Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A Databricks Apps támogatja a részletes hálózatvezérlést, hogy biztonságossá és kezelhető legyen, hogyan kommunikál az alkalmazás az internettel és a belső erőforrásokkal. A bejövő (bejövő) és kimenő (kimenő) forgalmi szabályokat ip-hozzáférési listák, előtérbeli privát kapcsolatok és hálózati szabályzatok kombinációjával is konfigurálhatja.
Hálózati architektúra
Az Azure Databricks alkalmazásokat helyez üzembe a kiszolgáló nélküli számítási síkon, ahol közvetlenül fogadják a forgalmat. Ez hasonló más útvonaloptimalizált szolgáltatásokhoz, például a modellszolgáltatáshoz és a vektorkereséshez.
A csatlakozási folyamat a következőképpen működik:
- Az Azure Databricks-alkalmazáshoz érkező kezdeti felhasználói kérések OAuth-hitelesítést kezdeményeznek a vezérlősíkkal a munkamenet ellenőrzéséhez és az alkalmazáshoz való hozzáférés engedélyezéséhez.
- Sikeres hitelesítés esetén a rendszer az összes további kérést közvetlenül a kiszolgáló nélküli számítási síkra irányítja anélkül, hogy áthalad a vezérlősíkon.
A kiszolgáló nélküli számítási síkhoz konfigurált hálózati biztonsági szabályzatok a Databricks Apps-forgalomra vonatkoznak. Ide tartoznak az IP-hozzáférési listák és az előtérbeli privát kapcsolati konfigurációk.
Bejövőforgalom-vezérlők
Az alábbi funkciókkal korlátozhatja az Azure Databricks-munkaterülethez és -alkalmazásokhoz való hozzáférést a nyilvános internetről.
- IP-hozzáférési listák: A munkaterület és az alkalmazás hozzáférésének korlátozása ismert és megbízható IP-tartományokhoz az IP-hozzáférési listák munkaterületszinten való engedélyezésével. Csak a konfigurált IP-tartományokból érkező forgalom engedélyezett. További információ: IP-hozzáférési listák konfigurálása munkaterületekhez.
Előtérbeli privát kapcsolat: Átirányíthatja a bejövő forgalmat egy Azure Private Link-kapcsolaton keresztül, hogy biztonságosan elérhesse az alkalmazásokat a virtuális hálózaton keresztül.
Be kell állítania a feltételes DNS-továbbítást a
databricksapps.comtartományhoz, hogy a névfeloldás megfelelő legyen a privát kapcsolaton keresztül. Ellenkező esetben előfordulhat, hogy az alkalmazás tartományához tartozó DNS-lekérdezések a privát végpont helyett nyilvános IP-címekre lesznek feloldva. A beállítási utasításokért tekintse meg a bejövő privát kapcsolat konfigurálását ismertető cikket.A Databricks Apps nem támogatja az örökölt regionális URL-címeket, mert nem támogatják az OAuthot, amely az alkalmazáshitelesítéshez szükséges. További részletekért lásd: Régi regionális URL.
Kimenő forgalom ellenőrzései
Az alkalmazásból érkező kimenő forgalom szabályozásához hozzon létre egy hálózati kapcsolati konfigurációt (NCC), és alkalmazza a hálózati szabályzatokat az alkalmazást üzemeltető munkaterületre.
Hálózati kapcsolat konfigurációi
Hálózati kapcsolati konfigurációval biztonságosan csatlakoztathatja az alkalmazást az Azure-szolgáltatásokhoz. Az NCC-k stabil alhálózati azonosítókat biztosítanak, amelyeket hozzáadhat egy tárfiók tűzfalához az alkalmazás és más kiszolgáló nélküli számítás explicit engedélyezéséhez.
A magáncélokra irányuló kimenő forgalom további korlátozásához konfiguráljon kiszolgáló nélküli privát végpontokat az Azure-erőforrásokhoz, vagy irányítsa a forgalmat egy Azure-terheléselosztón keresztül a virtuális hálózaton.
Hálózati szabályzatok
A databricks-alkalmazásokra és más kiszolgáló nélküli számítási feladatokra vonatkozó kimenő forgalomkorlátozások hálózati szabályzatok használatával kényszeríthető ki. Ez akkor hasznos, ha meg kell felelnie a kimenő kapcsolatok szabályozására vonatkozó szervezeti vagy megfelelőségi követelményeknek.
