Mengonfigurasi konektivitas privat ke sumber daya Azure

Artikel ini menjelaskan cara mengonfigurasi konektivitas privat dari komputasi tanpa server menggunakan UI konsol akun Azure Databricks. Anda juga dapat menggunakan API Konfigurasi konektivitas jaringan.

Jika Anda mengonfigurasi sumber daya Azure untuk hanya menerima koneksi dari titik akhir privat, koneksi apa pun ke sumber daya dari sumber daya komputasi Databricks klasik Anda juga harus menggunakan titik akhir privat.

Untuk mengonfigurasi firewall Azure Storage untuk akses komputasi tanpa server menggunakan subnet, sebagai gantinya lihat Konfigurasi firewall untuk akses komputasi tanpa server (warisan). Untuk mengelola aturan titik akhir privat yang ada, lihat Mengelola aturan titik akhir privat.

Catatan

Azure Databricks menagihkan biaya jaringan ketika beban kerja serverless terhubung ke sumber daya pelanggan. Lihat Pahami biaya jaringan tanpa server Databricks.

Gambaran umum konektivitas privat untuk komputasi tanpa server

Konektivitas jaringan tanpa server dikelola dengan konfigurasi konektivitas jaringan (NCC). Admin akun membuat NCC di konsol akun, dan satu NCC dapat dilampirkan ke satu atau beberapa ruang kerja.

Saat Anda menambahkan titik akhir privat di NCC, Azure Databricks membuat permintaan titik akhir privat ke sumber daya Azure Anda. Setelah pemilik sumber daya menyetujui permintaan, Azure Databricks menggunakan titik akhir privat tersebut untuk mengakses sumber daya dari bidang komputasi tanpa server. Titik akhir privat didedikasikan untuk akun Azure Databricks Anda dan hanya dapat diakses dari ruang kerja resmi.

Titik akhir privat NCC didukung dari gudang SQL, pekerjaan, notebook, Alur Deklaratif Lakeflow Spark, dan model yang melayani titik akhir.

Catatan

• Titik akhir privat NCC didukung untuk sumber data yang Anda kelola dan akun penyimpanan ruang kerja. Untuk detail tentang mengonfigurasi titik akhir privat untuk akun penyimpanan ruang kerja, lihat Mengaktifkan dukungan firewall untuk akun penyimpanan ruang kerja Anda.

• Penyajian model menggunakan jalur penyimpanan blob Azure untuk mengunduh artefak model, jadi buat titik akhir privat untuk blob ID sub-sumber daya Anda. Anda akan memerlukan DFS untuk mencatat model di Unity Catalog dari notebook tanpa server.

Untuk informasi selengkapnya tentang NCC, lihat Apa itu konfigurasi konektivitas jaringan (NCC)?.

Azure

Persyaratan

• Akun dan ruang kerja Anda harus berada di paket Premium.
• Anda harus menjadi admin akun Azure Databricks.
• Setiap akun Azure Databricks dapat memiliki hingga 10 NCC per wilayah.
• Setiap wilayah dapat memiliki 100 titik akhir privat, yang dapat didistribusikan sesuai kebutuhan ke dalam 1-10 NCC (Pusat Kontrol Jaringan).
• Setiap NCC dapat dihubungkan hingga 50 ruang kerja.

Langkah 1: Membuat konfigurasi konektivitas jaringan

Databricks merekomendasikan berbagi NCC di antara ruang kerja di unit bisnis dan wilayah yang sama. Misalnya, jika beberapa ruang kerja menggunakan Private Link dan ruang kerja lain menggunakan pengaktifan firewall, gunakan NCC terpisah untuk kasus penggunaan tersebut.

1. Sebagai admin akun, buka konsol akun.
2. Di bar samping, klik Keamanan.
3. Klik Konfigurasi konektivitas jaringan.
4. Klik Tambahkan konfigurasi jaringan.
5. Ketik sebuah nama untuk NCC.
6. Pilih wilayah. Ini harus cocok dengan wilayah ruang kerja Anda.
7. Klik Tambahkan.

Langkah 2: Melampirkan NCC ke ruang kerja

1. Di bar samping konsol akun, klik Ruang Kerja.
2. Klik nama ruang kerja Anda.
3. Klik Perbarui ruang kerja.
4. Di bidang Konfigurasi konektivitas jaringan , pilih NCC Anda. Jika tidak terlihat, konfirmasikan bahwa Anda telah memilih wilayah Azure yang sama untuk ruang kerja dan NCC.
5. Klik Perbarui.
6. Tunggu 10 menit agar perubahan diterapkan.
7. Mulai ulang layanan tanpa server yang berjalan di ruang kerja.

Langkah 3: Membuat aturan titik akhir privat

Anda harus membuat aturan titik akhir privat di NCC Anda untuk setiap sumber daya Azure.

1. Dapatkan daftar ID sumber daya Azure untuk semua tujuan Anda.
   1. Di tab browser lain, gunakan portal Azure navigasi ke layanan Azure sumber data Anda.
   2. Pada halaman Gambaran Umumnya, lihat di bagian Esensial.
   3. Klik tautan Tampilan JSON. ID sumber daya untuk layanan ditampilkan di bagian atas halaman.
   4. Salin ID sumber daya tersebut ke lokasi lain. Ulangi untuk semua tujuan. Untuk informasi selengkapnya tentang menemukan ID sumber daya Anda, lihat nilai zona DNS privat Azure Titik Akhir Privat.
2. Beralih kembali ke tab browser konsol akun Anda.
3. Di bar samping, klik Keamanan.
4. Klik Konfigurasi konektivitas jaringan.
5. Pilih NCC yang Anda buat di langkah 1.
6. Di Aturan titik akhir privat, klik Tambahkan aturan titik akhir privat.
7. Di bidang ID Sumber Daya Azure Tujuan, tempelkan ID untuk sumber daya Anda.
8. Di bidang ID sub-sumber Azure, tentukan ID tujuan dan jenis sub sumber daya. Setiap aturan titik akhir privat harus menggunakan ID subsumberdaya yang berbeda. Untuk daftar jenis sub sumber daya yang didukung, lihat Sumber daya yang didukung.
9. Klik Tambahkan.
10. Tunggu beberapa menit hingga semua aturan titik akhir memiliki status PENDING.

Langkah 4: Menyetujui titik akhir privat baru pada sumber daya Anda

Titik akhir tidak berlaku sampai admin menyetujuinya di sisi sumber daya. Untuk menyetujui penggunaan portal Azure:

1. Di portal Azure, navigasikan ke sumber daya Anda.

2. Di bilah samping, klik Jaringan.

3. Klik Koneksi Titik Akhir Pribadi.

4. Klik tab akses privat.

5. Di bawah bagian Private endpoint connections, tinjau daftar titik akhir privat.

6. Klik kotak centang di samping masing-masing untuk menyetujui, dan klik tombol Setujui di atas daftar.

7. Kembali ke NCC Anda di Azure Databricks dan refresh halaman browser hingga semua aturan titik akhir memiliki status ESTABLISHED.

   daftar titik akhir privat

(Opsional) Langkah 5: Atur sumber daya Anda untuk melarang akses jaringan publik

Jika Anda belum membatasi sumber daya hanya untuk jaringan dalam daftar izinkan, Anda dapat melakukannya sekarang.

1. Buka portal Azure.
2. Navigasi ke akun penyimpanan Anda untuk sumber data.
3. Di bilah samping, klik Jaringan.
4. Di bidang Akses jaringan publik, periksa nilainya. Secara default, nilai adalah Diaktifkan dari semua jaringan. Ubah ini menjadi Dinonaktifkan

Mengonfigurasi Private Link ke Azure App Gateway v2

Jika Anda Mengonfigurasi Private Link ke sumber daya Azure App Gateway v2, Anda harus menggunakan REST API Konfigurasi Konektivitas Jaringan alih-alih antarmuka pengguna konsol akun. Azure App Gateway v2 memerlukan parameter tambahan: ID sumber daya, ID grup, dan nama domain.

1. Gunakan panggilan API berikut untuk membuat aturan titik akhir privat dengan konfigurasi nama domain:

   curl --location 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \
   --header 'Content-Type: application/json' \
   --header 'Authorization: Bearer <TOKEN>' \
   --data '{
      "domain_names": [
         "<YOUR_DOMAIN_HERE>"
      ],
      "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>",
      "group_id": "<GROUP_ID>"
   }'
   

2. Jika Anda perlu mengubah nama domain untuk aturan titik akhir privat yang ada, gunakan permintaan PATCH berikut:

   curl --location --request PATCH 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \
   --header 'Content-Type: application/json' \
   --header 'Authorization: Bearer <TOKEN>' \
   --data '{
      "domain_names": [
         "<YOUR_DOMAIN_HERE>"
      ]
   }'
   

3. Untuk mencantumkan, melihat, atau menghapus aturan titik akhir privat App Gateway, gunakan operasi API Konfigurasi Konektivitas Jaringan standar yang didokumenkan dalam API konfigurasi konektivitas Jaringan.

Langkah 7: Mulai ulang sumber daya sarana komputasi tanpa server dan uji koneksi

1. Tunggu lima menit lagi agar perubahan disebarluaskan.
2. Mulai ulang sumber daya sarana komputasi tanpa server yang berjalan di ruang kerja tempat NCC Anda terpasang. Jika Anda tidak memiliki sumber daya sarana komputasi tanpa server yang berjalan, mulailah sekarang.
3. Pastikan semua sumber daya berhasil dimulai.
4. Jalankan setidaknya satu kueri di sumber data Anda untuk mengonfirmasi bahwa gudang SQL tanpa server dapat menjangkau sumber data Anda.

Langkah selanjutnya

• Mengelola aturan titik akhir privat: Memperbarui, meninjau, dan menghapus aturan titik akhir privat. Lihat Mengelola Aturan pada Titik Akhir Privat.
• Konfigurasi firewall untuk akses komputasi tanpa server: Menyiapkan aturan firewall jaringan untuk mengontrol akses ke layanan Azure menggunakan subnet alih-alih titik akhir privat. Lihat Mengonfigurasi firewall untuk akses komputasi tanpa server (warisan).
• Mengonfigurasi kebijakan jaringan: Menerapkan kontrol dan kebijakan keamanan jaringan tambahan untuk mengatur konektivitas komputasi tanpa server. Lihat Apa itu kontrol keluar tanpa server?.
• Memahami keamanan jaringan tanpa server: Pelajari tentang opsi keamanan jaringan untuk komputasi tanpa server. Lihat Jaringan sarana komputasi tanpa server.

Azure Tiongkok

persyaratan Azure Tiongkok

• Akun dan ruang kerja Anda harus berada di paket Premium.
• Anda harus menjadi admin akun Azure Databricks.
• Setiap akun Azure Databricks dapat memiliki hingga 10 NCC per wilayah.
• Setiap akun dapat memiliki hingga 20 titik akhir privat di Azure Tiongkok.
• Setiap NCC dapat dihubungkan hingga 50 ruang kerja.

Catatan

Di Azure Tiongkok, NCC hanya didukung di wilayah Tiongkok Utara 3. Karena NCC hanya dapat dilampirkan ke ruang kerja di wilayah yang sama, ruang kerja Anda juga harus berada di Tiongkok Utara 3.

Step 1: Membuat konfigurasi konektivitas jaringan (Azure Tiongkok)

Databricks merekomendasikan berbagi NCC di antara ruang kerja di unit bisnis dan wilayah yang sama. Misalnya, jika beberapa ruang kerja menggunakan Private Link dan ruang kerja lain menggunakan konfigurasi konektivitas yang berbeda, gunakan NCC terpisah untuk kasus penggunaan tersebut.

Catatan

Pengaktifan firewall (akses berbasis subnet) tidak tersedia di Azure Tiongkok. Titik akhir privat adalah satu-satunya metode konektivitas yang didukung untuk komputasi tanpa server di Azure Tiongkok.

1. Sebagai admin akun, buka konsol akun.
2. Di bar samping, klik Keamanan.
3. Klik Konfigurasi konektivitas jaringan.
4. Klik Tambahkan konfigurasi jaringan.
5. Ketik sebuah nama untuk NCC.
6. Pilih Tiongkok Utara 3 sebagai wilayah. Ini harus cocok dengan wilayah ruang kerja Anda.
7. Klik Tambahkan.

Step 2: Tempelkan NCC ke ruang kerja (Azure Tiongkok)

1. Di bar samping konsol akun, klik Ruang Kerja.
2. Klik nama ruang kerja Anda.
3. Klik Perbarui ruang kerja.
4. Di bidang Konfigurasi konektivitas jaringan , pilih NCC Anda. Jika tidak terlihat, konfirmasikan bahwa Anda telah memilih Tiongkok Utara 3 sebagai wilayah Azure untuk ruang kerja dan NCC.
5. Klik Perbarui.
6. Tunggu 10 menit agar perubahan diterapkan.
7. Mulai ulang layanan tanpa server yang berjalan di ruang kerja.

Langkah 3: Buat aturan titik akhir privat (Azure China)

Anda harus membuat aturan titik akhir privat di NCC Anda untuk setiap sumber daya Azure. Untuk daftar sumber daya yang didukung di Azure Tiongkok, lihat Supported resources.

1. Dapatkan daftar ID sumber daya Azure untuk semua tujuan Anda.
   1. Di tab browser lain, gunakan portal Azure navigasi ke layanan Azure sumber data Anda.
   2. Pada halaman Gambaran Umumnya, lihat di bagian Esensial.
   3. Klik tautan Tampilan JSON. ID sumber daya untuk layanan ditampilkan di bagian atas halaman.
   4. Salin ID sumber daya tersebut ke lokasi lain. Ulangi untuk semua tujuan. Untuk informasi selengkapnya tentang menemukan ID sumber daya Anda, lihat nilai zona DNS privat Azure Titik Akhir Privat.
2. Beralih kembali ke tab browser konsol akun Anda.
3. Di bar samping, klik Keamanan.
4. Klik Konfigurasi konektivitas jaringan.
5. Pilih NCC yang Anda buat di langkah 1.
6. Di Aturan titik akhir privat, klik Tambahkan aturan titik akhir privat.
7. Di bidang ID Sumber Daya Azure Tujuan, tempelkan ID untuk sumber daya Anda.
8. Di bidang ID sub-sumber Azure, tentukan ID tujuan dan jenis sub sumber daya. Setiap aturan titik akhir privat harus menggunakan ID subsumberdaya yang berbeda.
9. Klik Tambahkan.
10. Tunggu beberapa menit hingga semua aturan titik akhir memiliki status PENDING.

