Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Na tej stronie przedstawiono narzędzia do zabezpieczania dostępu sieciowego między zasobami obliczeniowymi w bezserwerowej płaszczyźnie obliczeniowej usługi Azure Databricks i zasobach klientów. Aby dowiedzieć się więcej na temat płaszczyzny sterowania i bezserwerowej płaszczyzny obliczeniowej, zobacz Omówienie architektury usługi Azure Databricks.
Aby dowiedzieć się więcej o klasycznych obliczeniach i bezserwerowych obliczeniach, zobacz Obliczenia.
Notatka
Opłaty za sieć w usłudze Azure Databricks są naliczane, gdy obciążenia bezserwerowe łączą się z zasobami klientów. Zobacz Omówienie kosztów sieci bezserwerowych usługi Databricks.
Omówienie sieci płaszczyzny obliczeniowej bezserwerowej
Bezserwerowe zasoby obliczeniowe działają na bezserwerowej płaszczyźnie obliczeniowej, która jest zarządzana przez usługę Azure Databricks. Administratorzy kont mogą skonfigurować bezpieczną łączność między bezserwerową płaszczyzną obliczeniową a ich zasobami. To połączenie sieciowe jest oznaczone jako 2 na poniższym diagramie:
Łączność między płaszczyzną sterowania a bezserwerową płaszczyzną obliczeniową jest zawsze za pośrednictwem sieci szkieletowej sieci w chmurze, a nie publicznego Internetu. Aby uzyskać więcej informacji na temat konfigurowania funkcji zabezpieczeń na innych połączeniach sieciowych na diagramie, zobacz Networking.
Co to jest kontrola wyjścia bezserwerowego?
Kontrolka ruchu wychodzącego bezserwerowego umożliwia zarządzanie wychodzącymi połączeniami sieciowymi z zasobów obliczeniowych bezserwerowych.
Za pomocą zasad sieciowych można wykonywać następujące czynności:
- ulepszyć zabezpieczenia: ograniczanie ryzyka eksfiltracji danych przez ograniczenie połączeń wychodzących.
- Definiowanie precyzyjnych reguł: kontrolowanie połączeń wychodzących przez określanie dozwolonych lokalizacji, połączeń, nazw FQDN i kont usługi Azure Storage.
- Upraszczanie zarządzania: łatwe konfigurowanie zasad ruchu wychodzącego i zarządzanie nimi w środowisku bezserwerowym.
Zobacz Co to jest kontrola ruchu wychodzącego bezserwerowego?
Co to jest konfiguracja łączności sieciowej (NCC)?
Bezserwerowa łączność sieciowa jest zarządzana przy użyciu konfiguracji łączności sieciowej (NCC). Kontrolery sieci to konstrukcje regionalne na poziomie konta, które służą do zarządzania tworzeniem prywatnych punktów końcowych i włączaniem zapory na dużą skalę.
Administratorzy kont tworzą kontrolery domeny w konsoli konta i kontroler domeny można dołączyć do co najmniej jednego obszaru roboczego. Kontroler sieci umożliwia zapory i prywatne punkty końcowe:
-
Włączanie zapory zasobów według podsieci: NCC umożliwia zarządzanie stabilnymi podsieciami usługi Azure Databricks dla dodawania punktów końcowych usług do zapór zasobów, zapewniając bezpieczny dostęp do zasobów platformy Azure z bezserwerowych obciążeń roboczych. Gdy do obszaru roboczego dołączony jest NCC, przetwarzanie bezserwerowe w tym obszarze roboczym używa jednej z tych sieci do łączenia się z zasobem platformy Azure za pomocą końcówek usługi. Możesz zezwolić na wyświetlanie listy tych sieci w zaporze zasobów platformy Azure. Reguły sieciowe są automatycznie dodawane do konta magazynu obszaru roboczego. Zobacz Konfigurowanie zapory na potrzeby bezserwerowego dostępu obliczeniowego. Począwszy od 7 kwietnia 2026 r., aby używać punktów końcowych usługi do łączenia się z zasobami, musisz zezwolić na dodanie tagu
AzureDatabricksServerlessusługi dla wszystkich regionów. - Prywatne punkty końcowe: Po dodaniu prywatnego punktu końcowego do NCC usługa Azure Databricks tworzy żądanie prywatnego punktu końcowego do zasobu platformy Azure. Po zaakceptowaniu żądania po stronie zasobu prywatny punkt końcowy jest używany do uzyskiwania dostępu do zasobu platformy Azure z bezserwerowej płaszczyzny obliczeniowej. Zobacz Konfigurowanie łączności prywatnej z zasobami platformy Azure.
Notatka
Usługa Azure Databricks używa punktów końcowych usługi, prywatnych adresów IP i publicznych adresów IP do łączenia się z zasobami na podstawie ich lokalizacji i typu. Te metody łączności są ogólnie dostępne, chyba że jawnie określono inaczej.