Abilitare collegamento privato di Azure come distribuzione standard

Questo articolo illustra come usare collegamento privato di Azure per abilitare la connettività privata tra gli utenti e le aree di lavoro di Databricks e anche tra cluster nel piano di calcolo classico e i servizi principali nel piano di controllo all'interno dell'infrastruttura dell'area di lavoro di Databricks.

Nota

• Per i requisiti e una panoramica delle collegamento privato, vedere Abilitare le connessioni back-end e front-end collegamento privato di Azure.
• Esistono due tipi di distribuzione: standard e semplificati. Questo articolo descrive la distribuzione standard. Per confrontare questi tipi di distribuzione, vedere Scegliere la distribuzione standard o semplificata.

Introduzione alle connessioni front-end in una distribuzione standard

Per supportare connessioni front-end private all'applicazione Web Azure Databricks per i client che non dispongono di connettività Internet pubblica, è necessario aggiungere un endpoint privato di autenticazione del browser per supportare i callback di accesso Single Sign-On (SSO) all'applicazione Web Azure Databricks. In genere, queste connessioni utente passano attraverso una rete virtuale che gestisce le connessioni alla rete locale e alla VPN, denominata rete virtuale di transito.

Suggerimento

Se si implementano solo connessioni back-end collegamento privato, non è necessaria una rete virtuale di transito o un endpoint privato di autenticazione del browser e ignorare il resto di questa sezione.

Un endpoint privato di autenticazione del browser è una connessione privata con tipo browser_authenticationdi risorsa secondaria. Ospita una connessione privata da una rete virtuale di transito che consente a Microsoft Entra ID (in precedenza Azure Active Directory) di reindirizzare gli utenti dopo l'accesso all'istanza corretta del piano di controllo di Azure Databricks.

• Se si prevede di consentire le connessioni dalla rete di transito client utente a Internet pubblico, è consigliabile aggiungere un endpoint privato di autenticazione del browser, ma non obbligatorio.
• Se si prevede di impedire le connessioni dalla rete di transito client alla rete Internet pubblica, è necessario aggiungere un endpoint privato di autenticazione del browser.

L'endpoint privato di autenticazione del browser viene condiviso tra tutte le aree di lavoro nell'area che condividono la stessa zona DNS privata. Si noti anche che alcune soluzioni DNS aziendali limitano efficacemente l'utente a un endpoint privato a livello di area per l'autenticazione del browser.

Importante

Per ospitare le impostazioni di rete privata dell'autenticazione Web, Databricks consiglia vivamente di creare un'area di lavoro denominata area di lavoro di autenticazione Web privata per ogni area. In questo modo si risolve il problema di eliminare un'area di lavoro potenzialmente che interessa altre aree di lavoro in tale area. Per altri dettagli e contesto, vedere Passaggio 4: Creare un endpoint privato per supportare l'accesso SSO per il Web browser.

Diagrammi dei flussi di rete e degli oggetti di rete

Il diagramma seguente illustra il flusso di rete in un'implementazione tipica della distribuzione standard collegamento privato:

Il diagramma seguente illustra l'architettura degli oggetti di rete:

Per confrontarlo con la distribuzione semplificata collegamento privato, vedere Diagrammi di oggetti di rete e flusso di rete

Passaggio 1: Creare gruppi di risorse

1. Nel portale di Azure passare al pannello gruppi di risorse.
2. Fare clic su Crea gruppo di risorse per creare un gruppo di risorse per l'area di lavoro. Impostare la sottoscrizione di Azure, l'area e il nome del gruppo di risorse. Fare clic su Revisione e creazione e quindi su Crea.
3. Ripetere il passaggio precedente per creare un gruppo di risorse per le risorse collegamento privato, ad esempio l'endpoint e la zona collegamento privato. L'area non deve corrispondere all'area di lavoro. Usare l'area di Azure corrispondente all'area che si intende usare per la rete virtuale di transito. Se l'area dell'area di lavoro e l'area di rete virtuale di transito non corrispondono, sono previsti costi aggiuntivi per il trasferimento dei dati tra aree.

Passaggio 2: Creare o preparare la rete virtuale dell'area di lavoro

Potrebbe essere già disponibile una rete virtuale che verrà usata oppure è possibile creare una nuova rete virtuale specifica per Azure Databricks.

Per i requisiti per gli intervalli IP della rete virtuale e le due subnet necessarie per l'area di lavoro, vedere l'articolo Distribuire Azure Databricks nella rete virtuale di Azure (VNet injection).For the requirements for the IP ranges of the VNet and the two required subnets for the workspace, see the article Deploy Azure Databricks in your Azure virtual network (VNet injection).

Gli intervalli IP della rete virtuale e della subnet usati per Azure Databricks definiscono il numero massimo di nodi del cluster che è possibile usare contemporaneamente. Scegliere questi valori con attenzione per soddisfare i requisiti di rete dell'organizzazione e il numero massimo di nodi del cluster che si prevede di usare contemporaneamente con Azure Databricks. Vedere Spazio indirizzi e numero massimo di nodi del cluster.

Ad esempio, è possibile creare una rete virtuale con questi valori:

• Intervallo IP: rimuovere prima l'intervallo IP predefinito e quindi aggiungere l'intervallo 10.28.0.0/23IP .
• Creare una subnet public-subnet con intervallo 10.28.0.0/25.
• Creare una subnet private-subnet con intervallo 10.28.0.128/25.
• Creare una subnet private-link con intervallo 10.28.1.0/27.

Passaggio 3: Effettuare il provisioning di un'area di lavoro di Azure Databricks e di endpoint privati

Distribuire una nuova area di lavoro di Azure Databricks con le impostazioni seguenti:

• Per la rete per le risorse di calcolo, distribuire l'area di lavoro di Azure Databricks nella propria rete virtuale. Questa funzionalità è nota come Distribuire Azure Databricks nella rete virtuale di Azure (inserimento rete virtuale).
• Connettività sicura del cluster (nota anche come No-Public-IP/NPIP).
• Supporto per i collegamenti privati.

Per distribuire un'area di lavoro con queste impostazioni, sono disponibili diverse opzioni, tra cui un'interfaccia utente nella portale di Azure, un modello personalizzato (che è possibile applicare nell'interfaccia utente, con l'interfaccia della riga di comando di Azure o PowerShell) o Terraform. Per usare un modello personalizzato per creare un'area di lavoro collegamento privato abilitata, usare questo modello.

Indipendentemente dall'approccio scelto, impostare questi valori durante la creazione della nuova area di lavoro:

• Accesso alla rete pubblica (per collegamento privato front-end) (nel modello come publicNetworkAccess): controlla le impostazioni per il caso d'uso front-end di collegamento privato.
  • Se questa Enabled opzione è impostata su (impostazione predefinita), gli utenti e i client API REST su Internet pubblico possono accedere ad Azure Databricks, anche se è possibile limitare l'accesso a intervalli IP specifici da reti di origine approvate usando Configura elenchi di accesso IP per le aree di lavoro.
  • Se si imposta questa opzione su Disabled, non è consentito l'accesso utente dalla rete Internet pubblica. Se è impostata su Disabilitato, è possibile accedere alla connessione front-end solo usando collegamento privato connettività e non dalla rete Internet pubblica. Gli elenchi di accesso IP non sono validi per le connessioni collegamento privato.
  • Se si vuole usare solo collegamento privato back-end (nessun collegamento privato front-end), è necessario impostare l'accesso alla rete pubblica su Enabled.
• Regole NSG obbligatorie (per collegamento privato back-end) (nel modello come requiredNsgRules): Valori possibili:
  • Tutte le regole (impostazione predefinita): questo valore si trova nel modello come AllRules. Ciò indica che il piano di calcolo dell'area di lavoro necessita di un gruppo di sicurezza di rete che include le regole di Azure Databricks che consentono le connessioni su Internet pubblico dal piano di calcolo al piano di controllo. Se non si usa collegamento privato back-end, usare questa impostazione.
  • Nessuna regola di Azure Databricks: questo valore si trova nel modello come NoAzureDatabricksRules: usare questo valore se si usa collegamento privato back-end, il che significa che il piano di calcolo dell'area di lavoro non richiede regole del gruppo di sicurezza di rete per connettersi al piano di controllo di Azure Databricks. Se si usa collegamento privato back-end, usare questa impostazione.
• Abilitare la connettività del cluster sicuro (nessun indirizzo IP pubblico) (nel modello come Disable Public Ip): Impostare sempre su Sì (true), che abilita la connettività sicura del cluster.

La combinazione delle impostazioni Accesso alla rete pubblica (nel modello publicNetworkAccess) e Regole NSG obbligatorie (nel modello requiredNsgRules) definiscono i tipi di collegamento privato supportati.

La tabella seguente illustra gli scenari supportati per i due casi d'uso principali collegamento privato, ovvero front-end e back-end.

Scenario	Impostare l'accesso alla rete pubblica su questo valore	Impostare regole NSG obbligatorie su questo valore	Creare questi endpoint
Nessun collegamento privato per front-end o back-end	Attivata	Tutte le regole	n/d
Configurazione consigliata: sia front-end che back-end collegamento privato. La connettività front-end è bloccata per richiedere collegamento privato.	Disabilitata	NoAzureDatabricksRules	Uno per il back-end (obbligatorio). Uno per front-end (obbligatorio). Inoltre, un endpoint privato di autenticazione del browser per area.
Sia front-end che back-end collegamento privato. La connettività front-end ibrida consente di collegamento privato o Internet pubblico, in genere usando Configura elenchi di accesso IP per le aree di lavoro. Usare questo approccio ibrido se si usa collegamento privato per l'accesso utente locale, ma è necessario consentire intervalli CIDR Internet specifici. Gli intervalli aggiuntivi possono essere usati per i servizi di Azure, ad esempio SCIM o Azure Machine Learning, o per fornire l'accesso esterno per JDBC, automazione cloud o strumenti di amministrazione.	Attivata	NoAzureDatabricksRules	Uno per il back-end (obbligatorio). Un endpoint per front-end (facoltativo). Inoltre, un endpoint privato di autenticazione del browser per area.
Solo collegamento privato front-end. La connettività front-end è bloccata per richiedere collegamento privato (l'accesso alla rete pubblica è disabilitato). Nessun collegamento privato per il back-end.	Si tratta di uno scenario non supportato.	Si tratta di uno scenario non supportato.	Si tratta di uno scenario non supportato.
Solo collegamento privato front-end. La connettività front-end ibrida consente collegamento privato o Internet pubblico, ad esempio l'uso di Configurare gli elenchi di accesso IP per le aree di lavoro. Nessun collegamento privato per il back-end.	Attivata	Tutte le regole	Un endpoint per front-end (facoltativo). Inoltre, un endpoint privato di autenticazione del browser per area.
Solo collegamento privato back-end. Il front-end usa Internet pubblico, ad esempio configura gli elenchi di accesso IP per le aree di lavoro. Nessun collegamento privato per il front-end.	Attivata	NoAzureDatabricksRules	Un endpoint per il back-end (obbligatorio).

Impostare queste impostazioni di configurazione dell'area di lavoro:

• Impostare Piano tariffario su Premium (in un modello, questo valore è premium)
• Se si abilita una connettività back-end, impostare Disable Public Ip (secure cluster connectivity) su Sì (in un modello, questo valore è true).
• Impostare Rete > Deploy Azure Databricks workspace in your own Rete virtuale (VNet) su Sì (in un modello, questo valore è true)

Nota

In generale, è necessario abilitare collegamento privato quando si crea una nuova area di lavoro. Tuttavia, se si dispone di un'area di lavoro esistente che non ha mai avuto collegamento privato accesso front-end o back-end o se sono stati usati i valori predefiniti per l'accesso alla rete pubblica (abilitato) e le regole NSG necessarie (Tutte le regole), è possibile scegliere di aggiungere front-end collegamento privato in un secondo momento. Tuttavia, l'accesso alla rete pubblica rimarrà abilitato in modo che solo alcune delle opzioni di configurazione siano disponibili.

È possibile creare l'area di lavoro in due modi:

Creare l'area di lavoro e gli endpoint privati nell'interfaccia utente di portale di Azure

Il portale di Azure include automaticamente i due campi collegamento privato (accesso alla rete pubblica e Regole NSG necessarie) durante la creazione di una nuova area di lavoro di Azure Databricks.

1. Per creare l'area di lavoro con la propria rete virtuale (inserimento rete virtuale). Per configurare e ridimensionare le subnet, seguire la procedura dell'area di lavoro in Distribuire Azure Databricks nella rete virtuale di Azure (inserimento reti virtuali), ma non premere ancora Crea.

   Impostare i seguenti campi:

   1. Impostare Piano tariffario su premium o altrimenti non verranno visualizzati i campi collegamento privato nell'interfaccia utente.
   2. Impostare Rete > Deploy Azure Databricks workspace with Secure Cluster Connectivity (No Public IP) (Distribuire l'area di lavoro di Azure Databricks con Connettività cluster sicura (nessun indirizzo IP pubblico) su Sì.
   3. Impostare Rete > Deploy Azure Databricks workspace in your own Rete virtuale (VNet) su Sì.
   4. Impostare le subnet in base alla rete virtuale creata in un passaggio precedente. Per informazioni dettagliate, vedere l'articolo relativo all'inserimento di reti virtuali.
   5. Impostare collegamento privato campi dell'area di lavoro Accesso alla rete pubblica e Regole Nsg necessarie in base alla tabella degli scenari descritta nel passaggio 3: Effettuare il provisioning di un'area di lavoro di Azure Databricks e di endpoint privati.

   Lo screenshot seguente mostra i quattro campi più importanti per la connettività collegamento privato.

   

2. Creare un endpoint privato per la connettività back-end:

   1. Cercare la sezione Endpoint privati sotto i campi mostrati nello screenshot precedente. Se non sono visibili, probabilmente non è stato impostato il piano tariffario su Premium.

      

   2. Fare clic su + Aggiungi.

      portale di Azure mostra Pannello Crea endpoint privato all'interno dell'area di lavoro di creazione.

      

      Quando si crea l'endpoint privato dall'interno dell'area di lavoro, alcuni campi di Azure per questo tipo di oggetto non vengono visualizzati perché vengono popolati automaticamente e non modificabili. Alcuni campi sono visibili ma non devono essere modificati:

      • Il campo della sotto-risorsa di Azure Databricks è visibile e popolato automaticamente con il valore databricks_ui_api. Tale valore della sotto-risorsa rappresenta il piano di controllo di Azure Databricks corrente per l'area di lavoro. Questo valore del nome della sotto-risorsa viene usato per gli endpoint privati per la connettività back-end e front-end.

      • Dopo aver impostato il gruppo di risorse, la rete virtuale e la subnet, la zona DNS privato viene popolata automaticamente con un valore se si usa il DNS predefinito creato da Azure anziché un DNS personalizzato.

        Importante

        Azure potrebbe non scegliere automaticamente la zona DNS privato da usare. Esaminare il valore per il campo zona DNS privato e modificarlo in base alle esigenze.

   3. Impostare Località in modo che corrisponda all'area dell'area di lavoro. Si noti che per l'area dell'endpoint privato back-end e l'area dell'area di lavoro devono corrispondere, anche se per le connessioni endpoint privati front-end, le aree non devono corrispondere.

   4. Impostare la rete virtuale sulla rete virtuale dell'area di lavoro.

   5. Impostare la subnet su collegamento privato subnet specifica nell'area di lavoro. Per informazioni correlate, vedere Requisiti di rete.

   6. Per un uso tipico con IL DNS di Azure predefinito, impostare Integrazione con la zona DNS privata su Sì. Le altre istruzioni presuppongono che tu abbia scelto Sì.

      Se l'organizzazione gestisce un DNS personalizzato, è possibile impostare questa opzione su No, ma consultare questo articolo di Microsoft sulla configurazione DNS prima di procedere. Se si hanno domande, contattare il team dell'account Azure Databricks.

   7. Fare clic su OK per creare l'endpoint privato e tornare al pannello di creazione dell'area di lavoro.

   8. È possibile creare un solo endpoint privato direttamente dall'interno del flusso di creazione dell'area di lavoro. Per creare un endpoint privato front-end separato dalla rete virtuale di transito, è necessario creare un endpoint privato aggiuntivo, ma è necessario eseguire questa operazione dopo la distribuzione dell'area di lavoro.

      Per finalizzare la creazione dell'area di lavoro, fare clic su Rivedi e crea e quindi su Crea.

      Attendere che l'area di lavoro venga distribuita, quindi fare clic su Vai alla risorsa. Si tratta dell'oggetto portale di Azure per l'area di lavoro di Azure Databricks. Prendere in considerazione l'aggiunta di questa risorsa al dashboard di Azure per facilitarne l'accesso.

3. Creare un endpoint privato front-end aggiuntivo per connettere la rete virtuale di transito al piano di controllo di Azure Databricks:

   1. Dall'oggetto area di lavoro nella portale di Azure fare clic su Rete.
   2. Fare clic sulla scheda Connessioni endpoint privato.
   3. Fare clic su + Endpoint privato.
   4. Impostare il gruppo di risorse sul gruppo di risorse per la connessione front-end.
   5. Per l'area, un endpoint privato front-end deve trovarsi nella stessa area della rete virtuale di transito, ma può trovarsi in un'area diversa rispetto all'area di lavoro o al piano di controllo.

Creare l'area di lavoro usando un modello personalizzato e, facoltativamente, aggiungere endpoint privati front-end

Se non si vuole usare l'interfaccia utente standard portale di Azure per creare l'area di lavoro, è possibile usare un modello per distribuire l'area di lavoro. È possibile usare il modello con:

• interfaccia portale di Azure
• Interfaccia della riga di comando di Azure
• Azure PowerShell
• Terraform

Il modello arm di distribuzione all-in-one per collegamento privato crea le risorse seguenti:

• Gruppi di sicurezza di rete

• Gruppi di risorse

• Rete virtuale che include subnet per l'area di lavoro (le due subnet standard) e collegamento privato (una subnet aggiuntiva)

• Area di lavoro di Azure Databricks

• Endpoint collegamento privato back-end con zona DNS privata

  Nota

  Il modello non crea un endpoint front-end dalla rete virtuale di transito. Dopo la creazione dell'area di lavoro, è possibile aggiungere l'endpoint manualmente.

1. È possibile distribuire il modello direttamente dalla pagina principale del modello.

2. Per distribuirla direttamente, fare clic su Distribuisci in Azure. Per visualizzare l'origine, fare clic su Sfoglia su GitHub.

   In entrambi i casi, impostare i valori dei parametri seguenti per il modello:

   • Impostare pricingTier su premium. Se si lascia questa opzione come standard, il portale di Azure nasconde i campi di configurazione specifici per collegamento privato.
   • Impostare enableNoPublicIp (Disabilita ip pubblico) su true
   • Impostare publicNetworkAccess e requiredNsgRules in base alla tabella descritta nel passaggio 3: Effettuare il provisioning di un'area di lavoro e di endpoint privati di Azure Databricks
   • Impostare su networkSecurityGroup ID per il gruppo di sicurezza di rete dell'area di lavoro.

3. Attendere la distribuzione dell'area di lavoro.

4. Passare alla nuova risorsa **Servizio Azure Databricks che rappresenta l'area di lavoro. Si tratta dell'oggetto portale di Azure per l'area di lavoro di Azure Databricks. Prendere in considerazione l'aggiunta di questa risorsa al dashboard di Azure per facilitarne l'accesso.

5. (Solo front-end collegamento privato) Creare la connessione front-end alla rete virtuale di transito:

   1. Nel riquadro di spostamento sinistro fare clic su Impostazioni>rete.
   2. Fare clic sulla scheda Connessioni endpoint privato.
   3. Fare clic su + Endpoint privato.
   4. Impostare il gruppo di risorse sul gruppo di risorse per la connessione front-end.
   5. Per l'area, l'endpoint privato front-end deve trovarsi nella stessa area della rete virtuale di transito, ma può trovarsi in un'area diversa rispetto all'area di lavoro o al piano di controllo.

Passaggio 4: Creare un endpoint privato per supportare l'accesso SSO per il Web browser

Importante

Ignorare questo passaggio se non si implementa collegamento privato front-end. Inoltre, se tutte le aree di lavoro nell'area supportano collegamento privato connessioni front-end e la rete client (la rete virtuale di transito) consente l'accesso a Internet pubblico, la configurazione descritta in questo passaggio è consigliata ma facoltativa.

L'autenticazione utente nell'applicazione Web Azure Databricks usa OAuth come parte dell'implementazione dell'accesso SSO di Microsoft Entra (in precedenza Azure Active Directory). Durante l'autenticazione, il browser utente si connette al piano di controllo di Azure Databricks. Inoltre, il flusso OAuth richiede un reindirizzamento di callback di rete dall'ID Microsoft Entra. Se è stata configurata la collegamento privato front-end, senza configurazione aggiuntiva il reindirizzamento della rete SSO ha esito negativo. Ciò significa che gli utenti nella rete virtuale di transito non sarebbero in grado di eseguire l'autenticazione in Azure Databricks. Si noti che questo problema si applica all'accesso utente all'interfaccia utente dell'applicazione Web tramite una connessione front-end, ma non si applica alle connessioni API REST perché l'autenticazione api REST non usa callback SSO.

Per supportare l'autenticazione del Web browser, se la rete client (rete virtuale di transito) non consente l'accesso a Internet pubblico, è necessario creare un endpoint privato di autenticazione del browser per supportare i callback di autenticazione Single Sign-On (SSO). Un endpoint privato di autenticazione del browser è un endpoint privato con la sotto-risorsa denominata browser_authentication. La creazione di un endpoint privato di autenticazione del browser fa sì che Azure Databricks configuri automaticamente i record DNS per il callback da Microsoft Entra ID durante l'accesso SSO. Le modifiche DNS vengono apportate per impostazione predefinita nella zona DNS privata associata alla rete virtuale dell'area di lavoro.

Per un'organizzazione con più aree di lavoro, è importante comprendere che una configurazione di rete configurata correttamente è esattamente un endpoint privato di autenticazione del browser per ogni area di Azure Databricks per ogni zona DNS privata. L'endpoint privato di autenticazione del browser configura l'autenticazione Web privata per tutte le aree di lavoro collegamento privato nell'area che condividono la stessa zona DNS privata.

Ad esempio, se si dispone di 10 aree di lavoro di produzione nell'area Stati Uniti occidentali che condividono la stessa zona DNS privata, si avrà un endpoint privato di autenticazione del browser per supportare queste aree di lavoro.

Importante

• Se un utente elimina l'area di lavoro che ospita l'endpoint privato di autenticazione del browser per tale area, interrompe l'autenticazione Web dell'utente per qualsiasi altra area di lavoro in tale area che si basava sull'endpoint privato di autenticazione del browser e sulla configurazione DNS correlata per i callback SSO.
• Per ridurre i rischi derivanti dall'eliminazione dell'area di lavoro e incoraggiare la configurazione standard dell'area di lavoro per le aree di lavoro di produzione, Databricks consiglia vivamente di creare un'area di lavoro di autenticazione Web privata per ogni area.
• Per le distribuzioni non di produzione, è possibile semplificare l'implementazione omettendo l'area di lavoro di autenticazione Web privata aggiuntiva. In tal caso, l'endpoint di autenticazione Web si connetterà a una delle altre aree di lavoro in tale area.

Un'area di lavoro di autenticazione Web privata è un'area di lavoro creata nella stessa area delle aree di lavoro di Azure Databricks e il suo unico scopo è ospitare la connessione dell'endpoint privato di autenticazione del browser da una rete virtuale di transito specifica alle aree di lavoro di Produzione effettive di Azure Databricks in tale area. In tutti gli altri modi, l'area di lavoro di autenticazione Web privata non viene usata per nulla, ad esempio non usarla per l'esecuzione di processi o altri carichi di lavoro. Non sono necessari dati utente effettivi o connettività di rete in ingresso diversi dall'endpoint privato di autenticazione del browser. È possibile configurarlo in modo che non abbia accesso utente. Impostando l'impostazione Accesso alla rete pubblica su Disabilitato e non creare endpoint privati front-end per l'area di lavoro, gli utenti non hanno accesso all'account di accesso utente all'area di lavoro.

Per visualizzare il funzionamento dell'area di lavoro di autenticazione Web privata con altri oggetti per la connettività collegamento privato, vedere il diagramma precedente in questo articolo.

L'area di lavoro di autenticazione Web privata funge da servizio di callback per tutte le aree di lavoro nell'area per l'accesso SSO utente durante l'accesso. Al termine dell'accesso alle normali aree di lavoro, l'area di lavoro di autenticazione Web privata non viene usata fino al successivo accesso.

Indipendentemente dal fatto che si scelga di creare un'area di lavoro di autenticazione Web privata, è necessario scegliere un'area di lavoro nell'area che ospiterà la destinazione dell'endpoint privato di autenticazione del browser. Nella portale di Azure scegliere un oggetto dell'area di lavoro di Azure Databricks che contiene l'endpoint privato di autenticazione del browser. In fase di esecuzione, l'accesso alla rete effettiva proviene dalla rete virtuale di transito all'ID Microsoft Entra. Dopo aver eseguito l'accesso con l'ID Microsoft Entra, il Web browser dell'utente viene reindirizzato all'istanza corretta del piano di controllo.

Suggerimento

Databricks consiglia vivamente la configurazione dell'area di lavoro di autenticazione Web privata se sono presenti più aree di lavoro che condividono una configurazione DNS privata. È possibile scegliere di omettere l'area di lavoro di autenticazione Web privata per una delle condizioni seguenti:

• Si dispone di una sola area di lavoro nell'area e si è certi che non si aggiungeranno altri elementi in un secondo momento.
• Si è certi che non sarà necessario eliminare alcuna area di lavoro.
• Distribuzioni non di produzione.

In uno di questi casi, omettere l'area di lavoro di autenticazione Web privata e scegliere invece una delle aree di lavoro di produzione per ospitare l'endpoint privato di autenticazione del browser. Tenere tuttavia conto dei rischi che l'eliminazione finale dell'area di lavoro impedirà immediatamente l'autenticazione utente per altre aree di lavoro nell'area con supporto collegamento privato front-end.

Per creare un endpoint privato per supportare l'accesso SSO:

1. Passaggio consigliato ma facoltativo: creare un'area di lavoro di autenticazione Web privata per ospitare il servizio di autenticazione Web.

   1. Creare un gruppo di risorse per ospitare l'area di lavoro di autenticazione Web privata. Crearne uno per ogni area in cui sono state distribuite le aree di lavoro di Azure Databricks.

   2. Creare un'area di lavoro di autenticazione Web privata per ogni area in cui sono state distribuite le aree di lavoro di Azure Databricks.

      • È possibile usare la portale di Azure, l'interfaccia della riga di comando di Azure, PowerShell o Terraform per creare una nuova area di lavoro di Azure Databricks.
      • Impostare il livello su Premium.
      • Impostare il nome dell'area di lavoro su WEB_AUTH_DO_NOT_DELETE_<region> per assicurarsi che non venga eliminato.
      • Impostare Regole NSG obbligatorie (requiredNsgRules) sul valore NoAzureDatabricksRules.
      • Impostare Connettività del cluster sicura (NPIP) () sudisablePublicIp Abilitato.
      • Creare l'area di lavoro nella stessa area delle altre aree di lavoro di produzione.
      • Usare l'inserimento della rete virtuale. Creare o usare una rete virtuale separata dalla rete virtuale usata per la rete virtuale dell'area di lavoro principale.
      • Impostare Accesso alla rete pubblica () supublicNetworkAccess Disabilitato.
      • Non inserire alcun carico di lavoro di Azure Databricks in questa area di lavoro.
      • Non aggiungere endpoint privati diversi dall'endpoint privato di autenticazione del browser. Ad esempio, non creare alcun endpoint privato con la databricks_ui_api sotto-risorsa, che abiliterebbe le connessioni front-end o back-end all'area di lavoro, che non è necessario.

      Per informazioni dettagliate sulla distribuzione di un'area di lavoro tramite l'inserimento di reti virtuali, vedere Distribuire Azure Databricks nella rete virtuale di Azure (VNet injection).

      Per creare l'area di lavoro, è possibile usare il modello arm all-in-one standard e seguire i requisiti elencati in precedenza per la configurazione dell'area di lavoro.

   3. Dopo aver creato l'area di lavoro di autenticazione Web privata, impostare un blocco su di esso per impedire l'eliminazione dell'area di lavoro. Passare all'istanza del servizio Azure Databricks in portale di Azure. Nel riquadro di spostamento sinistro fare clic su Blocchi. Fare clic su +Aggiungi. Impostare Tipo di blocco su Elimina. Assegnare un nome al blocco. Fare clic su OK.

      

2. In portale di Azure passare all'istanza del servizio Azure Databricks che rappresenta l'area di lavoro.

   • Se si usa un'area di lavoro di autenticazione Web privata, passare all'oggetto istanza del servizio Azure Databricks per l'area di lavoro di autenticazione Web privata.
   • Se non si usa un'area di lavoro di autenticazione Web privata, scegliere un'area di lavoro che ospiterà l'endpoint privato dell'autenticazione Web. Tenere presente che l'eliminazione di tale area di lavoro eliminerà i record DNS necessari per tutte le altre aree di lavoro in tale area che usano collegamento privato connessioni front-end. in portale di Azure aprire il pannello dell'istanza del servizio Azure Databricks dell'area di lavoro.

3. Passare a Impostazioni Connessioni>endpoint privato di rete.>

4. Fare clic sul pulsante + Aggiungi per creare un endpoint privato per questa area di lavoro.

5. Il portale di Azure mostra il pannello Crea endpoint privato all'interno del flusso di creazione dell'area di lavoro.

   

6. Nel passaggio Risorsa impostare il campo Sotto-risorsa di destinazione su browser_authentication.

   Si noti che i campi Tipo di risorsa e Risorsa fanno automaticamente riferimento all'istanza dell'area di lavoro del servizio Azure Databricks che si sta modificando.

   

7. Nel passaggio Rete virtuale:

   

   • Impostare la rete virtuale sulla rete virtuale di transito.
   • Impostare la subnet sul collegamento privato subnet specifica nella rete virtuale di transito. Questa subnet non deve essere una delle subnet standard usate per l'inserimento della rete virtuale. Se la subnet non è ancora stata creata, eseguire questa operazione in un'altra finestra del browser. Per informazioni correlate, vedere i requisiti di rete.

8. Nel passaggio DNS:

   

   • Per un uso tipico con IL DNS di Azure predefinito, impostare Integrazione con la zona DNS privata su Sì.

     Se l'organizzazione gestisce il proprio DNS personalizzato, è possibile impostare l'integrazione con la zona DNS privata su No, ma leggere questo articolo di Microsoft sulla configurazione DNS prima di procedere. Se si hanno domande, contattare il team dell'account Azure Databricks.

     Le altre istruzioni contenute in questo articolo presuppongono che tu abbia scelto Sì.

   • Verificare che il campo Gruppo di risorse sia impostato sul gruppo di risorse corretto. Potrebbe essere stato prepopolato nel gruppo di risorse corretto, ma non è garantito. Impostarlo sulla stessa rete virtuale dell'endpoint privato front-end.

     Importante

     Si tratta di un passaggio comune per la configurazione errata, quindi eseguire attentamente questo passaggio.

9. Fare clic su OK per creare l'endpoint privato.

10. Se si esegue l'integrazione con DNS di Azure predefinito, è ora possibile verificare che il DNS sia stato configurato automaticamente dall'endpoint privato di autenticazione del browser creato. Ad esempio, se si esamina all'interno della zona DNS privata, verranno visualizzati uno o più nuovi A record con nomi che terminano in .pl-auth. Si tratta di record che rappresentano i callback SSO per ogni istanza del piano di controllo nell'area. Se in tale area sono presenti più istanze del piano di controllo di Azure Databricks, saranno presenti più record A .

    

DNS personalizzato

Se si usa DNS personalizzato, è necessario assicurarsi che la configurazione DNS appropriata sia configurata per supportare i callback di autenticazione SSO. Per indicazioni, contattare il team dell'account di Azure Databricks.

Se si usa un endpoint privato front-end e gli utenti accedono all'area di lavoro di Azure Databricks da una rete virtuale di transito per cui è stato abilitato il DNS personalizzato, è necessario abilitare l'indirizzo IP dell'endpoint privato per l'area di lavoro in modo che sia accessibile usando l'URL dell'area di lavoro.

