Megosztás a következőn keresztül:

Az Azure Private Link egyszerűsített telepítésként történő engedélyezése

  • Cikk

Ez a cikk bemutatja, hogyan használható az Azure Private Link a felhasználók és a Databricks-munkaterületek, valamint a klasszikus számítási síkon lévő fürtök és a Databricks-munkaterület infrastruktúráján belüli vezérlősík alapvető szolgáltatásai közötti privát kapcsolatok engedélyezésére.

Feljegyzés

Bevezetés az előtérbeli kapcsolatokba egy szabványos üzembe helyezés során

Ha nyilvános internetkapcsolattal nem rendelkező ügyfelek számára szeretné támogatni az Azure Databricks-webalkalmazás privát előtér-kapcsolatait, hozzá kell adnia egy böngészőhitelesítő privát végpontot az egyszeri bejelentkezés (SSO) bejelentkezési visszahívásainak támogatásához az Azure Databricks-webalkalmazáshoz. Ezek a felhasználói kapcsolatok általában egy olyan virtuális hálózaton keresztül jönnek létre, amely kezeli a helyszíni hálózatokhoz és VPN-ekhez való kapcsolatokat, úgynevezett tranzit virtuális hálózatokat. Az Azure Private Link Databricksbe való integrációjának egyszerűsített üzembehelyezési stílusához azonban tranzit-alhálózatot használ a tranzit virtuális hálózat helyett.

A böngészőhitelesítés privát végpontja egy alerőforrás-típussal browser_authenticationrendelkező privát kapcsolat. Privát kapcsolatot üzemeltet egy átviteli alhálózatról, amely lehetővé teszi, hogy a Microsoft Entra ID átirányítsa a felhasználókat a megfelelő Azure Databricks vezérlősík-példányra való bejelentkezés után.

  • Ha azt tervezi, hogy engedélyezi a felhasználói ügyféltovábbítási hálózat és a nyilvános internet közötti kapcsolatokat, javasoljuk, hogy adjon hozzá egy webböngésző-hitelesítési privát végpontot , de nem szükséges.
  • Ha azt tervezi, hogy letiltja az ügyféltovábbítási hálózatról a nyilvános internetre irányuló kapcsolatokat, hozzá kell adnia egy webböngésző-hitelesítési privát végpontot.

A böngészőhitelesítés privát végpontja a régió összes olyan munkaterülete között meg van osztva, amely ugyanazzal a privát DNS-zónával rendelkezik. Vegye figyelembe azt is, hogy egyes vállalati DNS-megoldások hatékonyan egyetlen regionális privát végpontra korlátozzák a böngészőhitelesítést.

Fontos

A webes hitelesítés magánhálózati beállításainak üzemeltetéséhez a Databricks határozottan javasolja, hogy minden régióhoz hozzon létre egy privát webes hitelesítési munkaterületet . Ez megoldja a munkaterület törlésével kapcsolatos problémát, amely az adott régió más munkaterületeit is érintheti. További környezetért és részletekért lásd : 4. lépés: Privát végpont létrehozása az egyszeri bejelentkezés támogatására a webböngésző-hozzáféréshez.

Hálózati folyamat- és hálózati objektumdiagramok

Az alábbi ábra a private link egyszerűsített üzembe helyezésének tipikus implementációjában a hálózati folyamatot mutatja be:

Azure Private Link hálózati folyamat.

Az alábbi ábra a hálózati objektumarchitektúrát mutatja be:

Azure Private Link hálózati objektumarchitektúra.

Ha ezt a Private Link standard üzembe helyezésével szeretné összehasonlítani, tekintse meg a hálózati folyamat és a hálózati objektum diagramjait

1. lépés: Erőforráscsoportok létrehozása

  1. Az Azure Portalon nyissa meg az erőforráscsoportok panelt.
  2. Kattintson az Erőforráscsoport létrehozása elemre a munkaterület erőforráscsoportjának létrehozásához. Állítsa be az Azure-előfizetést, a régiót és az erőforráscsoport nevét. Kattintson a Véleményezés és létrehozás, majd a Létrehozás gombra.

2. lépés: A munkaterület virtuális hálózatának létrehozása vagy előkészítése

Lehet, hogy már rendelkezik olyan virtuális hálózattal, amelyet használni fog, vagy létrehozhat egy új virtuális hálózatot kifejezetten az Azure Databricks számára.

A virtuális hálózat IP-tartományainak és a munkaterület két szükséges alhálózatának követelményeit az Azure Databricks üzembe helyezése az Azure-beli virtuális hálózaton (VNet-injektálás) című cikkben találja.

Az Azure Databrickshez használt virtuális hálózatok és alhálózati IP-tartományok határozzák meg az egyszerre használható fürtcsomópontok maximális számát. Ezeket az értékeket gondosan válassza ki, hogy megfeleljen a saját szervezet hálózati követelményeinek és a maximális fürtcsomópontoknak, amelyeket az Azure Databricks szolgáltatással egyszerre kíván használni. Lásd: Címtér és fürtcsomópontok maximális száma.

Létrehozhat például egy virtuális hálózatot az alábbi értékekkel:

  • IP-tartomány: Először távolítsa el az alapértelmezett IP-tartományt, majd adja hozzá az IP-tartományt 10.28.0.0/23.
  • Alhálózat public-subnet létrehozása tartománnyal 10.28.0.0/25.
  • Alhálózat private-subnet létrehozása tartománnyal 10.28.0.128/25.
  • Alhálózat private-link létrehozása tartománnyal 10.28.1.0/27. Az egyszerűsített üzembe helyezés során ez a tranzitalhálózat.