Step 4: Setujui titik akhir privat baru di sumber daya Anda (Azure Tiongkok)

Titik akhir tidak berlaku sampai admin menyetujuinya di sisi sumber daya. Untuk menyetujui penggunaan portal Azure:

1. Di portal Azure, navigasikan ke sumber daya Anda.

2. Di bilah samping, klik Jaringan.

3. Klik Koneksi Titik Akhir Pribadi.

4. Klik tab akses privat.

5. Di bawah bagian Private endpoint connections, tinjau daftar titik akhir privat.

6. Klik kotak centang di samping masing-masing untuk menyetujui, dan klik tombol Setujui di atas daftar.

7. Kembali ke NCC Anda di Azure Databricks dan refresh halaman browser hingga semua aturan titik akhir memiliki status ESTABLISHED.

   daftar titik akhir privat

(Opsional) Langkah 5: Atur sumber daya Anda untuk melarang akses jaringan publik (Azure Tiongkok)

Jika Anda belum membatasi sumber daya hanya untuk jaringan yang ada dalam daftar izin, Anda dapat melakukannya sekarang.

1. Buka portal Azure.
2. Navigasi ke akun penyimpanan Anda untuk sumber data.
3. Di bilah samping, klik Jaringan.
4. Di bidang Akses jaringan publik, periksa nilainya. Secara default, nilai adalah Diaktifkan dari semua jaringan. Ubah ini menjadi Dinonaktifkan

Konfigurasi Private Link ke Azure App Gateway v2 (Azure Tiongkok)

Jika Anda Mengonfigurasi Private Link ke sumber daya Azure App Gateway v2, Anda harus menggunakan REST API Konfigurasi Konektivitas Jaringan alih-alih antarmuka pengguna konsol akun. Azure App Gateway v2 memerlukan parameter tambahan: ID sumber daya, ID grup, dan nama domain.

1. Gunakan panggilan API berikut untuk membuat aturan titik akhir privat dengan konfigurasi nama domain:

   curl --location 'https://accounts.databricks.azure.cn/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \
   --header 'Content-Type: application/json' \
   --header 'Authorization: Bearer <TOKEN>' \
   --data '{
      "domain_names": [
         "<YOUR_DOMAIN_HERE>"
      ],
      "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>",
      "group_id": "<GROUP_ID>"
   }'
   

2. Jika Anda perlu mengubah nama domain untuk aturan titik akhir privat yang ada, gunakan permintaan PATCH berikut:

   curl --location --request PATCH 'https://accounts.databricks.azure.cn/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \
   --header 'Content-Type: application/json' \
   --header 'Authorization: Bearer <TOKEN>' \
   --data '{
      "domain_names": [
         "<YOUR_DOMAIN_HERE>"
      ]
   }'
   

3. Untuk mencantumkan, melihat, atau menghapus aturan titik akhir privat App Gateway, gunakan operasi API Konfigurasi Konektivitas Jaringan standar yang didokumenkan dalam API konfigurasi konektivitas Jaringan.

Step 7: Mulai ulang sumber daya sarana komputasi tanpa server dan uji koneksi (Azure Tiongkok)

1. Tunggu lima menit lagi agar perubahan disebarluaskan.
2. Mulai ulang sumber daya sarana komputasi tanpa server yang berjalan di ruang kerja tempat NCC Anda terpasang. Jika Anda tidak memiliki sumber daya sarana komputasi tanpa server yang berjalan, mulailah sekarang.
3. Pastikan semua sumber daya berhasil dimulai.
4. Jalankan setidaknya satu kueri di sumber data Anda untuk mengonfirmasi bahwa gudang SQL tanpa server dapat menjangkau sumber data Anda.

Langkah selanjutnya (Azure Tiongkok)

• Mengelola aturan titik akhir privat: Memperbarui, meninjau, dan menghapus aturan titik akhir privat. Lihat Mengelola Aturan pada Titik Akhir Privat.
• Memahami keamanan jaringan tanpa server: Pelajari tentang opsi keamanan jaringan untuk komputasi tanpa server. Lihat Jaringan sarana komputasi tanpa server.