Fürtkapcsolat védelmének biztosítása
Ha engedélyezve van a biztonságos fürtkapcsolat, az ügyfél virtuális hálózatai nem rendelkeznek nyitott portokkal, és a klasszikus számítási sík számítási erőforrásai nem rendelkeznek nyilvános IP-címekkel. A biztonságos fürtkapcsolatot nem nyilvános IP-nek (NPIP) is nevezik.
- Hálózati szinten minden fürt kapcsolatot kezdeményez a vezérlősíkhoz a fürtlétrehozás során. A fürt ezt a kapcsolatot a 443-es port (HTTPS) használatával hozza létre, és a webalkalmazáshoz és a REST API-hoz használttól eltérő IP-címet használ.
- Amikor a vezérlősík logikailag elindítja az új Databricks futtatókörnyezeti feladatokat, vagy más fürtfelügyeleti feladatokat hajt végre, a rendszer ezen az alagúton keresztül küldi el ezeket a kéréseket a fürtnek.
- A számítási sík (a virtuális hálózat) nem rendelkezik nyitott portokkal, és a klasszikus számítási sík erőforrásai nem rendelkeznek nyilvános IP-címmel.
Előnyök:
- Egyszerű hálózatfelügyelet, nincs szükség portok biztonsági csoportokon való konfigurálására vagy hálózati társviszony-létesítés konfigurálására.
- A fokozott biztonság és az egyszerű hálózati felügyelet révén az információbiztonsági csapatok felgyorsíthatják a Databricks paaS-szolgáltatóként való jóváhagyását.
Feljegyzés
A klasszikus számítási sík virtuális hálózata és az Azure Databricks vezérlősík közötti összes Azure Databricks-hálózati forgalom a Microsoft hálózati gerinchálózatán halad át, nem a nyilvános interneten. Ez akkor is igaz, ha a biztonságos fürtkapcsolat le van tiltva.
Bár a kiszolgáló nélküli számítási sík nem használja a biztonságos fürtkapcsolat-továbbítót a klasszikus számítási síkhoz, a kiszolgáló nélküli SQL-tárolók nem rendelkeznek nyilvános IP-címekkel.
Biztonságos fürtkapcsolat használata
Ha biztonságos fürtkapcsolatot szeretne használni egy új Azure Databricks-munkaterülettel, használja az alábbi lehetőségek bármelyikét.
- Azure Portal: A munkaterület kiépítésekor lépjen a Hálózatkezelés lapra, és állítsa az Azure Databricks-munkaterület biztonságos fürtkapcsolattal (nincs nyilvános IP-cím) történő üzembe helyezését Igen értékre.
- ARM-sablonok: Az új munkaterületet létrehozó erőforrás esetében
Microsoft.Databricks/workspaces
állítsa aenableNoPublicIp
logikai paramétert a következőretrue
: .
Fontos
Mindkét esetben regisztrálnia kell az Azure-erőforrás-szolgáltatót Microsoft.ManagedIdentity
az Azure-előfizetésben, amely biztonságos fürtkapcsolattal rendelkező munkaterületek indítására szolgál. Ez előfizetésenként egyszeri művelet. Útmutatásért tekintse meg az Azure-erőforrás-szolgáltatókat és -típusokat.
Biztonságos fürtkapcsolatot adhat hozzá egy meglévő munkaterülethez, amely már használ virtuális hálózat injektálást. Lásd: Biztonságos fürtkapcsolat hozzáadása meglévő munkaterülethez.
Ha ARM-sablonokat használ, adja hozzá a paramétert az alábbi sablonok egyikéhez, attól függően, hogy szeretné-e, hogy az Azure Databricks létrehozhasson egy alapértelmezett (felügyelt) virtuális hálózatot a munkaterülethez, vagy ha saját virtuális hálózatot szeretne használni, más néven VNet-injektálást. A virtuális hálózatok injektálása opcionális funkció, amely lehetővé teszi, hogy saját virtuális hálózatot biztosítson új Azure Databricks-fürtök üzemeltetéséhez.
- ARM-sablon egy munkaterület beállításához az alapértelmezett (felügyelt) virtuális hálózat használatával.
- ARM-sablon a munkaterület virtuális hálózat injektálásának használatával történő beállításához.
Kimenő forgalom a munkaterület alhálózataiból
Ha engedélyezi a biztonságos fürtkapcsolatot, mindkét munkaterületi alhálózat privát alhálózat, mivel a fürtcsomópontok nem rendelkeznek nyilvános IP-címekkel.
