Az Azure Databricks felhasználó által megadott útvonal-beállításai
Ha az Azure Databricks-munkaterület a saját virtuális hálózatán (VNet) van üzembe helyezve, egyéni útvonalakat, más néven felhasználó által megadott útvonalakat (UDR) használhat annak biztosítására, hogy a hálózati forgalom megfelelően legyen irányítva a munkaterületen. Ha például a virtuális hálózatot a helyszíni hálózathoz csatlakoztatja, előfordulhat, hogy a forgalmat a helyszíni hálózaton keresztül irányítják, és nem tudják elérni az Azure Databricks vezérlősíkját. A felhasználó által megadott útvonalak megoldhatják ezt a problémát.
Szüksége van egy UDR-re a virtuális hálózatról érkező kimenő kapcsolatok minden típusához. Az Azure-szolgáltatáscímkék és az IP-címek használatával is definiálhat hálózati hozzáférés-vezérléseket a felhasználó által megadott útvonalakon. A Databricks az Azure-szolgáltatáscímkék használatát javasolja az IP-változások miatti szolgáltatáskimaradások megelőzésére.
Felhasználó által definiált útvonalak konfigurálása Azure-szolgáltatáscímkékkel
A Databricks azt javasolja, hogy azure-szolgáltatáscímkéket használjon, amelyek egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét. Ez segít megelőzni az IP-változások miatti szolgáltatáskimaradásokat, és nem szükséges rendszeresen megkeresni ezeket az IP-címeket, és frissíteni őket az útvonaltáblában. Ha azonban a szervezeti szabályzatok nem engedélyezik a szolgáltatáscímkéket, igény szerint IP-címként is megadhatja az útvonalakat.
A szolgáltatáscímkék használatával a felhasználó által megadott útvonalaknak az alábbi szabályokat kell használniuk, és az útvonaltáblát a virtuális hálózat nyilvános és privát alhálózataihoz kell társítania.
Forrás | Címelőtag | A következő ugrás típusa |
---|---|---|
Alapértelmezett | Azure Databricks szolgáltatáscímke | Internet |
Alapértelmezett | Azure SQL-szolgáltatás címkéje | Internet |
Alapértelmezett | Azure Storage-szolgáltatás címkéje | Internet |
Alapértelmezett | Azure Event Hubs szolgáltatáscímke | Internet |
Feljegyzés
Hozzáadhatja a Microsoft Entra ID szolgáltatáscímkét, hogy megkönnyítse a Microsoft Entra ID-hitelesítést az Azure Databricks-fürtökről az Azure-erőforrásokba.
Ha az Azure Private Link engedélyezve van a munkaterületen, az Azure Databricks szolgáltatáscímkéje nem szükséges.
Az Azure Databricks szolgáltatáscímke az Azure Databricks vezérlősíkhoz, a biztonságos fürtkapcsolathoz (SCC) és az Azure Databricks-webalkalmazáshoz szükséges kimenő kapcsolatok IP-címét jelöli.
Az Azure SQL-szolgáltatáscímke az Azure Databricks-metaadattárhoz szükséges kimenő kapcsolatok IP-címeit jelöli, az Azure Storage szolgáltatáscímkéje pedig az összetevő Blob Storage és a log Blob Storage IP-címeit jelöli. Az Azure Event Hubs szolgáltatáscímkéje az Azure Event Hubba való naplózáshoz szükséges kimenő kapcsolatokat jelöli.
Egyes szolgáltatáscímkék részletesebb szabályozást teszik lehetővé az IP-tartományok adott régióra való korlátozásával. Egy Azure Databricks-munkaterület útvonaltáblája például az USA nyugati régióiban a következőképpen nézhet ki:
Név | Címelőtag | A következő ugrás típusa |
---|---|---|
adb-servicetag | AzureDatabricks | Internet |
adb-metastore | Sql.WestUS | Internet |
adb-storage | Storage.WestUS | Internet |
adb-eventhub | EventHub.WestUS | Internet |
A felhasználó által definiált útvonalakhoz szükséges szolgáltatáscímkék lekéréséhez lásd : Virtuális hálózati szolgáltatáscímkék.
Felhasználó által megadott útvonalak konfigurálása IP-címekkel
A Databricks javasolja az Azure-szolgáltatáscímkék használatát, de ha a szervezeti szabályzatok nem engedélyezik a szolgáltatáscímkéket, ip-címekkel határozhatja meg a felhasználó által megadott útvonalak hálózati hozzáférés-vezérlését.
A részletek attól függően változnak, hogy engedélyezve van-e a biztonságos fürtkapcsolat (SCC) a munkaterületen:
- Ha engedélyezve van a biztonságos fürtkapcsolat a munkaterületen, szüksége van egy UDR-re, amely lehetővé teszi a fürtök számára, hogy csatlakozzanak a biztonságos fürtkapcsolat-továbbítóhoz a vezérlősíkon. Ügyeljen arra, hogy a régióhoz tartozó SCC-továbbítási IP-címként megjelölt rendszereket is tartalmazza.
- Ha a munkaterületen a biztonságos fürtkapcsolat le van tiltva , a vezérlősík NAT-jából bejövő kapcsolat jön létre, de az alacsony szintű TCP SYN-ACK a kapcsolathoz technikailag olyan kimenő adatok, amelyekhez UDR szükséges. Ügyeljen arra, hogy a régióhoz tartozó vezérlősík NAT-IP-címeként megjelölt rendszereket is tartalmazza.
A felhasználó által megadott útvonalaknak az alábbi szabályokat kell használniuk, és az útvonaltáblát a virtuális hálózat nyilvános és privát alhálózataihoz kell társítania.
Forrás | Címelőtag | A következő ugrás típusa |
---|---|---|
Alapértelmezett | Vezérlősík NAT IP-címe (ha az SCC le van tiltva) | Internet |
Alapértelmezett | SCC-továbbítás IP-címe (ha az SCC engedélyezve van) | Internet |
Alapértelmezett | Webapp IP-címe | Internet |
Alapértelmezett | Metaadattár IP-címe | Internet |
Alapértelmezett | Artifact Blob Storage IP-címe | Internet |
Alapértelmezett | Log Blob storage IP | Internet |
Alapértelmezett | Munkaterület tárolási IP-címe – Blob Storage-végpont | Internet |
Alapértelmezett | Munkaterület tárolási IP-címe – ADLS gen2 (dfs ) végpont |
Internet |
Alapértelmezett | Event Hubs IP-címe | Internet |
Ha az Azure Private Link engedélyezve van a munkaterületen, a felhasználó által megadott útvonalaknak az alábbi szabályokat kell használniuk, és az útvonaltáblát a virtuális hálózat nyilvános és privát alhálózataihoz kell társítania.
Forrás | Címelőtag | A következő ugrás típusa |
---|---|---|
Alapértelmezett | Metaadattár IP-címe | Internet |
Alapértelmezett | Artifact Blob Storage IP-címe | Internet |
Alapértelmezett | Log Blob storage IP | Internet |
Alapértelmezett | Event Hubs IP-címe | Internet |
A felhasználó által definiált útvonalakhoz szükséges IP-címek lekéréséhez használja az Azure Databricks-régiók tábláit és utasításait, különösen a következőt: