Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Différentes organisations ont des exigences d’isolation réseau différentes. Cette page présente trois architectures de référence pour les exigences courantes. Identifiez l’architecture qui correspond le mieux à votre topologie réseau, aux besoins de gouvernance des données et aux stratégies de contrôle de sortie.
Architecture de Databricks
Azure Databricks fonctionne à partir d’un plan de contrôle et d’un plan de calcul.
- Le plan de contrôle comprend les services back-end qu’Azure Databricks gère dans votre compte Azure Databricks. L’application web se trouve dans le plan de contrôle.
- Le plan de calcul est l’endroit où vos données sont traitées. Il existe deux types de plans de calcul en fonction du calcul que vous utilisez.
- Pour les calculs Azure Databricks classiques, les ressources de calcul se trouvent dans votre abonnement Azure dans ce qu’on appelle le plan de calcul classique. Ce terme fait référence au réseau de votre abonnement Azure et à ses ressources. Les ressources de plan de calcul classiques se trouvent dans la même région que votre espace de travail.
- Pour les calculs serverless, les ressources de calcul serverless s’exécutent dans un plan de calcul serverless dans votre compte Azure Databricks. Les ressources du plan de calcul serverless se trouvent dans la même région cloud que le plan de calcul classique de votre espace de travail. Sélectionnez cette région lors de la création d’un espace de travail.
Pour en savoir plus sur le calcul classique et le calcul serverless, consultez Calcul. Pour plus d’informations sur l’architecture, consultez architecture générale.
Types de connectivité réseau
Databricks fournit un environnement de mise en réseau sécurisé par défaut, mais si votre organisation a des besoins supplémentaires, vous pouvez configurer des fonctionnalités de connectivité réseau entre les différentes connexions réseau. Chaque architecture configure des fonctionnalités sur trois types de connectivité réseau :
- Inbound : Utilisateurs et applications vers Azure Databricks : vous pouvez configurer des fonctionnalités pour contrôler l’accès et fournir une connectivité privée entre les utilisateurs et leurs espaces de travail Azure Databricks. Consultez l’article Mise en réseau des utilisateurs sur Azure Databricks.
- Classic : le plan de contrôle et le plan de calcul classique : les ressources de calcul classiques, telles que les clusters, sont déployées dans votre abonnement Azure et connectez-vous au plan de contrôle. Vous pouvez utiliser des fonctionnalités de connectivité réseau classiques pour déployer des ressources de plan de calcul classiques dans votre propre réseau virtuel et activer la connectivité privée des clusters vers le plan de contrôle. Consultez l’article Mise en réseau du plan de calcul classique.
- Trafic sortant : le plan de calcul serverless et le stockage : vous pouvez configurer des pare-feu sur vos ressources pour autoriser l’accès depuis le plan de calcul serverless d’Azure Databricks. Consultez Mise en réseau du plan de calcul sans serveur.
Utilisez le diagramme suivant pour visualiser la façon dont les données transitent par Databricks.
Choisir votre architecture réseau
Ces architectures fournissent une sécurité réseau pour chaque type de connectivité dans une progression. Commencez par la sécurité managée en tant que ligne de base et couche sur les contrôles à mesure que vos besoins augmentent. La plupart des organisations sécurisent les flux entrants et sortants avant de passer à une connectivité entièrement privée.
| Architecture | Description |
|---|---|
| Sécurité gérée | Votre point de départ. infrastructure gérée par Azure Databricks avec des valeurs par défaut sécurisées. Appliquez des contrôles catalogue Unity au-dessus de cette base de référence pour la gouvernance des données. |
| Connectivité renforcée | Renforce l’entrée et la sortie en plus de la sécurité managée. Idéal pour les organisations qui doivent avoir un contrôle d’audit et d’accès sans éliminer les points de terminaison publics. |
| Environnement isolé | Privatise tous les accès en plus de la connectivité renforcée. Pour les secteurs réglementés (services financiers, soins de santé, gouvernement) avec des exigences strictes en matière d’exfiltration des données. |
Matrice de caractéristiques
Le tableau suivant indique quelles fonctionnalités de sécurité réseau s’appliquent à chaque architecture :
| Connectivity | Fonctionnalité | Sécurité gérée | Connectivité renforcée | Environnement isolé |
|---|---|---|---|---|
| Calcul classique | Connectivité de cluster sécurisée (SCC) | Oui | Oui | Oui |
| Calcul classique | Injection de réseau virtuel | Oui | Oui | Oui |
| Calcul classique | Plan de calcul classique Private Link | Optional | Oui | Oui |
| Trafic entrant | Private Link entrant de l’espace de travail | Non | Non | Oui |
| Trafic entrant | Liaison privée entrante pour les services gourmands en performances | Non | Non | Oui |
| Trafic entrant | Listes d’accès IP de l’espace de travail | Non | Oui | Oui |
| Trafic entrant | Listes d’accès IP au niveau du compte | Non | Oui | Oui |
| Trafic entrant | Listes d’accès IP de Delta Sharing | Non | Oui | Oui |
| Sortant | Contrôle de sortie serverless | Non | Oui | Oui |
| Sortant | Private Link sans serveur (points de terminaison privés NCC) | Non | Oui | Oui |
| Sortant | Adresses IP stables serverless | Oui | Oui | Oui |
| Sortant | Pare-feu externe | Optional | Optional | Oui |
Ressources additionnelles
| Ressource | Description |
|---|---|
| Meilleures pratiques en matière de sécurité Databricks | Architectures de référence de sécurité, Outil d’analyse de la sécurité (SAT) et livre blanc sur la sécurité AWS. |
| Coûts de mise en réseau | Planifiez et gérez les coûts réseau dans les déploiements Azure Databricks. |