3. lépés: Azure Databricks-munkaterület és privát végpontok kiépítése

Helyezzen üzembe egy új Azure Databricks-munkaterületet a következő beállításokkal:

  • A számítási erőforrások hálózatában helyezze üzembe az Azure Databricks-munkaterületet a saját virtuális hálózatában. Ez a funkció az Azure Databricks üzembe helyezése az Azure-beli virtuális hálózaton (VNet-injektálás) néven ismert.
  • Biztonságos fürtkapcsolat (más néven No-Public-IP/NPIP).
  • Private Link-támogatás.

Ha ezekkel a beállításokkal szeretne üzembe helyezni egy munkaterületet, számos lehetőség közül választhat, például egy felhasználói felületet az Azure Portalon, egy egyéni sablont (amelyet a felhasználói felületen, az Azure CLI-vel vagy a PowerShell-lel alkalmazhat) vagy a Terraformmal. Ha egyéni sablont szeretne használni a Private Link-kompatibilis munkaterület létrehozásához, használja ezt a sablont.

A választott megközelítéstől függetlenül gondosan állítsa be ezt a három értéket az új munkaterület létrehozásakor:

  • Nyilvános hálózati hozzáférés (előtérbeli privát kapcsolat esetén) (a sablonban a következőképpen publicNetworkAccess): Szabályozza a Private Link előtér-használati esetének beállításait.
    • Ha ezt (alapértelmezett) értékre Enabled állítja, a nyilvános interneten lévő felhasználók és REST API-ügyfelek hozzáférhetnek az Azure Databrickshez, bár a munkaterületek IP-hozzáférési listáinak konfigurálása használatával korlátozhatja a hozzáférést a jóváhagyott forráshálózatok meghatározott IP-tartományaihoz.
    • Ha ezt a Disabledbeállítást állítja be, annak több következménye is van. A nyilvános internetről nem engedélyezett felhasználói hozzáférés. Az előtérbeli kapcsolat csak privát kapcsolattal érhető el, a nyilvános internetről nem. Az IP-hozzáférési listák nem hatékonyak a Private Link-kapcsolatokon. Ezzel a beállítással engedélyeznie kell a háttérbeli privát hivatkozást is.
    • Ha csak a háttérbeli privát kapcsolatot szeretné használni (nincs előtérbeli privát kapcsolat), a nyilvános hálózati hozzáférést be kell állítania a következőre Enabled: .
  • Kötelező NSG-szabályok (háttérbeli privát kapcsolat esetén) (a sablonban a következőként requiredNsgRules): Lehetséges értékek:
    • Minden szabály (az alapértelmezett): Ez az érték a sablonban a következőként jelenik meg AllRules: . Ez azt jelzi, hogy a munkaterület számítási síkjának olyan hálózati biztonsági csoportra van szüksége, amely azure Databricks-szabályokat tartalmaz, amelyek lehetővé teszik a nyilvános interneten lévő kapcsolatokat a számítási síkról a vezérlősíkra. Ha nem a háttérbeli Private Linket használja, használja ezt a beállítást.
    • Nincs Azure Databricks-szabály: Ez az érték a sablonban a következő NoAzureDatabricksRules: Használja ezt az értéket, ha háttérbeli Private Linket használ, ami azt jelenti, hogy a munkaterület számítási síkjának nincs szüksége hálózati biztonsági csoportszabályokra az Azure Databricks vezérlősíkhoz való csatlakozáshoz. Ha háttérbeli Private Linket használ, használja ezt a beállítást.
  • Engedélyezze a biztonságos fürtfürt-kapcsolatot (nem nyilvános IP-cím/NPIP) (a sablonban a következőként enableNoPublicIp: Mindig igen (true), ami lehetővé teszi a biztonságos fürtkapcsolatot.

A nyilvános hálózati hozzáférés (a sablonbanpublicNetworkAccess) és a szükséges NSG-szabályok (a sablonban) kombinációja határozza meg, requiredNsgRuleshogy milyen típusú privát kapcsolat támogatott.

Az alábbi táblázat a két fő Private Link-használati eset támogatott forgatókönyveit mutatja be, amelyek előtér- és háttérrendszert jelentenek. Ez a tábla csak a Private Link egyszerűsített üzembe helyezésére vonatkozik. A Private Link standard üzembe helyezésével további forgatókönyvek érhetők el.

Eset Nyilvános hálózati hozzáférés beállítása ehhez az értékhez A szükséges NSG-szabályok beállítása erre az értékre A végpontok létrehozása
Nincs privát kapcsolat előtér- vagy háttérrendszerhez Engedélyezve Minden szabály n.a.
Ajánlott konfiguráció: Előtérbeli és háttérbeli privát kapcsolat is. Az előtérbeli kapcsolat zárolva van, hogy privát kapcsolatot igényeljen. Disabled (Letiltva) NoAzureDatabricksRules Egy privát végpont, amely a háttér- és az előtérbeli kapcsolatokhoz is használható. Továbbá, egy böngésző auth privát végpontja régiónként.
Az előtérbeli és a háttérbeli privát kapcsolat is. A hibrid előtérbeli kapcsolat lehetővé teszi a Privát kapcsolat vagy a nyilvános internet használatát, általában a munkaterületek IP-hozzáférési listáinak konfigurálása használatával. Ezt a hibrid megközelítést akkor használja, ha a privát kapcsolatot helyszíni felhasználói hozzáféréshez használja, de engedélyeznie kell bizonyos internetes CIDR-tartományokat. A további tartományok felhasználhatók az Azure-szolgáltatásokhoz, például az SCIM-hez vagy az Azure Machine Learninghez, vagy külső hozzáférést biztosíthatnak a JDBC-hez, a felhőautomatizáláshoz vagy a felügyeleti eszközökhöz. Engedélyezve NoAzureDatabricksRules Egy privát végpont a háttér- és az előtérbeli kapcsolatokhoz. Továbbá, egy böngésző auth privát végpontja régiónként.
Csak előtérbeli privát kapcsolat. Az előtér-kapcsolat zárolva van a private link megkövetelése érdekében (a nyilvános hálózati hozzáférés le van tiltva). Nincs privát hivatkozás a háttérrendszerhez. Ez egy nem támogatott forgatókönyv. Ez egy nem támogatott forgatókönyv. Ez egy nem támogatott forgatókönyv.
Csak előtérbeli privát kapcsolat. A hibrid előtérbeli kapcsolat lehetővé teszi a Privát kapcsolat vagy a nyilvános internet használatát, például az IP-hozzáférési listák munkaterületekhez való konfigurálását. Nincs privát hivatkozás a háttérrendszerhez. Engedélyezve Minden szabály Egy végpont az előtérben (nem kötelező). Továbbá, egy böngésző auth privát végpontja régiónként.

A munkaterület konfigurációs beállításait minden esetben be kell állítania:

  • Tarifacsomag beállítása Prémium értékre (sablonban ez az premiumérték )
  • Állítsa a Nyilvános IP-cím letiltása (biztonságos fürtkapcsolat) beállítást Igen értékre (sablonban ez az érték).true
  • Állítsa az Azure Databricks-munkaterület üzembe helyezését a saját virtuális hálózatán (VNet) Igen értékre (egy sablonban ez az true> érték )

Feljegyzés

Egy munkaterület létrehozásakor általában engedélyeznie kell a Private Linket. Ha azonban már rendelkezik olyan munkaterülettel, amely soha nem rendelkezett Private Link előtér- vagy háttérbeli hozzáféréssel, vagy ha a nyilvános hálózati hozzáférés (Engedélyezve) és a Kötelező NSG-szabályok (Minden szabály) alapértelmezett értékeit használta, később hozzáadhatja az előtérbeli privát kapcsolatot. A nyilvános hálózati hozzáférés azonban továbbra is engedélyezett marad, így csak néhány konfigurációs lehetőség érhető el.

A munkaterület kétféleképpen hozható létre:

A munkaterület és a privát végpontok létrehozása az Azure Portal felhasználói felületén

Az Azure Portal automatikusan tartalmazza a két Privát kapcsolat mezőt (nyilvános hálózati hozzáférés és kötelező NSG-szabályok) egy új Azure Databricks-munkaterület létrehozásakor.

  1. A munkaterület létrehozása saját virtuális hálózattal (VNet-injektálás). Az alhálózatok konfigurálásához és méretéhez kövesse az Azure Databricks Üzembe helyezése az Azure-beli virtuális hálózaton (VNet-injektálás) című szakasz munkaterületi eljárását, de még ne nyomja le a Create billentyűt.

    Állítsa be a következő mezőket:

    1. Állítsa be a tarifacsomagot úgy, premium hogy a felhasználói felületen ne jelenjenek meg a Private Link mezők.
    2. Állítsa be az Azure Databricks-munkaterület üzembe > helyezését biztonságos fürtkapcsolattal (nincs nyilvános IP-cím) (a sablonban Disable Public Ipígy) igen értékre.
    3. Állítsa az Azure Databricks-munkaterület üzembe helyezését a saját virtuális hálózatában (VNet) Igen értékre.>
    4. Állítsa be az alhálózatokat az előző lépésben létrehozott virtuális hálózatnak megfelelően. További részletekért tekintse meg a VNet-injektálásról szóló cikket.
    5. A Private Link-munkaterület mezőinek nyilvános hálózati hozzáférés és kötelező Nsg-szabályok beállítása a 3. lépés forgatókönyvtáblája szerint: Azure Databricks-munkaterület és privát végpontok kiépítése.

    Az alábbi képernyőkép a Private Link-kapcsolat négy legfontosabb mezőjét mutatja be.

    Azure Portal felhasználói felület a munkaterülethez.

  2. Hozzon létre egy privát végpontot, amely a háttér- és az előtérbeli kapcsolathoz egyaránt használható:

    1. Keresse meg az előző képernyőképen látható mezők alatti Privát végpontok szakaszt. Ha nem látja őket, valószínűleg nem állította be a tarifacsomagot Prémium szintre.

      A privát végpontok Azure Portal-listája üresen jelenik meg.

    2. Kattintson a + Hozzáadás gombra.

      Az Azure Portal megjeleníti a Privát végpont létrehozása panelt a létrehozási munkaterületen belül.

      Azure Portal panel privát végpont létrehozásához

      Amikor a munkaterületen belül hozza létre a privát végpontot, az ehhez az objektumtípushoz tartozó Egyes Azure-mezők nem jelennek meg, mert azok automatikusan ki vannak töltve és nem szerkeszthetők. Néhány mező látható, de nem kell szerkeszteni:

      • Az Azure Databricks segéderőforrás-mező látható, és automatikusan ki van töltve a databricks_ui_api értékkel. Ez az erőforrás-részérték a munkaterület aktuális Azure Databricks vezérlősíkját jelöli. Ez az erőforrás-alerőforrásnév-érték a háttér- és az előtérbeli kapcsolatok privát végpontjaihoz is használható.

      • Miután beállította az erőforráscsoportot, a virtuális hálózatot és az alhálózatot, a saját DNS zóna automatikusan fel lesz töltve egy értékkel, ha az Azure által létrehozott beépített DNS-t használja egyéni DNS helyett.

        Fontos

        Előfordulhat, hogy az Azure nem választja ki automatikusan a használni kívánt saját DNS zónát. Tekintse át a saját DNS Zóna mező értékét, és szükség szerint módosítsa.

    3. A hely beállítása a munkaterület régiójának megfelelően. Vegye figyelembe, hogy a háttérbeli privát végpont régiójának és munkaterület-régiójának egyeznie kell, annak ellenére, hogy az előtérbeli privát végpontkapcsolatok esetében a régióknak nem kell egyeznie.

    4. Állítsa be a virtuális hálózatot a munkaterület virtuális hálózatára.

