Mise en réseau du plan de calcul classique

Ce guide présente les fonctionnalités permettant de personnaliser l’accès réseau entre le plan de contrôle Azure Databricks et le plan de calcul classique. La connectivité entre le plan de contrôle et le plan de calcul serverless s’effectue toujours via la dorsale principale du réseau cloud et non via l’Internet public.

Pour en savoir plus sur le plan de contrôle et le plan de calcul, consultez Vue d’ensemble de l’architecture Azure Databricks.

Les fonctionnalités de cette section portent sur l’établissement et la sécurisation de la connexion entre le plan de contrôle Azure Databricks et le plan de calcul classique. Dans le diagramme ci-dessous, cette connexion est représentée par l’étiquette 2 :

Pour plus d’informations sur la configuration des fonctionnalités de mise en réseau Azure entre Azure Databricks et le stockage Azure, consultez Accorder à votre espace de travail Azure Databricks l’accès à Azure Data Lake Storage Gen2.

Activer la connectivité sécurisée des clusters

Databricks vous recommande d’activer la connectivité sécurisée des clusters sur vos espaces de travail Azure Databricks. Lorsque la connectivité sécurisée des clusters est activée, les ressources de calcul du plan de calcul classique se connectent au plan de contrôle via un relais. Cela signifie que les réseaux virtuels du client n’ont aucun port ouvert et que les ressources du plan de calcul classique n’ont aucune adresse IP publique. Cela simplifie l’administration réseau en supprimant le besoin de configurer des ports sur des groupes de sécurité ou un peering de réseaux. Pour obtenir plus d’informations sur le déploiement d’un espace de travail avec une connectivité sécurisée des clusters, consultez Connectivité sécurisée des clusters.

Déployer un espace de travail dans votre propre réseau virtuel

Par défaut, chaque déploiement Azure Databricks crée un réseau virtuel (VNet) verrouillé dans votre abonnement Azure. Les ressources de calcul classiques sont créées dans ce réseau virtuel. Vous pouvez plutôt créer un espace de travail dans votre propre réseau virtuel géré par le client (également appelé « injection de réseau virtuel »), ce qui vous permet de :

• Sécurisez la connexion d’Azure Databricks au stockage Azure à l’aide de points de terminaison de service ou de points de terminaison privés. Consultez Accorder à votre espace de travail Azure Databricks l’accès à Azure Data Lake Storage Gen2.
• Limitez le trafic sortant de votre réseau virtuel à l’aide de règles de groupe de sécurité réseau.
• Sécurisez la connexion à un réseau local à partir d’Azure Databricks en tirant parti des itinéraires définis par l’utilisateur. Consultez Connecter votre espace de travail Azure Databricks à votre réseau local et Paramètres de routage définis par l’utilisateur pour Azure Databricks.

Pour déployer un espace de travail dans votre propre réseau virtuel, consultez Déployer Azure Databricks dans votre réseau virtuel Azure (injection dans le réseau virtuel). Vous pouvez également appairer le réseau virtuel Azure Databricks avec un autre réseau virtuel Azure. Pour cela, consultez Appairer des réseaux virtuels.

Activer la connectivité privée du plan de contrôle au plan de calcul classique

Azure Private Link fournit une connectivité privée à partir de réseaux virtuels Azure et de réseaux locaux vers des services Azure sans exposer le trafic au réseau public. Vous pouvez activer la connectivité privée du plan de calcul classique aux services principaux de l’espace de travail Azure Databricks dans le plan de contrôle en activant Azure Private Link.

Pour plus d’informations, consultez Activer des connexions back-end et front-end Azure Private Link.