Megjegyzés:
A hálózati szabályzatok csak a Prémium szinten érhetők el.
Hálózati szabályzat alkalmazása, ha az alkalmazás:
- Korlátoznia kell a hozzáférést egy bizonyos jóváhagyott külső tartományhoz
- Meg kell akadályozni a véletlen adatkiszivárgást
- Meg kell felelnie a kimenő internetes forgalmat korlátozó biztonsági vagy megfelelőségi szabványoknak
Ajánlott eljárások a hálózati szabályzatok konfigurálásához
Kövesse az alábbi irányelveket a nem szándékos fennakadások elkerülése érdekében, és győződjön meg arról, hogy az alkalmazások hozzáférhetnek a szükséges erőforrásokhoz:
- Csak a szükséges célállomások engedélyezzük. Adjon hozzá teljes tartományneveket (FQDN-eket) az alkalmazás által igényelt nyilvános vagy privát erőforrásokhoz.
- Szükség szerint foglalja bele a csomagtárolókat. Ha az alkalmazás nyilvános Python- vagy Node.js-csomagokat telepít, lehetősége van olyan tartományok engedélyezésére, mint például
pypi.orga Pythonhoz, vagyregistry.npmjs.orga Node-hoz. Előfordulhat, hogy az alkalmazás további vagy eltérő tartományokat igényel az adott függőségek függvényében. Ezek nélkül az adattárak azrequirements.txtvagypackage.jsonalkalmazásokra támaszkodó build-ek sikertelenek lehetnek. - A hálózati szabályzat érvényesítéséhez használjon száraz üzemmódot. Ez a mód a forgalom blokkolása nélkül szimulálja a szabályzatok kikényszerítését.
- Tekintse át az elutasított kapcsolati kísérleteket a táblával
system.access.outbound_network. Ez segít azonosítani azokat a tartományokat, amelyeket esetleg engedélyeznie kell. Lásd: Elutasítási naplók ellenőrzése.
- Adjon hozzá minden szükséges külső tartományt, például a Unity Catalogban nem regisztrált megbízható API-kat vagy Azure Storage-fiókokat.
Titkosítás és forgalomirányítás
A Databricks Apps dedikált útválasztási útvonalakat és több titkosítási réteget használ a hálózati kommunikáció védelméhez és az adatok védelméhez.
Forgalom útválasztása
Az Azure Databricks vezérlősíkja, számítási síkja, más Azure Databricks-erőforrások és felhőszolgáltatások közötti forgalom a felhőszolgáltató globális hálózatán halad át, és nem lépi át a nyilvános internetet.
A felhasználók és a databricksapps.com közötti forgalom a felhasználó hálózati helyétől függően esetenként a nyilvános interneten keresztül haladhat. A nyilvános internetes útválasztás elkerülése érdekében konfigurálja az előtérbeli privát kapcsolatot.
Titkosítás átvitel közben
Az alkalmazásokba és az alkalmazásokból érkező összes hálózati kommunikáció titkosítva van:
-
Felhasználói forgalom: A felhasználók közötti kommunikáció és
databricksapps.coma Transport Layer Security (TLS) 1.3 titkosítást használja. - Vezérlősík-forgalom: Az Azure Databricks vezérlősíkja és a számítási sík közötti kommunikáció kölcsönös TLS-t (mTLS) használ a felügyeleti műveletekhez, beleértve az alkalmazások létrehozását, frissítéseit és törlését.
Adatok tárolás közbeni titkosítása
A Databricks Apps a következő módszerekkel titkosítja a tárolt adatokat:
- Alkalmazáskód: Az Azure Databricks az alkalmazáskódot munkaterületfájlokban tárolja, és ugyanazt a titkosítást használja, mint a jegyzetfüzetek és más munkaterületi fájlok.
- Számítási tárterület: Az alkalmazások rövid élettartamú gazdagép operációsrendszer-lemezeket használnak, amelyek az AES-256-tal és a felhőszolgáltató alapértelmezett titkosítási implementációjával titkosítottak.