Tűzfaltámogatás engedélyezése a munkaterület tárfiókjához
Új Azure Databricks-munkaterület létrehozásakor egy Azure-tárfiók jön létre egy felügyelt erőforráscsoportban, más néven a munkaterület tárfiókjában. A munkaterület tárfiókja tartalmazza a munkaterület rendszeradatait (feladat kimenetét, rendszerbeállításait és naplóit), a DBFS-gyökerét és bizonyos esetekben a Unity Catalog munkaterület-katalógusát. Ez a cikk azt ismerteti, hogyan korlátozhatja a munkaterület tárfiókjához való hozzáférést csak a jogosult erőforrásokból és hálózatokból ARM-sablon használatával.
Mi a tűzfal támogatása a munkaterület tárfiókjához?
A munkaterület tárfiókjának Azure Storage-fiókja alapértelmezés szerint minden hálózat hitelesített kapcsolatait fogadja el. Ezt a hozzáférést korlátozhatja a munkaterület tárfiókjának tűzfaltámogatásának engedélyezésével. Ez biztosítja, hogy a nyilvános hálózati hozzáférés ne legyen engedélyezve, és a munkaterület tárfiókja nem érhető el jogosulatlan hálózatokról. Ezt akkor érdemes konfigurálni, ha a szervezet olyan Azure-szabályzatokkal rendelkezik, amelyek biztosítják, hogy a tárfiókok privátak legyenek.
Ha a munkaterület tárfiókjának tűzfaltámogatása engedélyezve van, az Azure Databricksen kívüli szolgáltatásokhoz való hozzáférésnek jóváhagyott privát végpontokat kell használnia a Private Link használatával. Az Azure Databricks létrehoz egy hozzáférési összekötőt a tárolóhoz való csatlakozáshoz egy Felügyelt Azure-identitás használatával. Az Azure Databricks kiszolgáló nélküli SQL-raktáraiból való hozzáférésnek szolgáltatásvégpontokat vagy privát végpontokat kell használnia.
Feljegyzés
A modellkiszolgáló nem támogatott a munkaterület tárfiókjának tűzfaltámogatásával.
Követelmények
A munkaterületnek engedélyeznie kell a virtuális hálózatok injektálását.
Ha új munkaterületet hoz létre, hozzon létre egy virtuális hálózatot és két alhálózatot a virtuális hálózati követelményeknek megfelelően.
A munkaterületnek engedélyeznie kell a biztonságos fürtkapcsolatot (nincs nyilvános IP-cím/ NPIP).
A munkaterületnek a Prémium csomagban kell lennie.
A tárfiók privát végpontjaihoz külön alhálózat szükséges. Ez az alapszintű Azure Databricks-funkciók fő két alhálózata mellett van.
Az alhálózatnak ugyanabban a virtuális hálózatban kell lennie, mint a munkaterület, vagy egy külön virtuális hálózaton, amelyhez a munkaterület hozzáférhet. Használja a minimális méretet
/28
a CIDR-jelölésben.Ha a Cloud Fetch szolgáltatást a Microsoft Fabric Power BI szolgáltatás használja, mindig átjárót kell használnia a munkaterület tárfiókjának privát eléréséhez, vagy le kell tiltania a Cloud Fetch szolgáltatást. Lásd: 3. lépés (ajánlott): Privát végpontok konfigurálása a Cloud Fetch ügyfélhálózataihoz.
1. lépés: A szükséges ARM-sablon üzembe helyezése
- Ha meglévő munkaterületet használ, állítsa le a munkaterület számítási erőforrásait.
- Az Azure Portalon keressen rá, és válassza a lehetőséget
Deploy a custom template
. - Kattintson a Saját sablon létrehozása elemre a szerkesztőben.
- Másolja az ARM-sablont az ARM-sablonból a munkaterület tárfiókjának tűzfaltámogatásához, és illessze be a szerkesztőbe.
- Kattintson a Mentés gombra.
- Mezők áttekintése és szerkesztése. A mezők leírását az ARM-sablonmezőkben találják meg.
- Kattintson a Véleményezés és létrehozás, majd a Létrehozás gombra.
A munkaterület ideiglenesen nem tud jegyzetfüzeteket vagy feladatokat futtatni, amíg létre nem hozza a privát végpontokat.
2. lépés: Privát végpontok létrehozása a tárfiókban
Hozzon létre két privát végpontot a munkaterület tárfiókjához a cél alerőforrás értékeihez használt virtuális hálózatról: dfs
ésblob
.
Az Azure Portalon lépjen a munkaterületre.
Az Essentials területen kattintson a felügyelt erőforráscsoport nevére.
Az Erőforrások területen kattintson a Tárfiók típusú erőforrásra, amelynek a neve ekkor kezdődik
dbstorage
.Az oldalsávon kattintson a Hálózatkezelés elemre.
Kattintson a Privát végpont kapcsolatai elemre.
Kattintson a + Privát végpont elemre.
Az Erőforráscsoport neve mezőben állítsa be az erőforráscsoportot. Ez nem lehet ugyanaz, mint a munkaterület tárfiókjának felügyelt erőforráscsoportja.
A Név mezőbe írja be a privát végpont egyedi nevét:
- Az egyes forráshálózatokhoz létrehozott első privát végponthoz hozzon létre egy elosztott fájlrendszerbeli végpontot. A Databricks azt javasolja, hogy adja hozzá az utótagot
-dfs-pe
- Az egyes forráshálózatokhoz létrehozott második privát végponthoz hozzon létre egy Blob-végpontot. A Databricks azt javasolja, hogy adja hozzá az utótagot
-blob-pe
A Hálózati adapter neve mező automatikusan kitöltődik.