Potrebbe essere necessario configurare l'inoltro condizionale ad Azure o creare un record DNS A per l'URL dell'area di lavoro in DNS personalizzato (dns locale o interno). Per istruzioni dettagliate su come abilitare l'accesso ai servizi abilitati per collegamento privato, vedere Configurazione DNS dell'endpoint privato di Azure.

Ad esempio, se si esegue direttamente il mapping degli URL delle risorse agli indirizzi IP dell'endpoint privato front-end nel DNS interno, sono necessarie due voci:

• Un record DNS A esegue il mapping dell'URL per area di lavoro (adb-1111111111111.15.azuredatabricks.net) all'indirizzo IP dell'endpoint privato front-end.

• Uno o più record DNS A eseguono il mapping dell'URL di risposta del flusso OAuth di Microsoft Entra ID all'indirizzo IP dell'endpoint privato front-end, ad esempio westus.pl-auth.azuredatabricks.net. Poiché un'area potrebbe avere più di un'istanza del piano di controllo, potrebbe essere necessario aggiungere più A record, uno per ogni istanza del piano di controllo.

  Nota

  Se si usa un DNS personalizzato, per ottenere il set di domini di istanza del piano di controllo che è necessario usare per le aree da usare, contattare il team dell'account di Azure Databricks. Alcune aree hanno più di un'istanza del piano di controllo.

Oltre ai singoli A record necessari per l'accesso all'endpoint privato dell'area di lavoro, è necessario configurare almeno un set di record DNS OAuth (browser_authentication) per area. In questo modo viene fornito l'accesso client privato tra le aree di lavoro OAuth a tutte le aree di lavoro nell'area perché l'endpoint browser_authentication privato al piano di controllo viene condiviso tra le aree di lavoro in tale area.

In alternativa, è possibile consentire il traffico OAuth in uscita sulla rete pubblica se è consentito l'accesso a Internet pubblico e condividere un singolo indirizzo IP dell'endpoint privato da utente a area di lavoro per tutte le business unit sarebbe un problema dovuto al DNS comune.

Dopo aver preparato queste configurazioni, dovrebbe essere possibile accedere all'area di lavoro di Azure Databricks e avviare i cluster per i carichi di lavoro.

Passaggio 5: Testare l'autenticazione SSO dell'utente nell'area di lavoro

È necessario testare l'autenticazione nella nuova area di lavoro. Per il tentativo di autenticazione iniziale, avviare l'area di lavoro dall'interno del portale di Azure. Nell'oggetto area di lavoro è presente un pulsante Avvia area di lavoro, che è importante. Quando si fa clic su di esso, Azure Databricks tenta di accedere all'area di lavoro ed eseguire il provisioning dell'account utente amministratore dell'area di lavoro iniziale. È importante testare l'autenticazione per assicurarsi che l'area di lavoro funzioni correttamente.

1. Fare clic sul pulsante Avvia area di lavoro.

2. Testare l'accesso alla rete dalla rete virtuale di transito o da un percorso di rete che esegue il peering. Ad esempio, se la rete locale ha accesso alla rete virtuale di transito, è possibile controllare l'accesso SSO utente dalla rete locale. Verificare l'accesso di rete dalla rete di test alla subnet di transito.

   • Se è stata abilitata la collegamento privato front-end, è necessario testare che l'autenticazione venga eseguita correttamente dalla rete virtuale di transito. Se è già stato usato ExpressRoute o VPN per connettere la rete locale alla rete virtuale di transito e se l'utente si trova in una posizione instradabile in grado di connettersi alla rete virtuale di transito, è possibile testare l'autenticazione di Azure Databricks accedendo dalla rete corrente.

   Se non si è in un percorso di rete in grado di accedere alla subnet di transito, è possibile testare la connettività creando una macchina virtuale nella subnet di transito o in un percorso di rete che possa raggiungerlo. Ad esempio, usare una macchina virtuale Windows 10:

   1. Passare al pannello Macchina virtuale nel portale di Azure.
   2. Creare una macchina virtuale Windows 10 nella rete virtuale e nella subnet di test.
   3. Connettersi con un client RDP, ad esempio Desktop remoto Microsoft.

3. Dall'interno della macchina virtuale o da un altro computer di test, usare un Web browser per connettersi al portale di Azure e avviare l'area di lavoro.

   1. Nella portale di Azure trovare l'oggetto area di lavoro di Azure Databricks.
   2. Fare clic su Avvia area di lavoro per avviare una scheda della finestra che consente di accedere ad Azure Databricks usando l'ID utente usato per accedere al portale di Azure.
   3. Verificare che l'accesso sia riuscito.

Risoluzione dei problemi di autenticazione

Errore: se viene visualizzato un messaggio "Le impostazioni di privacy configurate non consentono l'accesso per l'area di lavoro <your-workspace-id> sulla rete corrente. Per altre informazioni, contattare l'amministratore.

Questo errore significa probabilmente:

• Ci si connette all'area di lavoro tramite Internet pubblico (non da una connessione collegamento privato).
• L'area di lavoro è stata configurata per non supportare l'accesso alla rete pubblica.

Esaminare i passaggi precedenti in questa sezione.