A hálózati kimenő forgalom implementációjának részletei attól függően változnak, hogy az alapértelmezett (felügyelt) virtuális hálózatot használja-e, vagy az opcionális VNet-injektálási funkcióval biztosítja saját virtuális hálózatát, amelyben üzembe helyezheti a munkaterületet. Részletekért tekintse meg a következő szakaszokat.
Fontos
A biztonságos fürtkapcsolat használatakor további költségek merülhetnek fel a kimenő forgalom növekedése miatt. A költségoptimalizált megoldást igénylő kisebb szervezetek számára elfogadható lehet letiltani a biztonságos fürtkapcsolatot a munkaterület üzembe helyezésekor. A legbiztonságosabb üzembe helyezéshez azonban a Microsoft és a Databricks határozottan javasolja, hogy engedélyezze a biztonságos fürtkapcsolatot.
Kimenő forgalom alapértelmezett (felügyelt) virtuális hálózattal
Ha biztonságos fürtkapcsolatot használ az Azure Databricks által létrehozott alapértelmezett virtuális hálózattal, az Azure Databricks automatikusan létrehoz egy NAT-átjárót a munkaterület alhálózataiból az Azure gerinchálózatára és nyilvános hálózatára irányuló kimenő forgalomhoz. A NAT-átjáró az Azure Databricks által felügyelt felügyelt erőforráscsoporton belül jön létre. Ezt az erőforráscsoportot vagy a benne kiépített erőforrásokat nem módosíthatja.
Az automatikusan létrehozott NAT-átjáró további költségekkel jár.
Kimenő forgalom VNet-injektálással
Ha virtuális hálózat injektálást használó munkaterületen engedélyezi a biztonságos fürtkapcsolatot , a Databricks azt javasolja, hogy a munkaterületen stabil kimenő nyilvános IP-cím legyen.
A stabil kimenő forgalom nyilvános IP-címei azért hasznosak, mert hozzáadhatja őket külső engedélyezési listákhoz. Például az Azure Databricksből a Salesforce-hoz való csatlakozáshoz stabil kimenő IP-címmel.
Figyelmeztetés
A Microsoft bejelentette, hogy 2025. szeptember 30-án megszűnik az Azure-beli virtuális gépek alapértelmezett kimenő hozzáférési kapcsolata. Tekintse meg ezt a bejelentést. Ez azt jelenti, hogy a meglévő Azure Databricks-munkaterületek, amelyek nem stabil kimenő nyilvános IP-címet, hanem alapértelmezett kimenő hozzáférést használnak, előfordulhat, hogy a dátum után sem működnek tovább. A Databricks azt javasolja, hogy a dátum előtt adjon hozzá explicit kimenő metódusokat a munkaterületekhez.
Válasszon az alábbi lehetőségek közül:
- A testreszabást igénylő üzemelő példányok esetében válasszon egy Azure NAT-átjárót. Konfigurálja az átjárót a munkaterület mindkét alhálózatán, így biztosítva, hogy az Azure gerinchálózatára irányuló kimenő forgalom és a nyilvános hálózat áthaladjon rajta. A fürtök stabil kimenő nyilvános IP-címekkel rendelkeznek, és módosíthatja az egyéni kimenő forgalom igényeinek konfigurációját. Ezt a megoldást egy Azure-sablonnal vagy az Azure Portalon valósíthatja meg.
- Olyan összetett útválasztási követelményekkel rendelkező vagy virtuális hálózati injektálást használó üzemelő példányok esetén, mint például az Azure Firewall vagy más egyéni hálózati architektúrák, egyéni útvonalakat használhat, amelyeket felhasználó által megadott útvonalaknak (UDR-eknek) hívunk. Az UDR-ek biztosítják, hogy a hálózati forgalom megfelelően legyen irányítva a munkaterületen, közvetlenül a szükséges végpontokra vagy egy kimenő tűzfalon keresztül. Ha ilyen megoldást használ, közvetlen útvonalakat vagy engedélyezett tűzfalszabályokat kell hozzáadnia az Azure Databricks biztonságos fürtkapcsolat-továbbítóhoz és az Azure Databricks felhasználó által megadott útvonalbeállításainál felsorolt egyéb szükséges végpontokhoz.
Figyelmeztetés
Ne használjon kimenő terheléselosztót olyan munkaterülettel, amelyen engedélyezve van a biztonságos fürtkapcsolat. Éles rendszerekben a kimenő terheléselosztó a portok kimerülésének kockázatához vezethet.
Biztonságos fürtkapcsolat hozzáadása meglévő munkaterülethez
Egy meglévő munkaterületen engedélyezheti a biztonságos fürtkapcsolatot. A frissítéshez a munkaterületnek VNet-injektálást kell használnia.
Használhatja a portál felhasználói felületét, egy ARM-sablont vagy azurerm
a Terraform-szolgáltató 3.41.0-s verzióját. Az Azure Portal használatával egyéni sablont alkalmazhat, és módosíthatja a paramétert a felhasználói felületen. Az Azure Databricks-munkaterületpéldányt az Azure Portal felhasználói felületén is frissítheti.
Fontos
A módosítás előtt, ha tűzfalat használ, vagy más hálózati konfigurációs módosításokat végzett a klasszikus számítási sík bejövő vagy kimenő forgalmának szabályozásához, előfordulhat, hogy a tűzfal vagy a hálózati biztonsági csoport szabályait a módosításokkal egy időben kell frissítenie, hogy azok teljes mértékben érvénybe léphessenek. Biztonságos fürtkapcsolat esetén például további kimenő kapcsolat jön létre a vezérlősíkhoz, és a vezérlősíkról érkező bejövő kapcsolatok már nem lesznek használatban.
Ha valamilyen probléma merül fel a frissítéssel kapcsolatban, és ideiglenesen vissza kell állítania a módosítást, lásd: Ideiglenes visszaállítás biztonságos fürtkapcsolatra való frissítésről.
1. lépés: Az összes számítási erőforrás leállítása
A frissítés megkezdése előtt le kell állítania az összes számítási erőforrást, például fürtöket, készleteket vagy klasszikus SQL-raktárakat. A munkaterület számítási erőforrásai nem futtathatók, vagy a frissítési kísérlet meghiúsul. A Databricks azt javasolja, hogy tervezzük meg a frissítés ütemezését a leálláshoz.
2. lépés: A munkaterület frissítése
Frissítenie kell a Nincs nyilvános IP-paramétert (a sablonon).enableNoPublicIp
Állítsa be a True (true
) értékre.
Használja az alábbi módszerek egyikét:
- Az Azure Portal felhasználói felületének használata (sablon nélkül)
- Frissített ARM-sablon alkalmazása az Azure Portalon
- Frissítés alkalmazása a Terraform használatával
Az Azure Portal felhasználói felületének használata (sablon nélkül)
Nyissa meg az Azure Databricks Service-példányt az Azure Portalon.
A Bal oldali navigációs sáv Beállítások csoportjában kattintson a Hálózatkezelés elemre.
Válassza a Nincs nyilvános IP-cím lehetőséget.
Feljegyzés
Ugyanakkor úgy is engedélyezheti az Azure Private Linket, hogy a nyilvános hálózati hozzáféréshez szükséges NSG-szabályok értékeit a használati eset megfelelő értékeire állítja. A privát kapcsolat engedélyezéséhez azonban további konfigurációra és ellenőrzésre van szükség, ezért érdemes lehet ezt külön lépésként megtenni a frissítés után a fürt biztonságos kapcsolatának érdekében. A fontos részletekért és követelményekért tekintse meg az Azure Private Link engedélyezését.
Kattintson a Mentés gombra.
A hálózati frissítés végrehajtása több mint 15 percet vehet igénybe.
Frissített ARM-sablon alkalmazása az Azure Portalon
Feljegyzés
Ha a felügyelt erőforráscsoport egyéni névvel rendelkezik, ennek megfelelően módosítania kell a sablont. További információért forduljon az Azure Databricks-fiók csapatához.
Másolja ki a következő frissítési ARM-sablon JSON-fájlját:
{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "location": { "defaultValue": "[resourceGroup().location]", "type": "String", "metadata": { "description": "Location for all resources." } }, "workspaceName": { "type": "String", "metadata": { "description": "The name of the Azure Databricks workspace to create." } }, "apiVersion": { "defaultValue": "2023-02-01", "allowedValues": [ "2018-04-01", "2020-02-15", "2022-04-01-preview", "2023-02-01" ], "type": "String", "metadata": { "description": "2018-03-15 for 'full region isolation control plane' and 2020-02-15 for 'FedRAMP certified' regions" } }, "enableNoPublicIp": { "defaultValue": true, "type": "Bool" }, "pricingTier": { "defaultValue": "premium", "allowedValues": [ "premium", "standard", "trial" ], "type": "String", "metadata": { "description": "The pricing tier of workspace." } }, "publicNetworkAccess": { "type": "string", "defaultValue": "Enabled", "allowedValues": [ "Enabled", "Disabled" ], "metadata": { "description": "Indicates whether public network access is allowed to the workspace - possible values are Enabled or Disabled." } }, "requiredNsgRules": { "type": "string", "defaultValue": "AllRules", "allowedValues": [ "AllRules", "NoAzureDatabricksRules" ], "metadata": { "description": "Indicates whether to retain or remove the AzureDatabricks outbound NSG rule - possible values are AllRules or NoAzureDatabricksRules." } } }, "variables": { "managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]", "managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', variables('managedResourceGroupName'))]" }, "resources": [ { "type": "Microsoft.Databricks/workspaces", "apiVersion": "[parameters('apiVersion')]", "name": "[parameters('workspaceName')]", "location": "[parameters('location')]", "sku": { "name": "[parameters('pricingTier')]" }, "properties": { "ManagedResourceGroupId": "[variables('managedResourceGroupId')]", "publicNetworkAccess": "[parameters('publicNetworkAccess')]", "requiredNsgRules": "[parameters('requiredNsgRules')]", "parameters": { "enableNoPublicIp": { "value": "[parameters('enableNoPublicIp')]" } } } } ] }
Nyissa meg az Azure Portal egyéni üzembehelyezési oldalát.
