Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Databricks domyślnie zapewnia bezpieczne środowisko sieciowe. Możesz skonfigurować dodatkowe funkcje sieciowe, aby kontrolować dostęp do obszarów roboczych, zabezpieczać łączność między płaszczyzną sterowania i płaszczyznami obliczeniowymi oraz chronić połączenia ze źródłami danych. Aby zapoznać się z omówieniem architektury sieci, zobacz Architektura zabezpieczeń sieci.
Uwaga / Notatka
Azure Databricks nalicza koszty sieciowe, gdy praca bezserwerowa łączy się z zasobami klienta. Zobacz Omówienie kosztów sieci bezserwerowych usługi Databricks.
Wprowadzenie
Zapoznaj się z architekturą sieci usługi Databricks i zapoznaj się z kluczowymi pojęciami.
| Temat | Description |
|---|---|
| Architektura zabezpieczeń sieci | Dowiedz się więcej o architekturze płaszczyzny sterowania i płaszczyzny obliczeniowej, która stanowi podstawę sieci usługi Databricks. |
| Link prywatny platformy Azure | Ustanów połączenia prywatne między siecią a usługą Databricks przy użyciu usługi Azure Private Link w celu zapewnienia zwiększonych zabezpieczeń. |
| Omówienie kosztów transferu danych i łączności | Dowiedz się więcej na temat cen transferu danych i optymalizowania kosztów funkcji łączności sieciowej. |
Connectivity
Skonfiguruj bezpieczne połączenia sieciowe na potrzeby dostępu przychodzącego do obszarów roboczych i łączności wychodzącej z zasobów obliczeniowych.
| Temat | Description |
|---|---|
| Sieć front-endowa | Skonfiguruj mechanizmy kontroli dostępu do sieci dla użytkowników łączących się z obszarami roboczymi usługi Databricks za pośrednictwem interfejsu internetowego i interfejsów API. |
| Front-end Private Link | Włącz łączność prywatną z sieci firmowej do obszarów roboczych usługi Databricks przy użyciu usługi Azure Private Link. |
| Sieć bezserwerowej płaszczyzny obliczeniowej | Skonfiguruj bezpieczny dostęp sieciowy między bezserwerowymi zasobami obliczeniowymi a źródłami danych i usługami. |
| Prywatna łączność z zasobami platformy Azure | Ustanawianie połączeń prywatnych z zasobów obliczeniowych bezserwerowych do usług Azure Storage, SQL Database i innych usług platformy Azure. |
| Prywatna łączność z zasobami w sieci wirtualnej | Łączenie bezserwerowych zasobów obliczeniowych z zasobami działającymi we własnej sieci wirtualnej przy użyciu prywatnych punktów końcowych. |
| Zarządzanie regułami prywatnego punktu końcowego | Konfigurowanie reguł prywatnych punktów końcowych i zarządzanie nimi na potrzeby bezserwerowej łączności obliczeniowej. |
| Klasyczna sieć płaszczyzn obliczeniowych | Dowiedz się więcej o opcjach sieci dla klasycznych zasobów obliczeniowych wdrożonych w sieci wirtualnej. |
| Wdrażanie usługi Azure Databricks w sieci wirtualnej | Hostowanie klastrów usługi Databricks we własnej sieci wirtualnej platformy Azure na potrzeby rozszerzonej kontroli sieci (iniekcja sieci wirtualnej). |
| Równorzędne sieci wirtualne | Połącz sieć wirtualną usługi Databricks z innymi sieciami wirtualnymi w subskrypcji platformy Azure, aby uzyskać dostęp do dodatkowych zasobów. |
| Łączenie obszaru roboczego z siecią lokalną | Rozszerz sieć firmową na usługę Databricks przy użyciu sieci VPN lub usługi Azure ExpressRoute. |
| Połączenie prywatne na zapleczu | Ustanów prywatne połączenie między klasycznymi zasobami obliczeniowymi a płaszczyzną sterowania Databricks. |
| Ustawienia trasy zdefiniowane przez użytkownika | Skonfiguruj trasy zdefiniowane przez użytkownika (UDR), aby kontrolować przepływ ruchu wychodzącego z klastrów usługi Databricks. |
| Aktualizowanie konfiguracji sieci obszaru roboczego | Modyfikowanie konfiguracji sieci dla istniejących obszarów roboczych. |
| Bezpieczna łączność klastra | Umożliwiaj wyłącznie łączność ruchu wychodzącego z klastrów do płaszczyzny sterowania, bez żadnych otwartych portów przychodzących. |
Bezpieczeństwo sieci
Zaimplementuj mechanizmy kontroli zabezpieczeń, aby ograniczyć i monitorować dostęp do sieci.
| Temat | Description |
|---|---|
| Co to jest kontrola ruchu wychodzącego w architekturze bezserwerowej? | Ogranicz wychodzące połączenia sieciowe z bezserwerowych zasobów obliczeniowych, aby zapobiec eksfiltracji danych i wymuszać zgodność. |
| Zarządzanie zasadami sieciowymi w celu kontroli bezserwerowego ruchu wychodzącego | Tworzenie zasad sieciowych definiujących dozwolone połączenia wychodzące z bezserwerowych obliczeń i zarządzanie nimi. |
| Omówienie list dostępu do adresów IP | Dowiedz się, jak używać list dostępu do adresów IP, aby kontrolować, które adresy IP mogą uzyskiwać dostęp do obszarów roboczych usługi Databricks. |
| Listy dostępu do adresów IP dla obszarów roboczych | Skonfiguruj mechanizmy kontroli dostępu ip na poziomie obszaru roboczego, aby ograniczyć dostęp z zatwierdzonych sieci. |
| Listy dostępu do adresów IP dla konsoli konta | Ustaw ograniczenia adresów IP na poziomie konta, które mają zastosowanie w wielu obszarach roboczych na potrzeby scentralizowanego zarządzania zabezpieczeniami. |
| Konfigurowanie zasad punktu końcowego usługi na potrzeby dostępu do magazynu | Użyj punktów końcowych usługi platformy Azure, aby zabezpieczyć łączność między usługą Databricks i kontami usługi Azure Storage. |
| Włączanie obsługi zapory dla konta magazynu obszaru roboczego | Skonfiguruj reguły zapory usługi Azure Storage, aby zezwolić na dostęp z klasycznych zasobów obliczeniowych usługi Databricks. |
| Konfigurowanie zapory usługi Azure Storage pod kątem bezserwerowego dostępu obliczeniowego | Użyj stabilnych tagów usługi, aby skonfigurować reguły zapory usługi Azure Storage dla bezserwerowej łączności obliczeniowej. |
| Reguły zapory nazw domen | Skonfiguruj reguły zapory oparte na domenie, aby zezwalać na usługi Databricks za pośrednictwem mechanizmów kontroli zabezpieczeń sieci. |
| Szablon ARM do konfiguracji zapory | Użyj szablonów Azure Resource Manager, aby zautomatyzować konfigurację zapory sieciowej dla kont magazynowych w obszarze roboczym. |