Share via

Firewallondersteuning inschakelen voor uw werkruimteopslagaccount

Elke Azure Databricks-werkruimte heeft een gekoppeld Azure-opslagaccount in een beheerde resourcegroep die het werkruimteopslagaccount wordt genoemd. Het opslagaccount van de werkruimte bevat systeemgegevens van de werkruimte (taakuitvoer, systeeminstellingen en logboeken), de DBFS-hoofdmap en in sommige gevallen een catalogus met werkruimten in Unity Catalog. Op deze pagina wordt beschreven hoe u de toegang tot uw werkruimteopslagaccount beperkt van alleen geautoriseerde resources en netwerken. U kunt de Azure CLI of PowerShell gebruiken.

Wat is firewallondersteuning voor uw werkruimteopslagaccount?

Standaard accepteert het Azure-opslagaccount voor uw werkruimteopslagaccount geverifieerde verbindingen van alle netwerken. U kunt deze toegang beperken door firewallondersteuning in te schakelen voor uw werkruimteopslagaccount. Hierdoor wordt toegang tot openbare netwerken niet toegestaan en voorkomt u dat onbevoegde netwerken toegang hebben tot het opslagaccount van de werkruimte. U kunt dit configureren als uw organisatie Azure-beleid heeft om ervoor te zorgen dat opslagaccounts privé zijn.

Wanneer firewallondersteuning voor uw werkruimteopslagaccount is ingeschakeld, moet alle toegang van services buiten Azure Databricks goedgekeurde privé-eindpunten gebruiken met Private Link. Azure Databricks maakt een toegangsconnector om verbinding te maken met de opslag met behulp van een door Azure beheerde identiteit. Toegang vanuit serverloze Azure Databricks-berekeningen moet gebruikmaken van service-eindpunten of privé-eindpunten.

Vereisten

  • Uw werkruimte moet VNet-injectie inschakelen voor verbindingen vanuit het klassieke rekenvlak.

  • Uw werkruimte moet beveiligde clusterconnectiviteit (geen openbaar IP/NPIP) inschakelen voor verbindingen vanuit het klassieke rekenvlak.

  • Uw werkruimte moet zich in het Premium-abonnement bevinden.

  • U moet een afzonderlijk subnet hebben voor de privé-eindpunten voor het opslagaccount. Dit is naast de belangrijkste twee subnetten voor de basisfunctionaliteit van Azure Databricks.

    Het subnet moet zich in hetzelfde VNet bevinden als de werkruimte of in een afzonderlijk VNet waartoe de werkruimte toegang heeft. Gebruik de minimale grootte /28 in CIDR-notatie.

  • Als u Cloud Fetch gebruikt met de Microsoft Fabric Power BI-service, moet u altijd een gateway gebruiken voor privétoegang tot het opslagaccount van de werkruimte of Cloud Ophalen uitschakelen. Zie stap 2 (aanbevolen): Privé-eindpunten configureren voor Cloud Fetch client-VNets.

  • Voor Azure CLI- of PowerShell-implementatiemethoden moet u een Azure Databricks-toegangsconnector maken en de bijbehorende resource-id opslaan voordat u de standaardfirewall voor werkruimteopslag inschakelt. Hiervoor moet een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit worden gebruikt. Zie Access Connector voor Databricks. U kunt de Azure Databricks-toegangsconnector niet gebruiken in de beheerde resourcegroep.

Stap 1: Privé-eindpunten maken voor het opslagaccount

Maak twee privé-eindpunten voor uw werkruimteopslagaccount op basis van uw VNet dat u hebt gebruikt voor VNet-injectie voor de doelsubresourcewaarden : dfs en blob.

Notitie

Als u een foutmelding over een geweigerde toewijzing ontvangt voor uw beheerde resourcegroep, kan het zijn dat uw werkruimte vóór het huidige machtigingsmodel voor beheerde resourcegroepen ligt. Neem contact op met uw Databricks-accountteam om de configuratie van de beheerde resourcegroep bij te werken voordat u verdergaat.

Als u een waarschuwing ontvangt over het uitvoeren van rekenresources, stopt u alle berekeningen in uw werkruimte voordat u stap 1 tot en met 4 uitvoert.

  1. Ga naar uw werkruimte.

  2. Klik onder Essentials op de naam van de beheerde resourcegroep.

  3. Noteer onder Resourcesde naam van uw werkruimteopslagaccount. De naam begint meestal met dbstorage.

  4. Voer in en selecteer in het zoekvak bovenaan de portal privé-eindpunt.

  5. Klik op en maakaan.

  6. Stel uw resourcegroep in het veld Resourcegroepnaam in.

    Belangrijk

    De resourcegroep mag niet hetzelfde zijn als de beheerde resourcegroep waarin uw werkruimteopslagaccount zich bevindt.