    5. Állítsa be az alhálózatot a munkaterületen a Private Link-specifikus alhálózatra. Ez az alhálózat nem lehet a VNet-injektáláshoz használt standard alhálózatok egyike sem. A kapcsolódó információkért lásd a hálózati követelményeket.

    6. A beépített Azure DNS-sel való tipikus használathoz állítsa az Integrálás privát DNS-zónával igen értékre. A többi utasítás feltételezi, hogy az Igent választotta.

      Ha szervezete saját egyéni DNS-t tart fenn, érdemes lehet ezt Nem értékre állítani, de a folytatás előtt tekintse át ezt a Microsoft-cikket a DNS-konfigurációról. Ha kérdése van, forduljon az Azure Databricks-fiók csapatához.

    7. Kattintson az OK gombra a privát végpont létrehozásához és a munkaterület létrehozási paneljéhez való visszatéréshez.

    8. A munkaterület létrehozásának véglegesítéséhez kattintson a Véleményezés + létrehozás, majd a Létrehozás gombra.

      Várja meg a munkaterület üzembe helyezését, majd kattintson az Erőforrás megnyitása gombra. Ez az Azure Databricks-munkaterület Azure Portal-objektuma.

A munkaterület létrehozása egyéni sablonnal

Ha nem szeretné a szabványos Azure Portal felhasználói felületét használni a munkaterület létrehozásához, használhat sablont a munkaterület üzembe helyezéséhez. A sablon a következőkkel használható:

A Private Linkhez készült all-in-one üzembehelyezési ARM-sablon a következő erőforrásokat hozza létre:

  • Hálózati biztonsági csoportok
  • Erőforráscsoportok
  • Virtuális hálózat, beleértve a munkaterület alhálózatait (a standard két alhálózatot) és a Private Linket (egy további alhálózatot)
  • Azure Databricks-munkaterület
  • Privát kapcsolat végpontja privát DNS-zónával

  1. A sablont közvetlenül a sablon főoldaláról helyezheti üzembe.

  2. Ha közvetlenül szeretné üzembe helyezni, kattintson az Üzembe helyezés az Azure-ban elemre. A forrás megtekintéséhez kattintson a Tallózás gombra a GitHubon.

    Mindkét esetben állítsa be a következő paraméterértékeket a sablonhoz:

    • Állítsa a pricingTier elemet premium értékre. Ha ezt standardhagyja, az Azure Portal elrejti a Private Linkre jellemző konfigurációs mezőket.
    • Állítsa a enableNoPublicIp elemet true értékre
    • Az publicNetworkAccess Azure Databricks-munkaterület és requiredNsgRules a privát végpontok kiépítése a 3. lépésben szereplő táblázat szerint
    • Állítsa be a networkSecurityGroup munkaterület NSG azonosítóját.

  3. Várja meg a munkaterület üzembe helyezését.

  4. Keresse meg a munkaterületet képviselő új Azure Databricks Service-erőforrást. Ez az Azure Databricks-munkaterület Azure Portal-objektuma.

4. lépés: Privát végpont létrehozása az egyszeri bejelentkezés támogatására böngészőhozzáféréshez

Fontos

Hagyja ki ezt a lépést, ha nem implementálja az előtérbeli Private Linket. Ha a régió összes munkaterülete támogatja a Private Link előtérbeli kapcsolatait, és az ügyfélhálózat (az átviteli alhálózat) lehetővé teszi a nyilvános internet-hozzáférést, az ebben a lépésben leírt konfiguráció ajánlott, de nem kötelező.

Az Azure Databricks-webalkalmazás felhasználói hitelesítése az OAuthot használja a Microsoft Entra ID SSO-implementáció részeként. A hitelesítés során a felhasználói böngésző csatlakozik az Azure Databricks vezérlősíkhoz. Emellett az OAuth-folyamathoz hálózati visszahívási átirányításra van szükség a Microsoft Entra ID-ból. Ha az előtér privát kapcsolatát konfigurálta, további konfiguráció nélkül az egyszeri bejelentkezés hálózati átirányítása meghiúsul. Ez azt jelenti, hogy a felhasználók nem tudnak hitelesíteni az Azure Databricksben. Vegye figyelembe, hogy ez a probléma a webalkalmazás felhasználói felületére való felhasználói bejelentkezésre vonatkozik egy előtérbeli kapcsolaton keresztül, de a REST API-kapcsolatokra nem vonatkozik, mert a REST API-hitelesítés nem használ egyszeri bejelentkezéses visszahívásokat.

A webböngésző-hitelesítés támogatásához, ha az ügyfélhálózat (az átviteli alhálózat) nem engedélyezi a nyilvános internethez való hozzáférést, létre kell hoznia egy böngészőhitelesítő privát végpontot, amely támogatja a Microsoft Entra ID egyszeri bejelentkezési (SSO) hitelesítési visszahívásait. A böngészőhitelesítés privát végpontja egy privát végpont, amelynek a neve browser_authenticationalerőforrás. A böngészőhitelesítés privát végpontjának létrehozása miatt az Azure Databricks automatikusan konfigurálja a Microsoft Entra ID-ból való visszahívás DNS-rekordjait az egyszeri bejelentkezés során. A DNS-módosítások alapértelmezés szerint a munkaterület virtuális hálózatához társított privát DNS-zónában történnek.

A több munkaterülettel rendelkező szervezetek számára fontos tisztában lenni azzal, hogy a megfelelően konfigurált hálózati konfiguráció pontosan egy böngészőhitelesítési privát végpont minden egyes Azure Databricks-régióhoz minden privát DNS-zónához. A böngészőhitelesítés privát végpontja a privát webes hitelesítést konfigurálja az ugyanazon privát DNS-zónával azonos régióban található összes Private Link-munkaterülethez.

Ha például 10 éles munkaterülete van az USA nyugati régiójában, amely ugyanazt a privát DNS-zónát használja, egy böngészőhitelesítő privát végponttal fogja támogatni ezeket a munkaterületeket.

Fontos

  • Ha valaki törli azt a munkaterületet, amely az adott régió böngészőhitelesítési privát végpontját üzemelteti, az megszakítja a felhasználói webhitelesítést az adott régió bármely olyan munkaterületén, amely az adott böngészőhitelesítés privát végpontjára és az SSO-visszahívások kapcsolódó DNS-konfigurációjára támaszkodott.
  • A munkaterületek törlési kockázatainak csökkentése és az éles munkaterületek szabványos munkaterület-konfigurációjának ösztönzése érdekében a Databricks határozottan javasolja, hogy minden régióhoz hozzon létre egy privát webes hitelesítési munkaterületet .
  • A nem éles üzemelő példányok esetében egyszerűsítheti a megvalósítást a további privát webes hitelesítési munkaterület kihagyásával. Ebben az esetben a webes hitelesítés végpontja az adott régió egyik másik munkaterületéhez csatlakozik.

A privát webes hitelesítési munkaterület egy olyan munkaterület, amelyet az Azure Databricks-munkaterületekkel azonos régióban hoz létre, és egyetlen célja a böngészőhitelesítés privát végpontkapcsolatának üzemeltetése az adott régióban lévő tényleges éles Azure Databricks-munkaterületekhez. Minden más módon a privát webes hitelesítési munkaterület semmihez sem használható, például nem használja feladatok vagy más számítási feladatok futtatásához. Nincs szükség tényleges felhasználói adatokra vagy bejövő hálózati kapcsolatokra a böngészőhitelesítés privát végpontja kivételével. Úgy konfigurálhatja, hogy ne legyen felhasználói hozzáférése. Ha a munkaterületet úgy állítja be, hogy a nyilvános hálózati hozzáférés le van tiltva, és nem hoz létre előtérbeli privát végpontokat a munkaterületen, a felhasználók nem férhetnek hozzá a munkaterületre való felhasználói bejelentkezéshez.

Ha meg szeretné jeleníteni, hogyan működik a privát webes hitelesítés munkaterülete más objektumokkal a Private Link-kapcsolathoz, tekintse meg a cikk korábbi ábráját.

A privát webes hitelesítési munkaterület visszahívási szolgáltatásként működik a régió összes munkaterületén a felhasználói egyszeri bejelentkezéshez a bejelentkezés során. A normál munkaterületekre való bejelentkezés után a privát webes hitelesítési munkaterület a következő bejelentkezésig nem lesz használatban.

Függetlenül attól, hogy privát webes hitelesítési munkaterületet hoz-e létre, ki kell választania egy munkaterületet a régióban, amely a böngészőhitelesítés privát végpontjának célhelyét fogja üzemeltetni. Az Azure Portalon válasszon ki egy Azure Databricks-munkaterület-objektumot, amely tartalmazza a böngészőhitelesítés privát végpontját. Futásidőben a tényleges hálózati hozzáférés az átviteli alhálózatról a Microsoft Entra-azonosítóra történik. Miután sikeresen bejelentkezett a Microsoft Entra-azonosítóval, a rendszer átirányítja a felhasználó webböngészőjét a megfelelő vezérlősík-példányra.

Tipp.

A Databricks erősen javasolja a privát webes hitelesítési munkaterület konfigurációját, ha több olyan munkaterülete van, amelyek privát DNS-konfigurációval rendelkeznek. A privát webes hitelesítés munkaterületét az alábbi feltételek bármelyike esetén kihagyhatja:

  • Csak egy munkaterülete van a régióban, és biztos benne, hogy később nem fog további munkaterületet hozzáadni.
  • Biztos benne, hogy nem kell törölnie egy munkaterületet sem.
  • Nem éles környezetek.

Ezekben az esetekben hagyja ki a privát webes hitelesítési munkaterületet, és ehelyett válasszon egy éles munkaterületet a böngészőhitelesítés privát végpontjának üzemeltetéséhez. Azonban vegye figyelembe azokat a kockázatokat, amelyek miatt a munkaterület végleges törlése azonnal megakadályozza a felhasználói hitelesítést a régió más, előtérbeli Privát kapcsolat támogatással rendelkező munkaterületei esetében.

Privát végpont létrehozása az egyszeri bejelentkezés támogatásához:

  1. Ajánlott, de nem kötelező lépés: hozzon létre egy privát webes hitelesítési munkaterületet a webhitelesítési szolgáltatás üzemeltetéséhez.

    1. Hozzon létre egy erőforráscsoportot a privát webes hitelesítési munkaterület üzemeltetéséhez. Hozzon létre egyet minden olyan régióhoz, amelyben üzembe helyezte az Azure Databricks-munkaterületeket.

    2. Hozzon létre egy privát webes hitelesítési munkaterületet minden olyan régióhoz, amelyben üzembe helyezte az Azure Databricks-munkaterületeket.

      • Új Azure Databricks-munkaterület létrehozásához használhatja az Azure Portalt, az Azure CLI-t, a PowerShellt vagy a Terraformot.
      • Állítsa be a szintet Prémium értékre.
      • Állítsa be a munkaterület nevét úgy, hogy WEB_AUTH_DO_NOT_DELETE_<region> az ne legyen törölve.
      • Állítsa be a szükséges NSG-szabályokat (requiredNsgRules) az értékre NoAzureDatabricksRules.
      • Állítsa be a biztonságos fürtkapcsolatot (NPIP) (enableNoPublicIp) a következőre Enabled: .
      • Állítsa a régiót ugyanarra a régióra, mint a többi éles munkaterületre.
      • Használjon VNet-injektálást. Hozzon létre vagy használjon a fő munkaterület virtuális hálózatához használt virtuális hálózattól eltérő virtuális hálózatot.
      • Nyilvános hálózati hozzáférés (publicNetworkAccess) beállítása letiltva értékre.
      • Ne helyezzen azure Databricks-számítási feladatot erre a munkaterületre.
      • A böngészőhitelesítési privát végponton kívül ne adjon hozzá privát végpontokat. Például ne hozzon létre privát végpontot az databricks_ui_api alerőforrással, amely lehetővé tenné az előtér- vagy háttérkapcsolatokat a munkaterülethez, ami nem szükséges.