Errore: "Errore del browser con codice di errore DNS_PROBE_FINISHED_NXDOMAIN

Questo errore indica che l'accesso di un utente all'applicazione Web Azure Databricks non è riuscito perché non è stato possibile trovare la configurazione DNS appropriata per l'istanza del piano di controllo di Azure Databricks nell'area di destinazione. Il record DNS che punta al <control-plane-instance-short-name>.pl-auth nome non è stato trovato. Potrebbe essere stato configurato in modo errato l'endpoint privato di autenticazione del browser. Esaminare attentamente la sezione nel passaggio 4: Creare un endpoint privato per supportare l'accesso SSO per il Web browser. In caso di domande, contattare il team dell'account Azure Databricks.

Passaggio 6: Testare la connessione collegamento privato back-end (necessaria per una connessione back-end)

Se è stata aggiunta una connessione collegamento privato back-end, è importante verificare che funzioni correttamente. È sufficiente accedere all'applicazione Web Azure Databricks non testare la connessione back-end.

1. Se non si è già connessi all'area di lavoro di Azure Databricks, accedere di nuovo usando l'URL dell'area di lavoro o dal pulsante Avvia area di lavoro nell'istanza del servizio Azure Databricks nel portale di Azure.

2. Nel riquadro di spostamento a sinistra fare clic su Calcolo

3. Fare clic su Crea cluster, digitare un nome cluster e fare clic su Crea cluster. Per altre informazioni sulla creazione di cluster, vedere Informazioni di riferimento sulla configurazione di calcolo.

   Attendere che il cluster venga avviato correttamente. Potrebbero essere necessari alcuni minuti. Aggiorna la pagina per ottenere lo stato più recente.

   Se l'avvio non riesce, nella pagina del cluster fare clic su Registro eventi ed esaminare le voci più recenti. Per un tipico errore di configurazione collegamento privato, il registro eventi include un errore simile al seguente dopo un'attesa di 10-15 minuti:

   Cluster terminated. Reason: Control Plane Request Failure
   

   Se viene visualizzato questo errore, rivedere attentamente le istruzioni in questo articolo. In caso di domande, contattare il team dell'account Azure Databricks.

Come eliminare un'area di lavoro di Azure Databricks con endpoint privati

Importante

Se si usa lo stile di distribuzione consigliato ma facoltativo che usa un'area di lavoro di autenticazione Web privata, è importante non eliminare mai l'area di lavoro o l'endpoint privato di autenticazione del browser associato all'area di lavoro. Vedere Passaggio 4: Creare un endpoint privato per supportare l'accesso SSO per il Web browser.

Azure blocca l'eliminazione di un'area di lavoro di Azure Databricks se contiene endpoint privati.

Importante

È necessario eliminare gli endpoint privati prima di tentare di eliminare l'area di lavoro di Azure Databricks.

1. Nella portale di Azure aprire l'istanza del servizio Azure Databricks che rappresenta l'area di lavoro.
2. Nel riquadro di spostamento a sinistra fare clic su Impostazioni > rete.
3. Fare clic sulla scheda Connessioni endpoint privato.
4. Se non si usa un'area di lavoro di autenticazione Web privata, verificare se l'organizzazione potrebbe usare questa area di lavoro come collegamento OAuth CNAME e potrebbe essere condivisa con altre aree di lavoro che usano la stessa istanza del piano di controllo. In tal caso, prima di eliminare gli endpoint privati che possono basarsi su CNAME da questa area di lavoro, configurare gli oggetti di rete dell'altra area di lavoro per assicurarsi che il CNAME punti comunque a un record di zona A valido da un'altra area di lavoro. Vedere Passaggio 4: Creare un endpoint privato per supportare l'accesso SSO per il Web browser.
5. Per ogni endpoint privato, selezionare la riga e fare clic sull'icona Rimuovi . Fare clic su Sì per confermare la rimozione.

Al termine, è possibile eliminare l'area di lavoro da portale di Azure.

Verificare l'approvazione in sospeso o approvare gli endpoint privati in sospeso

Se l'utente di Azure che ha creato l'endpoint privato per la rete virtuale di transito non dispone delle autorizzazioni di proprietario/collaboratore per l'area di lavoro, un utente separato con autorizzazioni di proprietario/collaboratore per l'area di lavoro deve approvare manualmente la richiesta di creazione dell'endpoint privato prima di abilitarla.

Gli stati di connessione includono:

• Approvato: l'endpoint viene approvato e non è necessaria alcuna azione aggiuntiva.
• In sospeso: l'endpoint richiede l'approvazione di un utente con autorizzazioni di proprietario/collaboratore per l'area di lavoro.
• Disconnesso: endpoint perché è stato eliminato un oggetto correlato per questa connessione.
• Rifiutato: l'endpoint è stato rifiutato.

Per controllare lo stato della connessione:

1. Nella portale di Azure passare all'area di lavoro che contiene uno o più endpoint privati creati di recente.

2. Fare clic su Rete.

3. Fare clic sulla scheda Connessioni endpoint privato.

4. Nell'elenco degli endpoint esaminare la colonna Stato connessione.

   • Se tutti hanno il valore dello stato di connessione Approvato, non è necessaria alcuna azione per approvare l'endpoint privato.
   • Se il valore di un oggetto è in sospeso, è necessaria l'approvazione da parte di un utente con autorizzazioni di proprietario/collaboratore per l'area di lavoro.

5. Se si dispone delle autorizzazioni di proprietario/collaboratore per l'area di lavoro:

   1. Selezionare una o più righe di endpoint in sospeso.

   2. Se si approva la connessione, fare clic sul pulsante Approva .

      Se non si approva la connessione, fare clic sul pulsante Rifiuta .

   Se non si dispone delle autorizzazioni di proprietario/collaboratore per l'area di lavoro, contattare l'amministratore dell'area di lavoro per approvare la connessione.