Partager via


Paramètres de routage définis par l’utilisateur pour Azure Databricks

Si votre espace de travail Azure Databricks est déployé sur votre propre réseau virtuel (VNet), vous pouvez utiliser des itinéraires personnalisés, également appelés itinéraires définis par l’utilisateur (UDR), pour vous assurer que le trafic est acheminé correctement pour votre espace de travail. Par exemple, si vous connectez le réseau virtuel à votre réseau local, le trafic peut être acheminé via le réseau local et ne pas atteindre le plan de contrôle Azure Databricks. Les routes définies par l’utilisateur peuvent résoudre ce problème.

Vous avez besoin d’un UDR pour chaque type de connexion sortante du réseau virtuel. Vous pouvez utiliser à la fois des étiquettes de service Azure et des adresses IP pour définir des contrôles d’accès réseau sur vos itinéraires définis par l’utilisateur. Databricks recommande d’utiliser des étiquettes de service Azure pour éviter les interruptions de service dues à des modifications d’adresses IP.

Configurer des itinéraires définis par l’utilisateur avec des étiquettes de service Azure

Databricks vous recommande d’utiliser des étiquettes de service Azure qui représentent un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent. Cela permet d’éviter les interruptions de service dues à des modifications d’adresse IP. Il n’est plus nécessaire de consulter régulièrement ces adresses IP et de les mettre à jour dans votre table de routage. Toutefois, si les stratégies de votre organisation interdisent les étiquettes de service, vous pouvez éventuellement spécifier les itinéraires en tant qu’adresses IP.

Si vous utilisez des étiquettes de services, vos itinéraires définis par l’utilisateur doivent utiliser les règles suivantes et associer la table de routage aux sous-réseaux publics et privés de votre réseau virtuel.

Source Préfixe de l’adresse Type de tronçon suivant
Default Étiquette de service Azure Databricks Internet
Default Étiquette de service Azure SQL Internet
Default Étiquette de service Stockage Azure Internet
Par défaut Étiquette de service Azure Event Hubs Internet

Remarque

Vous pouvez choisir d’ajouter l’étiquette de service Microsoft Entra ID pour faciliter l’authentification Microsoft Entra ID des clusters Azure Databricks aux ressources Azure.

Si Azure Private Link est activé pour votre espace de travail, l’étiquette de service Azure Databricks n’est pas obligatoire.

L’étiquette de service Azure Databricks représente les adresses IP pour les connexions sortantes nécessaires vers le plan de contrôle Azure Databricks, la connectivité sécurisée des clusters (SCC) et l’application web Azure Databricks.

L’étiquette de service Azure SQL représente les adresses IP pour les connexions sortantes requises vers le metastore Azure Databricks. L’étiquette de service Stockage Azure représente les adresses IP pour le Stockage Blob d’artefacts et le Stockage Blob de journaux. L’étiquette de service Azure Event Hubs représente les connexions sortantes nécessaires pour la journalisation dans Azure Event Hub.

Certaines étiquettes de service permettent d’obtenir un contrôle plus précis en limitant les plages d’adresses IP à une région spécifiée. Voici l’exemple d’une table de routage d’un espace de travail Azure Databricks dans les régions USA Ouest :

Nom Préfixe de l’adresse Type de tronçon suivant
adb-servicetag AzureDatabricks Internet
adb-metastore Sql.WestUS Internet
adb-storage Storage.WestUS Internet
adb-eventhub EventHub.WestUS Internet

Pour obtenir les étiquettes de service nécessaires pour les itinéraires définis par l’utilisateur, consultez Étiquettes de service de réseau virtuel.

Configurer des itinéraires définis par l’utilisateur avec des adresses IP

Databricks recommande d’utiliser des étiquettes de service Azure. Toutefois, si les stratégies de votre organisation n’autorisent pas les étiquettes de service, vous pouvez utiliser des adresses IP pour définir des contrôles d’accès réseau sur vos routes définies par l’utilisateur.

Les détails varient selon que la connectivité sécurisée des clusters (SCC) est activée ou non pour l’espace de travail :

  • Si la connectivité sécurisée des clusters est activée pour l’espace de travail, vous avez besoin d’un UDR pour autoriser les clusters à se connecter au relais de connectivité sécurisée des clusters dans le plan de contrôle. Veillez à inclure les systèmes marqués comme Adresse IP du relais SCC pour votre région.
  • Si la connectivité sécurisée des clusters est désactivée pour l’espace de travail, il existe une connexion entrante à partir de la NAT de plan de contrôle, mais le protocole TCP SYN-ACK de bas niveau vers cette connexion est techniquement une donnée sortante qui nécessite un UDR. Veillez à inclure les systèmes marqués comme Adresse IP de la NAT de plan de contrôle pour votre région.

Vos itinéraires définis par l’utilisateur doivent utiliser les règles suivantes et associer la table de routage aux sous-réseaux publics et privés de votre réseau virtuel.

Source Préfixe de l’adresse Type de tronçon suivant
Default Adresse IP de la NAT de plan de contrôle (si la SCC est désactivée) Internet
Default Adresse IP du relais SCC (si SCC est activée) Internet
Default IP Webapp Internet
Default Adresse IP de metastore Internet
Default Adresse IP de stockage Blob d’artefacts Internet
Default Adresse IP de stockage Blob de journaux Internet
Par défaut Adresse IP de stockage de l’espace de travail – Point de terminaison Stockage Blob Internet
Par défaut Adresse IP de stockage de l’espace de travail – Point de terminaison ADLS gen2 (dfs) Internet
Par défaut IP d’Event Hubs Internet

Si Azure Private Link est activé pour votre espace de travail, vos itinéraires définis par l’utilisateur doivent utiliser les règles suivantes, mais aussi associer la table de routage aux sous-réseaux publics et privés de votre réseau virtuel.

Source Préfixe de l’adresse Type de tronçon suivant
Default Adresse IP de metastore Internet
Default Adresse IP de stockage Blob d’artefacts Internet
Default Adresse IP de stockage Blob de journaux Internet
Par défaut IP d’Event Hubs Internet

Pour obtenir les adresses IP nécessaires pour les routes définies par l’utilisateur, utilisez les tableaux et les instructions fournis dans Régions Azure Databricks, en particulier :