      A munkaterület virtuális hálózatok injektálásával történő üzembe helyezéséről további információt az Azure Databricks üzembe helyezése az Azure-beli virtuális hálózaton (VNet-injektálás) című témakörben talál.

      A munkaterület létrehozásához használhatja a szabványos all-in-one ARM-sablont , és követheti a munkaterület konfigurációjához fent felsorolt követelményeket.

    3. A privát webes hitelesítési munkaterület létrehozása után állítsa be a zárolást, hogy megakadályozza a munkaterület törlését. Lépjen az Azure Databricks szolgáltatáspéldányra az Azure Portalon. A bal oldali navigációs sávon kattintson a Zárolások elemre. Kattintson a +Hozzáadás gombra. Állítsa be a zárolás típusát Törlés értékre. Adjon nevet a zárolásnak. Kattintson az OK gombra.

      Munkaterület zárolása.

  2. Az Azure Portalon keresse meg a munkaterületet képviselő Azure Databricks Service-példányt.

    • Ha privát webes hitelesítési munkaterületet használ, nyissa meg a privát webes hitelesítési munkaterület Azure Databricks Service-példányobjektumát.
    • Ha nem privát webes hitelesítési munkaterületet használ, válasszon egy olyan munkaterületet, amely a webes hitelesítés privát végpontjának üzemeltetését fogja használni. Ne feledje, hogy a munkaterület törlése törli azokat a DNS-rekordokat, amelyek a privát kapcsolat előtérkapcsolatait használó régió összes többi munkaterületéhez szükségesek. Nyissa meg a munkaterület Azure Databricks Service-példányának paneljét az Azure Portalon.

  3. Válassza a Beállítások>hálózatkezelés>privát végpontkapcsolatok lehetőséget.

  4. A + Hozzáadás gombra kattintva hozzon létre egy privát végpontot ehhez a munkaterülethez.

  5. Az Azure Portal megjeleníti a Privát végpont létrehozása panelt a munkaterület-létrehozási folyamaton belül.

    Hozzon létre egy privát végpontot.

  6. Az Erőforrás lépésben állítsa a Cél alerőforrás mezőt browser_authentication értékre.

    Vegye figyelembe, hogy az erőforrástípus és az erőforrásmezők automatikusan hivatkoznak a szerkesztett Azure Databricks Service-munkaterületpéldányra.

    A böngészőhitelesítési alerőforrás beállítása

  7. A Virtuális hálózat lépésben:

    Állítsa be a privát végpont virtuális hálózatát.

    1. Állítsa be a virtuális hálózatot az átviteli alhálózatot tartalmazó virtuális hálózatra. A cikkben ismertetett javaslatokat követve ez lenne a munkaterület virtuális hálózata.
    2. Állítsa be az alhálózatot az átviteli alhálózatra.

  8. A DNS-lépésben:

    Állítsa be a privát végpont DNS-ét.

    • A beépített Azure DNS-sel való tipikus használathoz állítsa az Integrálás privát DNS-zónával igen értékre.

      Ha szervezete saját egyéni DNS-t tart fenn, a privát DNS-zónával való integrációt nem értékre állíthatja, de a folytatás előtt olvassa el ezt a Microsoft-cikket a DNS-konfigurációról. Ha kérdése van, forduljon az Azure Databricks-fiók csapatához.

      A cikkben szereplő többi utasítás feltételezi, hogy az Igent választotta.

    • Ellenőrizze, hogy az Erőforráscsoport mező a megfelelő erőforráscsoportra van-e beállítva. Lehet, hogy előre ki lett töltve a megfelelő erőforráscsoportba, de ez nem garantált. Állítsa be ugyanarra a virtuális hálózatra, mint az előtérbeli privát végpont.

      Fontos

      Ez a helytelen konfigurálás gyakori lépése, ezért ezt a lépést gondosan végezze el.

  9. Kattintson az OK gombra a privát végpont létrehozásához.

  10. Ha integrálva van a beépített Azure DNS-sel, ellenőrizheti, hogy a DNS-t automatikusan konfigurálta-e a létrehozott böngészőhitelesítési privát végpont. Ha például a privát DNS-zónán belül tekint meg, egy vagy több új A rekord jelenik meg, amelyekben a név végződik .pl-auth. Ezek olyan rekordok, amelyek a régióban található összes vezérlősík-példány SSO-visszahívásait képviselik. Ha egynél több Azure Databricks vezérlősík-példány található ebben a régióban, több A rekord is lesz.

Egyéni DNS

Ha egyéni DNS-t használ, győződjön meg arról, hogy a megfelelő DNS-konfiguráció konfigurálva van az egyszeri bejelentkezéses hitelesítési visszahívások támogatására. Útmutatásért forduljon az Azure Databricks-fiók csapatához.

Ha előtérbeli privát végpontot használ, és a felhasználók egy olyan átviteli alhálózatról érik el az Azure Databricks-munkaterületet, amelyhez egyéni DNS-t engedélyezett, engedélyeznie kell a munkaterület privát végpontJÁNAK IP-címét ahhoz, hogy a munkaterület URL-címével elérhető legyen.

Előfordulhat, hogy feltételes továbbítást kell konfigurálnia az Azure-ba, vagy létre kell hoznia egy DNS-rekordot A a munkaterület URL-címéhez egyéni DNS-ben (helyszíni vagy belső DNS-ben). A Private Link-kompatibilis szolgáltatásokhoz való hozzáférés engedélyezéséről az Azure Private Endpoint DNS-konfigurációját ismertető cikkben talál részletes útmutatást.

Ha például közvetlenül leképezi az erőforrás URL-címeit a belső DNS előtérbeli privát végponti IP-címére, két bejegyzésre van szüksége:

  • Egy DNS-rekord A leképozza a munkaterületenkénti URL-címet (adb-1111111111111.15.azuredatabricks.net) az előtérbeli privát végpont IP-címére.

  • Egy vagy több DNS-rekord A megfelelteti a Microsoft Entra ID OAuth-folyamat válasz URL-címét például az előtérbeli privát végpont IP-címére westus.pl-auth.azuredatabricks.net. Mivel egy régió több vezérlősík-példányt is tartalmazhat, előfordulhat, hogy több A rekordot kell hozzáadnia, egyet az egyes vezérlősík-példányokhoz.

    Feljegyzés

    Ha egyéni DNS-t használ, a használni kívánt régióhoz szükséges vezérlősík-példánytartományok lekéréséhez forduljon az Azure Databricks-fiók csapatához. Egyes régiókban több vezérlősík-példány is van.

A munkaterület privát végponthoz való hozzáféréséhez szükséges egyedi A rekordokon kívül régiónként legalább egy OAuth(browser_authentication) DNS-rekordot kell konfigurálnia. Ez az OAuth-alapú privát ügyfélhozzáférést biztosítja a régió összes munkaterületéhez, mivel a browser_authentication vezérlősík privát végpontja meg van osztva az adott régió munkaterületei között.

Másik lehetőségként engedélyezheti az OAuth-forgalom kimenő forgalmát a nyilvános hálózaton keresztül, ha a nyilvános internethez való hozzáférés engedélyezve van, és ha az összes üzleti egységhez egyetlen felhasználó–munkaterület privát végpont IP-címének megosztása problémát okozna a gyakori DNS miatt.

A konfigurációk előkészítése után hozzá kell férnie az Azure Databricks-munkaterülethez, és fürtöket kell indítania a számítási feladatokhoz.

5. lépés: Felhasználói egyszeri bejelentkezés hitelesítésének tesztelése a munkaterületen

Tesztelnie kell a hitelesítést az új munkaterületen. A kezdeti hitelesítési kísérlethez indítsa el a munkaterületet az Azure Portalon. A munkaterület-objektumon van egy gomb , a Munkaterület indítása, ami fontos. Ha rákattint rá, az Azure Databricks megpróbál bejelentkezni a munkaterületre, és kiépíteni a kezdeti munkaterületi rendszergazdai felhasználói fiókot. Fontos tesztelni a hitelesítést, hogy a munkaterület megfelelően működjön.

  1. Kattintson a Munkaterület indítása gombra.

  2. Tesztelje a hálózati hozzáférést az átviteli alhálózatról vagy a vele társviszonyban lévő hálózati helyről. Ha például a helyszíni hálózat rendelkezik hozzáféréssel az átviteli alhálózathoz, ellenőrizheti a felhasználói egyszeri bejelentkezést a helyszíni hálózatról. Győződjön meg arról, hogy a teszthálózatról a tranzit alhálózatra irányuló hálózati hozzáférés van.

    Ha nem olyan hálózati helyen tartózkodik, amely hozzáfér az átviteli alhálózathoz, tesztelheti a kapcsolatot úgy, hogy létrehoz egy virtuális gépet az átviteli alhálózatban, vagy egy hálózati helyet, amely elérheti azt. Használjon például Egy Windows 10 rendszerű virtuális gépet:

    1. Nyissa meg az Azure Portal Virtuális gép paneljét.
    2. Hozzon létre egy Windows 10 rendszerű virtuális gépet a teszt virtuális hálózaton és az alhálózaton.
    3. Csatlakozzon hozzá egy RDP-ügyféllel, például Microsoft Távoli asztal.

  3. A virtuális gépen vagy más tesztszámítógépen belül egy webböngésző használatával csatlakozzon az Azure Portalhoz, és indítsa el a munkaterületet.

    1. Az Azure Portalon keresse meg az Azure Databricks-munkaterület objektumot.
    2. A Munkaterület indítása gombra kattintva elindíthat egy ablaklapot, amely az Azure Databricksbe naplózza az Azure Portalra való bejelentkezéshez használt felhasználói azonosítójával.
    3. Győződjön meg arról, hogy a bejelentkezés sikeres.

Hitelesítés hibaelhárítása

Hiba: Ha a következő üzenet jelenik meg: "A konfigurált adatvédelmi beállítások nem engedélyezik a munkaterület <your-workspace-id> elérését az aktuális hálózaton keresztül. További információért forduljon a rendszergazdához."

Ez a hiba valószínűleg a következőt jelenti:

  • A munkaterülethez a nyilvános interneten keresztül csatlakozik (nem privát kapcsolatból).
  • Úgy konfigurálta a munkaterületet, hogy ne támogassa a nyilvános hálózati hozzáférést.

Tekintse át a szakasz korábbi lépéseit.

Hiba: "Böngészőhiba a DNS_PROBE_FINISHED_NXDOMAIN hibakóddal

Ez a hiba azt jelenti, hogy egy felhasználó bejelentkezése az Azure Databricks-webalkalmazásba sikertelen volt, mert nem találta a megfelelő DNS-konfigurációt az Azure Databricks vezérlősík-példányához a célrégióban. A névre <control-plane-instance-short-name>.pl-auth ható DNS-rekord nem található. Előfordulhat, hogy helytelenül konfigurálta a böngészőhitelesítő privát végpontot. Tekintse át újra a szakaszt a 4. lépésben : Hozzon létre egy privát végpontot, amely támogatja az egyszeri bejelentkezést a webböngésző-hozzáféréshez. Ha kérdése van, forduljon az Azure Databricks-fiók csapatához.