- Az egyes forráshálózatokhoz létrehozott első privát végponthoz hozzon létre egy elosztott fájlrendszerbeli végpontot. A Databricks azt javasolja, hogy adja hozzá az utótagot
Állítsa a Régió mezőt a munkaterület régiójára.
Kattintson a Tovább gombra.
A Cél alerőforrásban kattintson a célerőforrás típusára.
- Az egyes forráshálózatokhoz létrehozott első privát végpont esetében állítsa ezt dfs értékre.
- Az egyes forráshálózatokhoz létrehozott második privát végpont esetében állítsa ezt blobra.
A Virtuális hálózat mezőben válasszon ki egy virtuális hálózatot.
Az alhálózat mezőben állítsa az alhálózatot a tárfiók privát végpontjaihoz tartozó különálló alhálózatra.
Ez a mező automatikusan feltölthető a privát végpontok alhálózatával, de előfordulhat, hogy explicit módon kell beállítania. Az Azure Databricks-munkaterület alapfunkcióihoz használt két munkaterületi alhálózat egyikét nem használhatja, amelyeket általában és
private-subnet
public-subnet
.Kattintson a Tovább gombra. A DNS lap automatikusan kitölti a korábban kiválasztott megfelelő előfizetést és erőforráscsoportot. Szükség esetén módosítsa őket.
Kattintson a Tovább gombra, és szükség esetén adjon hozzá címkéket.
Kattintson a Tovább gombra, és tekintse át a mezőket.
Kattintson a Létrehozás gombra.
Ha le szeretné tiltani a munkaterület tárfiókjának tűzfaltámogatását, használja a fenti eljárást, de állítsa a Storage Account Firewall paramétert (storageAccountFirewall
a sablonban) Disabled
arra, és állítsa be a Workspace Catalog Enabled
mezőt true
arra vagy false
annak alapján, hogy a munkaterület unitykatalógus-munkaterület-katalógust használ-e. Lásd a katalógusokat.
3. lépés (ajánlott): Privát végpontok konfigurálása a Cloud Fetch ügyféloldali virtuális hálózataihoz
A Cloud Fetch az ODBC és a JDBC egy mechanizmusa, amely az adatokat párhuzamosan, a felhőbeli tárolón keresztül olvassa be, hogy gyorsabban juttasd el az adatokat a BI-eszközökhöz. Ha 1 MB-nál nagyobb lekérdezési eredményeket olvas be a BI-eszközökről, akkor valószínűleg a Cloud Fetcht használja.
Feljegyzés
Ha a Microsoft Fabric Power BI szolgáltatás használja az Azure Databricks szolgáltatással, le kell tiltania a Cloud Fetch szolgáltatást, mivel ez a funkció letiltja a munkaterület tárfiókjának közvetlen elérését a Fabric Power BI-ból. Másik lehetőségként úgy is konfigurálhat egy virtuális hálózati adatátjárót vagy helyszíni adatátjárót, hogy privát hozzáférést biztosíthasson a munkaterület tárfiókhoz. Ez nem vonatkozik a Power BI desktopra. A Cloud Fetch letiltásához használja a konfigurációt EnableQueryResultDownload=0
.
Ha Cloud Fetcht használ, hozzon létre privát végpontokat a munkaterület tárfiókjához a Cloud Fetch-ügyfelek bármely virtuális hálózatából.
A Cloud Fetch-ügyfelek minden forráshálózatához hozzon létre két privát végpontot, amelyek két különböző cél-alerőforrás-értéket használnak: dfs
és blob
. A részletes lépésekért tekintse meg a 2. lépést: Privát végpontok létrehozása a tárfiókban . Ezekben a lépésekben a virtuális hálózat mezőnél a privát végpont létrehozásakor győződjön meg arról, hogy minden Cloud Fetch-ügyfélhez megadja a forrás virtuális hálózatot.
4. lépés: Végpont-jóváhagyások megerősítése
Miután létrehozta az összes privát végpontot a tárfiókban, ellenőrizze, hogy jóváhagyták-e őket. Előfordulhat, hogy automatikusan jóváhagyják őket, vagy a tárfiókban kell jóváhagynia őket.
- Lépjen a munkaterületre az Azure Portalon.
- Az Essentials területen kattintson a felügyelt erőforráscsoport nevére.
- Az Erőforrások területen kattintson a Tárfiók típusú erőforrásra, amelynek a neve ekkor kezdődik
dbstorage
. - Az oldalsávon kattintson a Hálózatkezelés elemre.
- Kattintson a Privát végpont kapcsolatai elemre.
- Ellenőrizze a Csatlakozás ion állapotát annak megerősítéséhez, hogy jóváhagyva van, vagy jelölje ki őket, majd kattintson a Jóváhagyás gombra.
5. lépés: Kiszolgáló nélküli SQL Warehouse-kapcsolatok engedélyezése
Egy hálózati kapcsolati konfiguráció (NCC) a munkaterülethez csatolásával engedélyeznie kell a kiszolgáló nélküli SQL-raktáraknak, hogy csatlakozzanak a munkaterület tárfiókjához. Amikor egy NCC-t csatol egy munkaterülethez, a rendszer automatikusan hozzáadja a hálózati szabályokat a munkaterület tárfiókjának Azure Storage-fiókjához. Útmutatásért tekintse meg a kiszolgáló nélküli számításisík-hálózatkezelést.
Ha privát végpontokkal szeretné engedélyezni a hozzáférést az Azure Databricks kiszolgáló nélküli SQL-raktáraiból, forduljon az Azure Databricks-fiók csapatához.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: