Konfigurowanie przychodzącego Private Link dla usług wymagających wysokiej wydajności

Ważne

Ta funkcja jest dostępna w publicznej wersji testowej.

Na tej stronie pokazano, jak skonfigurować Private Link na potrzeby łączności przychodzącej z usługami intensywnie korzystającymi z wydajności na platformie Azure Databricks. To połączenie prywatne umożliwia zewnętrznym klientom i użytkownikom dostęp do usług na platformie Azure Databricks, takich jak Zerobus Ingest i Lakebase Autoscaling.

Korzyści

• Enhanced security: Ruch między Twoją siecią a usługami Databricks pozostaje w infrastrukturze sieci Azure.
• Dostęp do usług intensywnie korzystających z wydajności: prywatne połączenia z usługami, takimi jak Zerobus Ingest i Lakebase Autoscaling.
• Wymagania dotyczące zgodności: spełniają wymagania prawne, które nakazują łączność sieci prywatnej.
• Efektywność kosztowa: Private Link kosztuje mniej niż opcje łączności publicznej, takie jak bramy NAT.

Uwaga / Notatka

Usługa Databricks nie rozlicza obecnie kosztów sieci dotyczących przychodzących połączeń Private Link do usług o wysokich wymaganiach dotyczących wydajności. Opłaty mogą zostać wprowadzone w przyszłości.

Wymagania

• Konto Azure Databricks musi znajdować się w warstwie Premium.
• Musisz włączyć prywatną łączność dla funkcji publicznej wersji zapoznawczej usług intensywnie korzystających z wydajności na twoim koncie. Możesz samodzielnie zarejestrować się w konsoli konta. Bez włączonej tej funkcji prywatne punkty końcowe nie są wyświetlane w konsoli konta.
• Aby zarejestrować prywatne punkty końcowe, musisz być administratorem konta Azure Databricks.
• Aby utworzyć prywatne punkty końcowe, musisz mieć uprawnienia Współautor sieci lub równoważne w Azure.

Krok 1. Tworzenie prywatnego punktu końcowego

Ten krok tworzy prywatny punkt końcowy w Azure portalu, który łączy się z usługami o dużych wymaganiach wydajnościowych na platformie Azure Databricks.

Przygotowywanie sieci wirtualnej i podsieci

1. Przygotuj sieć wirtualną i podsieć do hostowania prywatnego punktu końcowego. Możesz utworzyć nową sieć wirtualną lub ponownie użyć istniejącej sieci (takiej jak sieć wirtualna obszaru roboczego).
   • Aby utworzyć nową sieć wirtualną, zobacz Tworzenie Azure Virtual Network.
   • Aby dodać podsieć, zobacz Dodawanie, zmienianie lub usuwanie podsieci sieci wirtualnej.
2. Sprawdź, czy w podsieci zasady sieci prywatnego punktu końcowego są wyłączone. Jest to ustawienie domyślne. Aby uzyskać szczegółowe informacje , zobacz Zarządzanie zasadami sieci dla prywatnych punktów końcowych .
3. Jeśli używasz istniejącej sieci wirtualnej obszaru roboczego, musisz użyć lub utworzyć inną podsieć z tej używanej przez obszar roboczy.
4. Jeśli sieć wirtualna hostująca prywatny punkt końcowy różni się od sieci wirtualnej wysyłającej ruch, skonfiguruj peering sieci wirtualnych lub łączność. Zobacz Weryfikowanie łączności z siecią wirtualną.

Wdróż prywatny punkt końcowy

1. W portalu Azure wyszukaj Private endpoints w witrynie Microsoft Marketplace i wybierz pozycję Utwórz.
2. Wprowadź nazwę i nazwę interfejsu sieciowego, a następnie ustaw region tak, aby był zgodny z regionem sieci wirtualnej obszaru roboczego.
3. Kliknij przycisk Dalej: zasób.
4. Wybierz Połącz z zasobem Azure według identyfikatora zasobu lub aliasu.
5. W polu Resource ID lub alias wprowadź identyfikator zasobu usługi Service-Direct Private Link dla regionu. Zobacz Identyfikatory zasobów usługi Service-Direct Private Link dla listy identyfikatorów zasobów.
6. W polu Docelowy zasób podrzędny, wprowadź service_direct.
7. Kliknij Dalej: Virtual Network.
8. Wybierz sieć wirtualną i podsieć przygotowaną w sekcji Przygotowywanie sieci wirtualnej i podsieci .
9. Kliknij przycisk Dalej: DNS.
10. Pozostaw opcję Integracja z prywatną strefą DNS ustawioną na Nie. System DNS można skonfigurować ręcznie w późniejszym kroku.
11. Kliknij przycisk Dalej: tagi.
12. Kliknij przycisk Dalej: Przejrzyj i utwórz.
13. Przejrzyj konfigurację i kliknij przycisk Utwórz , aby wdrożyć prywatny punkt końcowy.
14. Po zakończeniu wdrażania zapisz następujące wartości:
    • Nazwa prywatnego punktu końcowego: nazwa prywatnego punktu końcowego.
    • Identyfikator GUID zasobu: przejdź do zasobu prywatnego punktu końcowego, kliknij Widok JSON, i znajdź wartość w pliku properties.resourceGuidJSON. Jest to wymagane w kroku 2.
    • Prywatny adres IP: w widoku JSON znajdź adres IP w pliku properties.customDnsConfigs[0].ipAddresses[0]. Jest to wymagane w kroku 3.