Ha hozzáadott egy háttérbeli Privát kapcsolat kapcsolatot, fontos tesztelni, hogy megfelelően működik-e. Az Azure Databricks-webalkalmazásba való bejelentkezés nem teszteli a háttérkapcsolatot.

  1. Ha még nem jelentkezett be az Azure Databricks-munkaterületre, jelentkezzen be újra a munkaterület URL-címével, vagy az Azure Databricks Service-példány Munkaterület indítása gombjáról az Azure Portalon.

  2. A bal oldali navigációs sávon kattintson a Számítás gombra

  3. Kattintson a Fürt létrehozása gombra, írja be a fürt nevét, majd kattintson a Fürt létrehozása parancsra. A fürtök létrehozásával kapcsolatos további információkért tekintse meg a számítási konfigurációra vonatkozó referenciát.

    Várjon, amíg a fürt sikeresen elindul. Több percig is eltarthat. Frissítse a lapot, hogy megkapja a legújabb állapotot.

    Ha nem indul el, a fürtoldalon kattintson az Eseménynapló elemre, és tekintse át a legújabb bejegyzéseket. A Private Link tipikus helytelen konfigurációja esetén az eseménynapló a következőhöz hasonló hibát tartalmaz 10–15 perces várakozás után:

    Cluster terminated. Reason: Control Plane Request Failure

    Ha ez a hiba jelenik meg, gondosan tekintse át újra a cikkben szereplő utasításokat. Ha kérdése van, forduljon az Azure Databricks-fiók csapatához.

Privát végpontokkal rendelkező Azure Databricks-munkaterület törlése

Fontos

Ha az ajánlott, de nem kötelező üzembe helyezési stílust használja, amely privát webes hitelesítési munkaterületet használ, fontos, hogy soha ne törölje a munkaterületet vagy a böngésző hitelesítési privát végpontját, amely a munkaterülethez van társítva. Lásd a 4. lépést: Hozzon létre egy privát végpontot, amely támogatja az egyszeri bejelentkezést a webböngésző-hozzáféréshez.

Az Azure letiltja egy Azure Databricks-munkaterület törlését, ha rendelkezik privát végpontokkal.

Fontos

Az Azure Databricks-munkaterület törlése előtt törölnie kell a privát végpontokat.

  1. Az Azure Portalon nyissa meg a munkaterületet képviselő Azure Databricks Service-példányt.
  2. A bal oldali navigációs sávon kattintson a Beállítások hálózatkezelés parancsra>.
  3. Kattintson a Privát végpont kapcsolatai fülre.
  4. Ha nem privát webes hitelesítési munkaterületet használ, ellenőrizze, hogy a szervezet OAuth CNAME-hivatkozásként használja-e ezt a munkaterületet, és meg lehet-e osztani más olyan munkaterületekkel, amelyek ugyanazt a vezérlősík-példányt használják. Ha igen, mielőtt törölne minden olyan privát végpontot, amely a munkaterület CNAME-jára támaszkodhat, konfigurálja a másik munkaterület hálózati objektumait, hogy a CNAME továbbra is érvényes zónarekordra A mutatjon egy másik munkaterületről. Lásd a 4. lépést: Hozzon létre egy privát végpontot, amely támogatja az egyszeri bejelentkezést a webböngésző-hozzáféréshez.
  5. Minden privát végpontnál jelölje ki a sort, és kattintson az Eltávolítás ikonra. Az Igen gombra kattintva erősítse meg az eltávolítást.

Ha elkészült, törölheti a munkaterületet az Azure Portalról.

Függőben lévő jóváhagyás vagy függőben lévő privát végpontok jóváhagyása

Ha az átviteli alhálózat privát végpontját létrehozó Azure-felhasználó nem rendelkezik tulajdonosi/közreműködői engedélyekkel a munkaterülethez, a munkaterület tulajdonosi/közreműködői engedélyekkel rendelkező külön felhasználónak manuálisan kell jóváhagynia a privát végpontlétrehozás kérését, mielőtt engedélyezve lenne.

A kapcsolati állapotok a következők:

  • Jóváhagyva: A végpont jóvá van hagyva, és nincs szükség további műveletre.
  • Függőben: A végponthoz tulajdonosi/közreműködői engedélyekkel rendelkező felhasználó jóváhagyása szükséges.
  • Leválasztva: A végpont, mert a kapcsolathoz kapcsolódó objektum törölve lett.
  • Elutasítva: A végpont el lett utasítva.

A kapcsolat állapotának ellenőrzése:

  1. Az Azure Portalon keresse meg a munkaterületet, amely egy vagy több privát végpontot tartalmaz, amelyeket nemrég hozott létre.

  2. Kattintson a Hálózatkezelés elemre.

  3. Kattintson a Privát végpont kapcsolatai fülre.

  4. A végpontok listájában tekintse meg a Kapcsolat állapota oszlopot.

    • Ha mindegyik rendelkezik a jóváhagyott kapcsolatállapot-értékkel, a privát végpont jóváhagyásához nincs szükség műveletre.
    • Ha bármelyik értéke függőben van, a munkaterület tulajdonosi/közreműködői engedélyekkel rendelkező személy jóváhagyására van szükség.

  5. Ha rendelkezik tulajdonosi/közreműködői engedélyekkel a munkaterülethez:

    1. Jelöljön ki egy vagy több függőben lévő végpontsort.

    2. Ha jóváhagyja a kapcsolatot, kattintson a Jóváhagyás gombra.

      Ha nem ért egyet a kapcsolattal, kattintson az Elutasítás gombra.

    Ha nem rendelkezik tulajdonosi/közreműködői engedélyekkel a munkaterülethez, forduljon a munkaterület rendszergazdájához a kapcsolat jóváhagyásához.