Megosztás a következőn keresztül:

Tűzfal konfigurálása kiszolgáló nélküli számítási hozzáféréshez

  • Cikk

Ez a cikk azt ismerteti, hogyan konfigurálhat Azure Storage-tűzfalat kiszolgáló nélküli számításhoz az Azure Databricks fiókkonzol felhasználói felületén. A Hálózati kapcsolat konfigurációk API-t is használhatja.

A kiszolgáló nélküli számítási hozzáférés privát végpontjának konfigurálásához lásd: Privát kapcsolat konfigurálása kiszolgáló nélküli számításból.

Fontos

2024. december 4-től a Databricks megkezdi a hálózatkezelési költségek felszámítása a külső erőforrásokhoz csatlakozó kiszolgáló nélküli számítási feladatok esetében. A számlázás fokozatosan történik, és előfordulhat, hogy csak 2024. december 4. után kell fizetnie. A számlázás engedélyezése előtt nem számítunk fel visszamenőleges díjat a használatért. A számlázás engedélyezése után az alábbiakért kell fizetnie:

  • Privát kapcsolat az erőforrásokhoz a Private Linken keresztül. Az erőforrások privát kapcsolaton keresztüli privát kapcsolatának adatfeldolgozási díjai határozatlan időre el lesznek mondva. Óránkénti díjak lesznek érvényben.
  • Nyilvános kapcsolat az erőforrásokhoz NAT-átjárón keresztül.
  • Adatátviteli díjak merülnek fel, például amikor a kiszolgáló nélküli számítás és a célerőforrás különböző régiókban található.

A kiszolgáló nélküli számítás tűzfal-engedélyezésének áttekintése

A kiszolgáló nélküli hálózati kapcsolatok hálózati kapcsolati konfigurációkkal (NCC-kkel) kezelhetők. A fiókadminisztrátorok a fiókkonzolon hoznak létre NCC-ket, és egy NCC egy vagy több munkaterülethez csatolható

Az NCC alapértelmezett szabályként tartalmazza az Azure-erőforrástípus hálózati identitásainak listáját. Ha egy NCC-t egy munkaterülethez csatolnak, a munkaterület kiszolgáló nélküli számítása ezen hálózatok egyikével csatlakoztatja az Azure-erőforrást. Ezeket a hálózatokat engedélyezheti az Azure-erőforrás tűzfalán. Ha nem tároló Azure-erőforrás tűzfalai vannak, forduljon a fiókcsapatához az Azure Databricks stabil NAT-ip-címeinek használatáról.

Az NCC tűzfal engedélyezése kiszolgáló nélküli SQL-raktárakból, feladatokból, jegyzetfüzetekből, Delta Live Tables-folyamatokból és cpu-végpontokat kiszolgáló modellből támogatott.

A munkaterület tárfiókjához való hálózati hozzáférést igény szerint csak az engedélyezett hálózatokról konfigurálhatja, beleértve a kiszolgáló nélküli számítást is. Lásd: Tűzfaltámogatás engedélyezése a munkaterület tárfiókjához. Amikor egy NCC-t csatol egy munkaterülethez, a rendszer automatikusan hozzáadja a hálózati szabályokat a munkaterület tárfiókjának Azure Storage-fiókjához.

További információ az NCC-ről: Mi az a hálózati kapcsolati konfiguráció (NCC)?.

A régiók közötti tárhozzáférés költségkövetkte

A tűzfal csak akkor érvényes, ha az Azure-erőforrások ugyanabban a régióban vannak, mint az Azure Databricks-munkaterület. Az Azure Databricks kiszolgáló nélküli számításából származó régiók közötti forgalom esetén (például a munkaterület az USA keleti régiójában, az ADLS-tároló pedig Nyugat-Európában található), az Azure Databricks egy Azure NAT Gateway-szolgáltatáson keresztül irányítja át a forgalmat.

Követelmények

  • A munkaterületnek a Prémium csomagban kell lennie.

  • Azure Databricks-fiókadminisztrátornak kell lennie.

  • Minden NCC legfeljebb 50 munkaterülethez csatolható.

  • Minden Azure Databricks-fiók régiónként legfeljebb 10 NPC-vel rendelkezhet.

  • Hozzáféréssel kell rendelkeznie WRITE az Azure Storage-fiók hálózati szabályaihoz.

1. lépés: Hálózati kapcsolati konfiguráció létrehozása és alhálózati azonosítók másolása

A Databricks javasolja az NCC-k megosztását ugyanazon üzleti egység munkaterületei, valamint az azonos régióval és kapcsolati tulajdonságokkal rendelkező munkaterületek között. Ha például egyes munkaterületek tárolási tűzfalat használnak, más munkaterületek pedig a Private Link alternatív megközelítését használják, akkor ezekhez a használati esetekhez használjon külön NPC-ket.

