Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Organisasi yang berbeda memiliki persyaratan isolasi jaringan yang berbeda. Halaman ini menguraikan tiga arsitektur referensi untuk persyaratan umum. Identifikasi arsitektur yang paling sesuai dengan topologi jaringan, kebutuhan tata kelola data, dan kebijakan kontrol keluar Anda.
Arsitektur Databricks
Azure Databricks beroperasi di luar sarana kontrol dan sarana komputasi.
- Sarana kontrol mencakup layanan backend yang dikelola Azure Databricks di akun Azure Databricks Anda. Aplikasi web berada di lapisan kendali.
- bidang komputasi adalah tempat data Anda diproses. Ada dua jenis bidang komputasi tergantung pada komputasi yang Anda gunakan.
- Untuk komputasi Azure Databricks klasik, sumber daya komputasi ada di langganan Azure Anda dalam apa yang disebut bidang komputasi klasik. Ini mengacu pada jaringan di langganan Azure Anda dan sumber dayanya. Sumber daya bidang komputasi klasik berada di wilayah yang sama dengan ruang kerja Anda.
- Untuk komputasi tanpa server, sumber daya komputasi tanpa server berjalan di bidang komputasi tanpa server di akun Azure Databricks Anda. Sumber daya bidang komputasi tanpa server berada di wilayah cloud yang sama dengan bidang komputasi klasik ruang kerja Anda. Anda memilih wilayah ini saat membuat ruang kerja.
Untuk mempelajari selengkapnya tentang komputasi klasik dan komputasi tanpa server, lihat Komputasi. Untuk informasi arsitektur tambahan, lihat Arsitektur tingkat tinggi.
Jenis konektivitas jaringan
Databricks menyediakan lingkungan jaringan yang aman secara default, tetapi jika organisasi Anda memiliki kebutuhan tambahan, Anda dapat mengonfigurasi fitur konektivitas jaringan antara koneksi jaringan yang berbeda. Setiap arsitektur mengonfigurasi fitur di tiga jenis konektivitas jaringan:
- Inbound: Pengguna dan aplikasi untuk Azure Databricks: Anda dapat mengonfigurasi fitur untuk mengontrol akses dan menyediakan konektivitas privat antara pengguna dan ruang kerja Azure Databricks mereka. Lihat Akses Jaringan untuk Pengguna Azure Databricks.
- Classic: Sarana kontrol dan bidang komputasi klasik: Sumber daya komputasi klasik, seperti kluster, disebarkan dalam langganan Azure Anda dan terhubung ke sarana kontrol. Anda dapat menggunakan fitur konektivitas jaringan klasik untuk menyebarkan sumber daya sarana komputasi klasik di jaringan virtual Anda sendiri dan untuk mengaktifkan konektivitas privat dari kluster ke sarana kontrol. Lihat Jaringan bidang komputasi klasik.
- Outbound: Bidang komputasi dan penyimpanan tanpa server: Anda dapat mengonfigurasi firewall pada sumber daya Anda untuk memungkinkan akses dari bidang komputasi tanpa server Azure Databricks. Lihat Jaringan sarana komputasi tanpa server.
Gunakan diagram berikut untuk memvisualisasikan cara data mengalir melalui Databricks.
Pilih arsitektur jaringan Anda
Arsitektur ini memberikan keamanan jaringan untuk setiap jenis konektivitas dalam perkembangan. Mulailah dengan Keamanan terkelola sebagai garis besar dan lapisan kontrol Anda saat kebutuhan Anda meningkat. Sebagian besar organisasi memperkuat lalu lintas masuk dan keluar sebelum beralih ke konektivitas privat penuh.
| Architecture | Description |
|---|---|
| Keamanan terkelola | Titik awalmu. Infrastruktur yang dikelola Azure Databricks dengan setelan bawaan yang aman. Terapkan kontrol Unity Catalog di atas garis besar ini untuk tata kelola data. |
| Konektivitas yang diperkeras | Memperkuat ingress dan egress sebagai lapisan tambahan di atas keamanan terkelola. Terbaik untuk organisasi yang harus memiliki auditabilitas dan kontrol akses tanpa menghilangkan titik akhir publik. |
| Lingkungan terisolasi | Menjadikan semua akses bersifat privat selain konektivitas Hardened. Untuk industri yang diatur (layanan keuangan, layanan kesehatan, pemerintah) dengan persyaratan eksfiltrasi data yang ketat. |
Fitur matriks
Tabel berikut ini memperlihatkan fitur keamanan jaringan mana yang berlaku untuk setiap arsitektur:
| Connectivity | Feature | Keamanan terkelola | Konektivitas yang diperkeras | Lingkungan terisolasi |
|---|---|---|---|---|
| Komputasi tradisional | Konektivitas Kluster Aman (SCC) | Yes | Yes | Yes |
| Komputasi tradisional | Injeksi VNet | Yes | Yes | Yes |
| Komputasi tradisional | Bidang komputasi klasik Private Link | Optional | Yes | Yes |
| Masuk | Private Link masuk ruang kerja | No | No | Yes |
| Masuk | Private Link penghubung masuk untuk layanan dengan kinerja tinggi | No | No | Yes |
| Masuk | Daftar akses IP ruang kerja | No | Yes | Yes |
| Masuk | Daftar akses IP tingkat akun | No | Yes | Yes |
| Masuk | Daftar akses IP Delta Sharing | No | Yes | Yes |
| Outbound | Kontrol keluar tanpa server | No | Yes | Yes |
| Outbound | Private Link tanpa server (titik akhir privat NCC) | No | Yes | Yes |
| Outbound | IP stabil tanpa server | Yes | Yes | Yes |
| Outbound | Firewall eksternal | Optional | Optional | Yes |
Sumber daya tambahan
| Sumber Daya | Description |
|---|---|
| Praktik terbaik keamanan Databricks | Arsitektur referensi keamanan, Security Analysis Tool (SAT), dan laporan resmi keamanan AWS. |
| Biaya jaringan | Merencanakan dan mengelola biaya jaringan di seluruh penyebaran Azure Databricks. |