Uwaga / Notatka

Po wdrożeniu stan połączenia prywatnego punktu końcowego jest wyświetlany jako Oczekujące. Jest to oczekiwane. Punkt końcowy pozostaje w stanie Oczekiwanie do ukończenia kroku 2 (Rejestrowanie prywatnego punktu końcowego).

Krok 2. Rejestrowanie prywatnego punktu końcowego

Po utworzeniu prywatnego punktu końcowego w portalu Azure zarejestruj go w Azure Databricks.

1. Przejdź do konsoli konta Azure Databricks.
2. Na pasku bocznym kliknij pozycję Zabezpieczenia>Sieć>Punkty końcowe>Zarejestruj punkt końcowy.

Krok 3. Konfigurowanie usługi DNS

Po zarejestrowaniu prywatnego punktu końcowego skonfiguruj system DNS tak, aby ruch był kierowany przez prywatny punkt końcowy przy użyciu privatelink.azuredatabricks.net domeny.

• Usługa Databricks zaleca konwencję nazewnictwa obejmującą region i cel, na przykład PE westus2 for service-direct.

1. Utwórz prywatną strefę DNS Azure o nazwie privatelink.azuredatabricks.net.
   • Jeśli obszar roboczy już używa przychodzącego Private Link (zobacz Konfigurowanie przychodzącego Private Link), użyj ponownie istniejącej strefy privatelink.azuredatabricks.net.
   • W przypadku nowych stref zobacz Utwórz prywatną strefę DNS Azure przy użyciu portalu Azure.
2. Połącz prywatną strefę DNS z siecią wirtualną hostująca prywatny punkt końcowy. Zobacz Łączenie sieci wirtualnej.

Tworzenie rekordu DNS A

1. Przejdź do privatelink.azuredatabricks.net prywatnej strefy DNS.
2. Wybierz kartę Zestawy rekordów w obszarze Zarządzanie systemem DNS.
3. Kliknij przycisk Dodaj , aby dodać zestaw rekordów.
4. Skonfiguruj rekord A:
   • Name: <region>.service-direct (zastąp <region> regionem Azure, na przykład westus2.service-direct)
   • Typ: A
   • Adres IP: prywatny adres IP z prywatnego punktu końcowego (zarejestrowany w kroku 1)
5. Kliknij przycisk OK , aby zapisać rekord.

Weryfikacja rozwiązania DNS

Z maszyny w sieci wirtualnej lub z zadania obszaru roboczego dołączonego do prywatnej strefy DNS upewnij się, że zapytania DNS są rozpoznawane jako prywatny adres IP punktu końcowego:

nslookup westus2.service-direct.privatelink.azuredatabricks.net

Możesz też użyć dig:

dig westus2.service-direct.privatelink.azuredatabricks.net

Oba polecenia zwracają prywatny adres IP prywatnego punktu końcowego.

Weryfikowanie łączności z siecią wirtualną

Jeśli sieć wirtualna generująca ruch różni się od sieci wirtualnej obsługującej prywatny punkt końcowy, skonfiguruj peering sieci wirtualnych lub łączność między nimi. Aby uzyskać szczegółowe wskazówki, zobacz Scenariusze integracji usługi Azure Private Endpoint z DNS.

Wyłączanie dostępu publicznego (opcjonalnie)

Ukończenie konfiguracji Private Link nie powoduje automatycznego blokowania publicznego dostępu do Internetu w obszarze roboczym. Dostęp publiczny i prywatny są ustawieniami niezależnymi. Aby wymusić łączność tylko prywatną, wyłącz dostęp do sieci publicznej:

1. W portalu Azure przejdź do zasobu obszaru roboczego Azure Databricks.
2. W obszarze Ustawienia ustaw opcję Zezwalaj na dostęp do sieci publicznej na wartość Wyłącz.

Ograniczenia

• Prywatne punkty końcowe dla usługi wymagającej dużej wydajności mają zastosowanie na poziomie konta i automatycznie wpływają na wszystkie przestrzenie robocze Premium w tym samym regionie.
• Konto jest ograniczone do 5 prywatnych punktów końcowych dla usług wymagających dużej wydajności na region i 100 na konto. Skontaktuj się z zespołem ds. kont Azure Databricks w celu zwiększenia limitu przydziału.

Dalsze kroki

• Wdrażaj Azure Databricks w sieci wirtualnej Azure (wstrzykiwanie VNet)
• Konfigurowanie Inbound Private Link
• IP adresy i domeny dla usług i zasobów Azure Databricks