Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page présente les outils permettant de sécuriser l’accès réseau entre les ressources de calcul dans le plan de calcul serverless Azure Databricks et les ressources client. Pour en savoir plus sur le plan de contrôle et le plan de calcul serverless, consultez la Vue d’ensemble de l’architecture Azure Databricks.
Pour en savoir plus sur l'informatique classique et l’informatique Serverless, consultez Types d'informatique.
Important
À compter du 4 décembre 2024, Azure Databricks a commencé à facturer les coûts réseau associés aux charges de travail serverless qui se connectent aux ressources client. Vous êtes actuellement facturé pour les frais horaires de point de terminaison privé de vos ressources. Les frais de traitement des données pour les connexions Private Link sont annulés indéfiniment. La facturation des autres coûts de mise en réseau sera déployée progressivement, notamment :
- Connectivité publique à vos ressources, par exemple sur une passerelle NAT.
- Frais de transfert de données, par exemple lorsque le calcul sans serveur et la ressource cible se trouvent dans différentes régions.
Les frais ne seront pas appliqués rétroactivement.
Consultez Comprendre les coûts de mise en réseau sans serveur de Databricks.
Vue d’ensemble de la mise en réseau d’un plan de calcul serverless
Les ressources de calcul serverless s’exécutent dans le plan de calcul serverless, qui est géré par Azure Databricks. Les administrateurs de compte peuvent configurer une connectivité sécurisée entre le plan de calcul serverless et leurs ressources. Cette connexion réseau est étiquetée comme 2 dans le diagramme ci-dessous :
La connectivité entre le plan de contrôle et le plan de calcul serverless s’effectue toujours via la dorsale principale du réseau cloud et non via l’Internet public. Pour plus d’informations sur la configuration des fonctionnalités de sécurité sur les autres connexions réseau dans le diagramme, consultez Mise en réseau.
Qu’est-ce que le contrôle de sortie sans serveur ?
Le contrôle de sortie serverless vous permet de gérer les connexions réseau sortantes à partir de vos ressources de calcul serverless.
À l’aide de stratégies réseau, vous pouvez :
- Améliorer la sécurité: atténuer les risques d’exfiltration des données en limitant les connexions sortantes.
- Définir des règles précises: contrôler les connexions sortantes en spécifiant les emplacements, connexions, noms de domaine complets et comptes de stockage Azure autorisés.
- Simplifier la gestion : configurez et gérez facilement les stratégies de sortie dans votre environnement serverless.
Consultez Qu’est-ce que la gestion de sortie dans un environnement serverless ?
Qu’est-ce qu’une configuration de connectivité réseau (CCN) ?
La connectivité réseau sans serveur est gérée grâce aux configurations de connectivité de réseau (NCC). Les CCN sont des constructions régionales au niveau du compte utilisées pour gérer la création de points de terminaison privés et l’activation du pare-feu à grande échelle.
Les administrateurs de compte créent des CCN dans la console de compte et une CCN peut être attachée à un ou plusieurs espaces de travail. Une CCN active les pare-feu et les points de terminaison privés :
- Activation du pare-feu de ressources par sous-réseaux : Une configuration de connectivité réseau (NCC, network connectivity configuration) permet aux sous-réseaux de service Azure stables gérés par Databricks d’ajouter des points de terminaison de service à vos pare-feu de ressources pour sécuriser l’accès aux ressources Azure des entrepôts SQL serverless. Lorsqu'une configuration NCC est attachée à un espace de travail, le calcul serverless dans cet espace utilise l'un de ces réseaux pour se connecter à la ressource Azure via des points de terminaison de service. Vous pouvez autoriser la liste de ces réseaux sur votre pare-feu de ressources Azure. Les règles de réseau sont automatiquement ajoutées au compte de stockage de l’espace de travail. Voir Configurer un pare-feu pour l'accès à l'informatique sans serveur.
- Points de terminaison privés : lorsque vous ajoutez un point de terminaison privé dans un objet CCN, Azure Databricks crée une requête de point de terminaison privé pour votre ressource Azure. Une fois la requête acceptée côté ressource, le point de terminaison privé est utilisé pour accéder à votre ressource Azure à partir du plan de calcul serverless. Consultez Configurer la connectivité privée aux ressources Azure.
Remarque
Databricks utilise des points de terminaison de service, des adresses IP privées et des adresses IP publiques pour se connecter aux ressources en fonction de leur emplacement et de leur type. Ces méthodes de connectivité sont généralement disponibles, sauf indication explicite.