidor en la cuenta de Azure Databricks. Los recursos del plan de proceso sin servidor se encuentran en la misma región de nube que el plano de proceso clásico del área de trabajo. Seleccione esta región al crear un área de trabajo.

Para más información sobre el proceso clásico y el proceso sin servidor, consulte Tipos de proceso. Para más información sobre la arquitectura, consulte introducción a la arquitectura de Azure Databricks.

Conectividad de red segura

Azure Databricks proporciona un entorno de red seguro de forma predeterminada, pero si su organización tiene necesidades adicionales, puede configurar características de conectividad de red entre las distintas conexiones de red que se muestran en el diagrama siguiente.

Diagrama de información general de conectividad de red

  1. Usuarios y aplicaciones en Azure Databricks: puede configurar características para controlar el acceso y proporcionar conectividad privada entre los usuarios y sus áreas de trabajo de Azure Databricks. Consulte Usuarios a redes de Azure Databricks.
  2. El plano de control y el plano de proceso clásico: los recursos de proceso clásicos, como los clústeres, se implementan en la suscripción de Azure y se conectan al plano de control. Puede usar características de conectividad de red clásicas para implementar recursos de plano de proceso clásicos en sus propias redes virtuales y habilitar la conectividad privada desde los clústeres al plano de control. Consulte Redes clásicas del plano de proceso.
  3. El plano de proceso sin servidor y el almacenamiento: puede configurar conexiones privadas y dedicadas desde el proceso sin servidor al almacenamiento. Consulte Redes de plano de proceso sin servidor.

Puede configurar las características de red de Azure Storage, como puntos de conexión privados para proteger la conexión entre el plano de proceso clásico y sus recursos de Azure. Consulte Concesión de acceso al área de trabajo de Azure Databricks a Azure Data Lake Storage Gen2 y Recomendaciones de redes para la federación de Lakehouse.

También puede habilitar la compatibilidad con firewall para la cuenta de almacenamiento del área de trabajo para limitar el acceso a la cuenta desde redes y conexiones autorizadas. Consulte Habilitación de la compatibilidad con el firewall para la cuenta de almacenamiento del área de trabajo.

La conectividad entre el plano de control y el plano de proceso sin servidor siempre se realiza a través de la red troncal de Azure y no de la red pública de Internet.