Kattintson a Saját sablon létrehozása elemre a szerkesztőben.
Illessze be a másolt sablon JSON-fájljában.
Kattintson a Mentés gombra.
Adja meg a paramétereket.
Meglévő munkaterület frissítéséhez használja ugyanazokat a paramétereket, amelyeket a munkaterület létrehozásához használt, és nem
enableNoPublicIp
azt, amelyre be kell állítaniatrue
. Adja meg a meglévő virtuális hálózat előfizetését, régióját, munkaterületnevét, alhálózatnevét, erőforrás-azonosítóját.Fontos
Az erőforráscsoport neve, a munkaterület neve és az alhálózat neve megegyezik a meglévő munkaterület nevével, így ez a parancs új munkaterület létrehozása helyett frissíti a meglévő munkaterületet.
Kattintson a Felülvizsgálat + létrehozás elemre.
Ha nincsenek érvényesítési problémák, kattintson a Létrehozás gombra.
A hálózati frissítés végrehajtása több mint 15 percet vehet igénybe.
Frissítés alkalmazása a Terraform használatával
A Terraformmal létrehozott munkaterületek esetében a munkaterület újraírása nélkül frissítheti a munkaterületet.
Fontos
A 3.41.0-s vagy újabb verziót kell használnia terraform-provider-azurerm
, ezért szükség szerint frissítse a Terraform-szolgáltató verzióját. A korábbi verziók megpróbálják újra létrehozni a munkaterületet, ha módosítja bármelyik beállítást.
Módosítsa a következő munkaterület-beállításokat:
no_public_ip
a blokkban módosítható a következőrefalse
: .custom_parameters
true
A hálózati frissítés végrehajtása több mint 15 percet vehet igénybe.
3. lépés: A frissítés ellenőrzése
Ha a munkaterület aktív állapotban van, a frissítési feladat befejeződik. Ellenőrizze, hogy a frissítés alkalmazva lett-e:
Nyissa meg az Azure Databrickset a webböngészőben.
Indítsa el a munkaterület egyik fürtjét, és várja meg, amíg a fürt teljesen el nem indul.
Nyissa meg a munkaterület-példányt az Azure Portalon.
Kattintson a felügyelt erőforráscsoport mezőcímke melletti kék azonosítóra.
Ebben a csoportban keresse meg a fürt virtuális gépeit, és kattintson az egyikre.
A virtuálisgép-beállítások Tulajdonságok területén keresse meg a hálózatkezelés terület mezőit.
Győződjön meg arról, hogy a nyilvános IP-cím mező üres.
Ha ki van töltve, a virtuális gép nyilvános IP-címmel rendelkezik, ami azt jelenti, hogy a frissítés sikertelen volt.
Hiba helyreállítása
Ha egy munkaterület frissítése sikertelen, előfordulhat, hogy a munkaterület sikertelen állapotként van megjelölve, ami azt jelenti, hogy a munkaterület nem tud számítási műveleteket végrehajtani. Ha vissza szeretne állítani egy sikertelen munkaterületet aktív állapotba, tekintse át a frissítési művelet állapotüzenetében található utasításokat. A problémák megoldása után végezze el újra a frissítést a sikertelen munkaterületen. Ismételje meg a lépéseket, amíg a frissítés sikeresen befejeződik.
A frissítés ideiglenes visszaállítása a fürtkapcsolatok biztonságossá tételéhez
Ha az üzembe helyezés során hiba lép fel, a folyamatot ideiglenes visszaállításként megfordíthatja, de az SCC letiltása a munkaterületen nem támogatott , kivéve az ideiglenes visszaállítást, mielőtt később folytatná a frissítést. Ha ez ideiglenesen szükséges, a frissítéshez kövesse a fenti utasításokat, de állítsa enableNoPublicIp
false
igaz helyett.