Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Nota
Fitur ini memerlukan tingkat Premium.
Halaman ini menjelaskan bagaimana kontrol keluar tanpa server memungkinkan Anda mengelola koneksi jaringan keluar dari sumber daya komputasi tanpa server Anda.
Untuk kontrol ingress, lihat Kontrol ingress berbasis konteks.
Kontrol keluar tanpa server memperkuat postur keamanan Anda dengan memungkinkan Anda mengelola koneksi keluar dari beban kerja tanpa server Anda, mengurangi risiko penyelundupan data.
Dengan menggunakan kebijakan jaringan, Anda dapat:
- Terapkan postur tolak secara default: Mengontrol akses keluar dengan presisi terperinci dengan mengaktifkan kebijakan tolak secara default untuk koneksi internet, penyimpanan cloud, dan API Databricks.
- Menyederhanakan manajemen: Tentukan postur pengendalian akses keluar yang konsisten untuk semua pekerjaan tanpa server Anda di beragam produk tanpa server.
- Kelola dengan mudah dalam skala besar: Kelola postur Anda secara terpusat di beberapa ruang kerja dan terapkan kebijakan default untuk akun Databricks Anda.
- Menerapkan kebijakan dengan aman: Mengurangi risiko dengan mengevaluasi efek kebijakan baru terlebih dahulu dalam mode dry-run sebelum penegakan penuh.
Kontrol keluar tanpa server didukung dengan produk tanpa server berikut: notebook, alur kerja, gudang SQL, Alur Deklaratif Lakeflow Spark, Penyajian Model AI Mosaik, Pemantauan Kualitas Data, dan Aplikasi Databricks dengan dukungan terbatas.
Nota
Mengaktifkan pembatasan keluar di ruang kerja mencegah Aplikasi Databricks mengakses sumber daya yang tidak sah. Namun, menerapkan pembatasan keluar dapat memengaruhi fungsionalitas aplikasi.
Gambaran umum kebijakan jaringan
Kebijakan jaringan adalah objek konfigurasi yang diterapkan di tingkat akun. Meskipun satu kebijakan jaringan dapat dikaitkan dengan beberapa ruang kerja, setiap ruang kerja hanya dapat ditautkan ke satu kebijakan pada satu waktu.
Kebijakan jaringan menentukan mode akses jaringan untuk beban kerja tanpa server dalam ruang kerja terkait. Ada dua mode utama:
- Akses Penuh: Beban kerja tanpa server memiliki akses keluar yang tidak terbatas ke internet dan sumber daya jaringan lainnya.
-
Akses Terbatas: Akses keluar terbatas pada:
- Lokasi eksternal Katalog Unity: Lokasi eksternal yang dikonfigurasi di Unity Catalog yang dapat diakses dari ruang kerja. Wilayah Katalog Unity harus sama dengan wilayah akun penyimpanan Azure.
- Tujuan yang ditentukan secara eksplisit: FQDN dan akun penyimpanan Azure tercantum dalam kebijakan jaringan.
Kebijakan tidak hanya mengatur akses keluar. Mereka juga dapat menyertakan kontrol ingress, yang menentukan bagaimana lalu lintas jaringan memasuki sistem. Untuk detail tentang mengonfigurasi kontrol ingress, lihat Kontrol ingress berbasis konteks.
Postur keamanan
Ketika kebijakan jaringan diatur ke mode akses terbatas, koneksi jaringan keluar dari beban kerja tanpa server dikontrol dengan ketat.
| Perilaku | Rincian |
|---|---|
| Hindari konektivitas keluar secara default | Beban kerja tanpa server hanya memiliki akses ke yang berikut: tujuan yang dikonfigurasi melalui lokasi eksternal Katalog Unity, yang diizinkan secara default, FQDN atau lokasi penyimpanan yang ditentukan dalam kebijakan, dan API ruang kerja dari ruang kerja yang sama dengan beban kerja. Wilayah Katalog Unity harus sama dengan wilayah akun penyimpanan Azure. Akses lintas ruang kerja ditolak. |
| Tidak ada akses penyimpanan langsung | Akses langsung dari kode pengguna di UDF dan notebook dilarang. Sebagai gantinya, gunakan abstraksi Databricks seperti Unity Catalog atau penautan DBFS. Pemasangan DBFS memungkinkan akses aman ke data di akun penyimpanan Azure yang tercantum dalam kebijakan jaringan. |
| Tujuan yang diizinkan secara implisit | Anda selalu dapat mengakses akun penyimpanan Azure yang terkait dengan ruang kerja Anda, tabel sistem penting, dan himpunan data sampel (baca-saja). |
| Penegakan kebijakan untuk titik akhir privat | Akses keluar melalui titik akhir privat juga tunduk pada aturan yang ditentukan dalam kebijakan jaringan. Tujuan harus tercantum baik di Katalog Unity atau dalam kebijakan. Ini memastikan penegakan keamanan yang konsisten di semua metode akses jaringan. |