  1. Fiókadminisztrátorként lépjen a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhőerőforrások elemre.
  3. Kattintson a Hálózati kapcsolat konfigurációja elemre.
  4. Kattintson a Hálózati kapcsolat konfigurációinak hozzáadása elemre.
  5. Írja be az NCC nevét.
  6. Válassza ki a régiót. Ennek meg kell egyeznie a munkaterület régiójával.
  7. Kattintson a Hozzáadás gombra.
  8. Az NCC-k listájában kattintson az új NCC-re.
  9. A Hálózati identitások alapértelmezett szabályok területén kattintson az Összes megtekintése elemre.
  10. A párbeszédpanelen kattintson az Alhálózatok másolása gombra.
  11. Kattintson a Bezárás gombra.

2. lépés: NCC csatolása munkaterületekhez

Az NCC legfeljebb 50 munkaterülethez csatolható ugyanabban a régióban, mint az NCC.

Ha az API használatával szeretne NCC-t csatolni egy munkaterülethez, tekintse meg a Fiók-munkaterületek API-t.

  1. A fiókkonzol oldalsávján kattintson a Munkaterületek elemre.
  2. Kattintson a munkaterület nevére.
  3. Kattintson a Munkaterület frissítése elemre.
  4. A Hálózati kapcsolat konfigurációja mezőben válassza ki az NCC-t. Ha nem látható, ellenőrizze, hogy ugyanazt a régiót választotta-e a munkaterülethez és az NCC-hez is.
  5. Kattintson a Frissítés lehetőségre.
  6. Várjon 10 percet, amíg a módosítás érvénybe lép.
  7. Indítsa újra a munkaterületen futó kiszolgáló nélküli számítási erőforrásokat.

Ha ezzel a funkcióval csatlakozik a munkaterület tárfiókjához, a konfiguráció befejeződött. A rendszer automatikusan hozzáadja a hálózati szabályokat a munkaterület tárfiókjába. További tárfiókok esetén folytassa a következő lépésben.

3. lépés: Tárfiók zárolása

Ha még nem korlátozta az Azure Storage-fiókhoz való hozzáférést csak a felsorolt hálózatok engedélyezésére, tegye meg most. Ezt a lépést nem kell elvégeznie a munkaterület tárfiókja esetében.

A tárolási tűzfal létrehozása hatással van a klasszikus számítási sík és az erőforrások közötti kapcsolatra is. Hálózati szabályokat is hozzá kell adnia a tárfiókokhoz való csatlakozáshoz a klasszikus számítási erőforrásokból.

  1. Nyissa meg az Azure Portalt.
  2. Keresse meg az adatforrás tárfiókját.
  3. A bal oldali navigációs sávon kattintson a Hálózatkezelés elemre.
  4. A nyilvános hálózati hozzáférés mezőben ellenőrizze az értéket. Alapértelmezés szerint az érték engedélyezve van az összes hálózatból. Módosítsa ezt engedélyezve a kijelölt virtuális hálózatokról és IP-címekről.

4. lépés: Azure Storage-fiók hálózati szabályainak hozzáadása

Ezt a lépést nem kell elvégeznie a munkaterület tárfiókja esetében.

  1. Adjon hozzá egy Azure Storage-fiók hálózati szabályt minden alhálózathoz. Ezt az Azure CLI, a PowerShell, a Terraform vagy más automatizálási eszközök használatával teheti meg. Vegye figyelembe, hogy ez a lépés nem végezhető el az Azure Portal felhasználói felületén.

    Az alábbi példa az Azure CLI-t használja:

    az storage account network-rule add --subscription "<sub>" \
    --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
    • Cserélje le <sub> a tárfiókhoz tartozó Azure-előfizetés nevére.
    • Cserélje le <res> a tárfiók erőforráscsoportjára.
    • Cserélje le <account> a tárfiók nevére
    • Cserélje le <subnet> a kiszolgáló nélküli számítási alhálózat ARM-erőforrás-azonosítójára (resourceId).

    Az összes parancs futtatása után az Azure Portalon megtekintheti a tárfiókot, és ellenőrizheti, hogy van-e olyan bejegyzés a Virtuális hálózatok táblában, amely az új alhálózatot jelöli. Az Azure Portalon azonban nem módosíthatja a hálózati szabályokat.

    Tipp.

    • Tárfiók hálózati szabályainak hozzáadásakor a Network Connectivity API használatával kérje le a legújabb alhálózatokat.
    • Kerülje az NCC-adatok helyi tárolását.
    • Hagyja figyelmen kívül az "Elégtelen engedélyek" szót a végpont állapotoszlopában vagy a hálózati lista alatti figyelmeztetésben. Csak azt jelzik, hogy nincs engedélye az Azure Databricks-alhálózatok olvasására, de nem zavarja, hogy az Azure Databricks kiszolgáló nélküli alhálózata kapcsolatba léphet az Azure Storage-nal.

    Példa új bejegyzésekre a Virtuális hálózatok listában

  2. Ismételje meg ezt a parancsot minden alhálózat esetében egyszer.

  3. Annak ellenőrzéséhez, hogy a tárfiók használja-e ezeket a beállításokat az Azure Portalról, lépjen a tárfiók hálózatkezelésére .

    Ellenőrizze, hogy a nyilvános hálózati hozzáférés engedélyezve van-e a kiválasztott virtuális hálózatokból, és az IP-címek és az engedélyezett hálózatok a Virtuális hálózatok szakaszban jelennek meg.