  7. Voer in het veld Naam een unieke naam in voor dit privé-eindpunt:

    • Voor het eerste privé-eindpunt dat u voor elk bronnetwerk maakt, maakt u een DFS-eindpunt. Databricks raadt u aan het achtervoegsel toe te voegen -dfs-pe
    • Voor het tweede privé-eindpunt dat u voor elk bronnetwerk maakt, maakt u een Blob-eindpunt. Databricks raadt u aan het achtervoegsel toe te voegen -blob-pe

    Het veld Netwerkinterfacenaam wordt automatisch ingevuld.

  8. Stel het veld Regio in op de regio van uw werkruimte.

  9. Klik op Volgende: Bron.

  10. Selecteer in verbindingsmethodeVerbinding maken met een Azure-resource in mijn directory.

  11. Selecteer in Abonnementhet abonnement waarin uw werkruimte zich bevindt.

  12. Selecteer in het resourcetype , Microsoft.Storage/storageAccounts.

  13. Selecteer uw werkruimteopslagaccount in Resource.

  14. Selecteer in doelsubresourcehet doelresourcetype.

    • Stel dit in op dfs voor het eerste privé-eindpunt dat u voor elk bronnetwerk maakt.
    • Stel dit in op blob voor het tweede privé-eindpunt dat u voor elk bronnetwerk maakt.

  15. Klik op Volgende: Virtual Network.

  16. Selecteer een VNet in het veld Virtueel netwerk .

  17. Stel in het subnetveld het subnet in op het afzonderlijke subnet dat u hebt voor de privé-eindpunten voor het opslagaccount.

    Dit veld kan automatisch worden ingevuld met het subnet voor uw privé-eindpunten, maar mogelijk moet u dit expliciet instellen. U kunt geen van de twee werkruimtesubnetten gebruiken die worden gebruikt voor de basisfunctionaliteit van de Azure Databricks-werkruimte, die doorgaans worden aangeroepen private-subnet en public-subnet.

  18. Wijzig indien nodig de standaardinstellingen voor de privé-IP-configuratie en toepassingsbeveiligingsgroep .

  19. Klik op Volgende: DNS. Het DNS-tabblad wordt automatisch ingevuld in het juiste abonnement en de juiste resourcegroep die u eerder hebt geselecteerd. Wijzig ze indien nodig.

    Notitie

    Als er geen privé-DNS-zone voor het doelsubresourcetype (dfs of blob) is gekoppeld aan het VNet van de werkruimte, maakt Azure een nieuwe privé-DNS-zone. Als er al een privé-DNS-zone voor dat subresourcetype bestaat in het VNet van de werkruimte, selecteert Azure deze automatisch. Een VNet kan slechts één privé-DNS-zone per subresourcetype hebben.

  20. Klik op Volgende: Tags en voeg indien gewenst tags toe.

  21. Klik op Volgende: Controleren en maken en controleer de velden.

  22. Klik op Create.

Stap 2 (aanbevolen): Privé-eindpunten configureren voor Cloud Fetch-client-VNets

Cloud fetch is een mechanisme in ODBC en JDBC voor het parallel ophalen van gegevens via cloudopslag om de gegevens sneller naar BI-hulpprogramma's te brengen. Als u queryresultaten ophaalt die groter zijn dan 100 MB uit BI-hulpprogramma's, gebruikt u waarschijnlijk Cloud Fetch.

Notitie

Als u de Microsoft Fabric Power BI-service gebruikt met Azure Databricks en firewallondersteuning inschakelt voor het opslagaccount van de werkruimte, moet u een gegevensgateway voor een virtueel netwerk of een on-premises gegevensgateway configureren om privétoegang tot het opslagaccount toe te staan. Dit zorgt ervoor dat de Fabric Power BI-service toegang kan blijven krijgen tot het opslagaccount van de werkruimte en dat Cloud Fetch correct blijft functioneren.

Deze vereiste is niet van toepassing op Power BI Desktop.

Als u Cloud Fetch gebruikt, maakt u privé-eindpunten voor het werkruimteopslagaccount van alle VNets van uw Cloud Fetch-clients.

Maak voor elk bronnetwerk voor Cloud Fetch-clients twee privé-eindpunten die gebruikmaken van twee verschillende doelsubresourcewaarden : dfs en blob. Zie stap 1: Privé-eindpunten maken voor het opslagaccount voor gedetailleerde stappen. Zorg ervoor dat u in deze stappen voor het veld Virtueel netwerk bij het maken van het privé-eindpunt uw bron-VNet opgeeft voor elke Cloud Fetch-client.

Stap 3: Eindpuntgoedkeuringen bevestigen

Nadat u al uw privé-eindpunten voor het opslagaccount hebt gemaakt, controleert u of ze zijn goedgekeurd. Ze kunnen automatisch goedkeuren of u moet ze mogelijk goedkeuren in het opslagaccount.

  1. Ga naar uw werkruimte in Azure Portal.
  2. Klik onder Essentials op de naam van de beheerde resourcegroep.
  3. Klik onder Resources op de resource van het type Storage account die een naam heeft die begint met dbstorage.
  4. Klik in de zijbalk op Netwerken.
  5. Klik op privé-eindpuntverbindingen.
  6. Controleer de verbindingsstatus om te bevestigen dat ze goedgekeurd zijn of selecteer ze en klik op Goedkeuren.

Stap 4: Serverloze rekenverbindingen autoriseren

U moet serverloze berekeningen autoriseren om verbinding te maken met uw werkruimteopslagaccount. De methode is afhankelijk van wanneer uw werkruimteopslagaccount is gemaakt:

  • Wanneer u uw werkruimte koppelt aan een NCC, wordt uw standaardfirewall voor werkruimteopslagaccounts automatisch geconfigureerd met service-eindpunten voor serverloze toegang.
  • Neem contact op met uw Azure Databricks-accountteam als u toegang wilt inschakelen vanuit serverloze azure Databricks-berekeningen met behulp van privé-eindpunten.

Ondersteuning voor opslagfirewall inschakelen met behulp van de Azure CLI

  • Als u firewallondersteuning wilt inschakelen met behulp van de toegangsconnector met een door het systeem toegewezen identiteit, voert u in Cloud Shell de volgende opdracht uit:

    az databricks workspace update \
   --resource-group "<resource-group-name>" \
   --name "<workspace-name>" \
   --subscription "<subscription-id>" \
   --default-storage-firewall "Enabled" \
   --access-connector "{\"id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>\", \"identity-type\":\"SystemAssigned\"}"

  • Als u firewallondersteuning wilt inschakelen met behulp van de toegangsconnector met een door de gebruiker toegewezen identiteit, voert u in Cloud Shell de volgende opdracht uit:

    az databricks workspace update \
--resource-group "<resource-group-name>" \
--name "<workspace-name>" \
--subscription "<subscription-id>" \
--default-storage-firewall "Enabled" \
--access-connector "{\"id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>\", \"identity-type\":\"UserAssigned\", \"user-assigned-identity-id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>\"}"

  • Als u firewallondersteuning wilt uitschakelen met behulp van de toegangsconnector, voert u in Cloud Shell het volgende uit:

    az databricks workspace update \
   --name "<workspace-name>" \
   --subscription "<subscription-id>" \
   --resource-group "<resource-group-name>" \
   --default-storage-firewall "Disabled"

Ondersteuning voor opslagfirewall inschakelen met behulp van PowerShell

  • Als u firewallondersteuning wilt inschakelen met behulp van de toegangsconnector met een door het systeem toegewezen identiteit, voert u in Cloud Shell de volgende opdracht uit:

    Update-AzDatabricksWorkspace `
   -Name "<workspace-name>" `
   -ResourceGroupName "<resource-group-name>" `
   -SubscriptionId "<subscription-ID>" `
   -Sku "Premium" `
   -AccessConnectorId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>" `
   -AccessConnectorIdentityType "SystemAssigned" `
   -DefaultStorageFirewall "Enabled"

  • Als u firewallondersteuning wilt inschakelen met behulp van de toegangsconnector met een door de gebruiker toegewezen identiteit, voert u in Cloud Shell de volgende opdracht uit:

    Update-AzDatabricksWorkspace `
   -Name "<workspace-name>" `
   -ResourceGroupName "<resource-group-name>" `
   -SubscriptionId "<subscription-ID>" `
   -Sku "Premium" `
   -AccessConnectorId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>" `
   -AccessConnectorIdentityType "UserAssigned" `
   -AccessConnectorUserAssignedIdentityId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>" `
   -DefaultStorageFirewall "Enabled"

  • Als u firewallondersteuning wilt uitschakelen met behulp van de toegangsconnector, voert u in Cloud Shell het volgende uit:

    Update-AzDatabricksWorkspace `
   -Name "<workspace-name>" `
   -ResourceGroupName "<resource-group-name>" `
   -SubscriptionId "<subscription-ID>" `
   -DefaultStorageFirewall "Disabled"
  • Last updated on