Konfigurowanie obwodu zabezpieczeń sieci Azure dla zasobów Azure

Bezserwerowe moce obliczeniowe Azure Databricks łączą się z zasobami chmurowymi za pośrednictwem zarządzanej infrastruktury sieciowej. Jeśli zapory chronią Twoje zasoby chmurowe, musisz zezwolić na ruch ze środowisk bezserwerowych. Metoda konfiguracji zależy od typu zasobu:

Note

Jeśli potrzebujesz dedykowanej, prywatnej łączności z zasobami, użyj prywatnego połączenia wychodzącego Private Link, aby połączyć się z zasobem, zamiast dodawać adresy IP do listy dozwolonych. Zobacz Konfigurowanie łączności prywatnej z zasobami w sieci wirtualnej.

Skonfigurować perymetr zabezpieczeń sieci dla kont usługi Azure Storage

Obwód zabezpieczeń sieci platformy Azure (NSP) to wbudowana funkcja platformy Azure, która tworzy logiczną granicę izolacji dla zasobów platformy jako usługi (PaaS). Po skojarzeniu swoich kont magazynu z NSP można centralnie zarządzać ruchem sieciowym za pomocą uproszczonego zestawu reguł zamiast utrzymywania złożonych list pojedynczych adresów IP lub identyfikatorów podsieci. W tej sekcji opisano sposób konfigurowania programu NSP w celu kontrolowania bezserwerowego dostępu obliczeniowego do kont magazynu Azure przy użyciu portalu Azure.

Program NSP obsługuje dostęp z bezserwerowych magazynów SQL, zadań, notesów, potoków deklaratywnych platformy Spark lakeflow i obsługi punktów końcowych modelu.

Ważna

Do 9 czerwca 2026 r. wszystkie istniejące konta magazynu Azure, które mają na liście dozwolonych identyfikatory podsieci bezserwerowej usługi Azure Databricks, muszą być dołączone do perymetru ochrony sieci i muszą zawierać tag usługi AzureDatabricksServerless na liście dozwolonych.

Najważniejsze korzyści

Korzystanie z programu NSP dla ruchu wychodzącego bezserwerowego usługi Azure Databricks zwiększa poziom zabezpieczeń, a jednocześnie znacznie zmniejsza obciążenie operacyjne:

Benefit Description
Redukcja kosztów Ruch wysyłany za pośrednictwem punktów końcowych usługi pozostaje w sieci szkieletowej platformy Azure i nie powoduje naliczania opłat za przetwarzanie danych.
Uproszczone zarządzanie Azure Databricks zaleca użycie regionalnego tagu usługi w celu ograniczenia dostępu do określonego regionu, na przykład AzureDatabricksServerless.EastUS2. Cała komunikacja jest kierowana przez sieć szkieletową Azure. Jeśli obszary robocze w wielu regionach wymagają dostępu, możesz użyć wielu regionalnych tagów usługi. Aby uzyskać pełną listę obsługiwanych regionów świadczenia usługi Azure, zobacz Regiony usługi Azure Databricks.
Scentralizowane zarządzanie zabezpieczeniami Zarządzaj zasadami zabezpieczeń w wielu typach zasobów, w tym magazynach, jednostkach do przechowywania kluczy i bazach danych, w ramach jednego profilu NSP.

Obsługiwane usługi platformy Azure

Tag usługi AzureDatabricksServerless jest obsługiwany tylko w przypadku reguł ruchu przychodzącego NSP przeznaczonych dla Azure Storage (w tym usługi ADLS Gen2) w regionie obszaru roboczego.

Requirements

Przed rozpoczęciem należy spełnić następujące wymagania:

  • Musisz być administratorem konta usługi Azure Databricks.
  • Musisz mieć uprawnienia Współautor lub Właściciel dla zasobu Azure, który chcesz skonfigurować.
  • Musisz mieć uprawnienia do tworzenia zasobów obwodowych zabezpieczeń sieci w ramach subskrypcji platformy Azure.
  • Obszar roboczy Azure Databricks i zasoby Azure muszą znajdować się w tym samym regionie Azure, aby zapewnić optymalną wydajność i uniknąć opłat za transfer danych między regionami.

Krok 1. Tworzenie obwodu zabezpieczeń sieci i zanotuj identyfikator profilu

Aby utworzyć obwód i zanotować jego identyfikator profilu, wykonaj następujące czynności:

  1. Zaloguj się do portalu Azure.

  2. W polu wyszukiwania u góry wprowadź pozycję Obwody zabezpieczeń sieci i wybierz je z wyników.

  3. Kliknij pozycję + Utwórz.

  4. Na karcie Podstawowe wprowadź następujące informacje:

    • Subskrypcja: wybierz subskrypcję platformy Azure.
    • Grupa zasobów: wybierz istniejącą grupę zasobów lub utwórz grupę zasobów.
    • Nazwa: wprowadź nazwę dostawcy NSP (na przykład databricks-nsp).
    • Region: wybierz region dla swojego dostawcy NSP. Region musi być zgodny z regionem obszaru roboczego Azure Databricks i regionem konta magazynu Azure.
    • Nazwa profilu: wprowadź nazwę profilu (na przykład databricks-profile).
  5. Kliknij pozycję Przejrzyj i utwórz, a następnie Utwórz.

  6. Po utworzeniu programu NSP przejdź do niego w portalu Azure.

  7. Na lewym pasku bocznym przejdź do Ustawienia>Profile.

  8. Utwórz lub wybierz swój profil (na przykład databricks-profile).

  9. Skopiuj Identyfikator zasobu dla profilu. Ten identyfikator jest potrzebny do programowego kojarzenia zasobów.

    Wskazówka

    Zapisz identyfikator profilu w bezpiecznej lokalizacji. Musisz mieć dostęp do niego, jeśli chcesz skojarzyć zasoby przy użyciu Azure CLI lub interfejsu API zamiast portalu Azure.

Krok 2. Kojarzenie konta magazynu z programem NSP w trybie przejścia

Należy skojarzyć z profilem NSP każde konto usługi Azure Storage, do którego chcesz uzyskać dostęp z poziomu bezserwerowych zasobów obliczeniowych Azure Databricks, wykonując poniższe kroki:

  1. Przejdź do strefy bezpieczeństwa sieci w portalu Azure.
  2. Na pasku bocznym po lewej stronie przejdź do pozycji Skojarzone zasoby w obszarze Ustawienia.
  3. Kliknij pozycję + Dodaj>Skojarz zasoby z istniejącym profilem.
  4. Wybierz profil utworzony w kroku 1 (na przykład databricks-profile).
  5. Kliknij Skojarz.
  6. W panelu wyboru zasobów filtruj według Microsoft.Storage/storageAccounts, aby powiązać konto Azure Data Lake Storage Gen2.
  7. Wybierz konta magazynowe z listy.
  8. Kliknij pozycję Skojarz w dolnej części okienka.

Sprawdź tryb przejścia:

  1. W programie NSP przejdź do pozycji Ustawienia>Skojarzone zasoby.
  2. Znajdź konto pamięci masowej na liście.
  3. Sprawdź, czy w kolumnie Tryb dostępu jest wyświetlana opcja Przejście. Przejście jest trybem domyślnym.

Note

Zachowaj tryb przejścia, aby zachować zgodność z istniejącą konfiguracją sieci, jednocześnie korzystając z uproszczonego zarządzania regułami. Zobacz Ograniczenia obwodu zabezpieczeń sieci.

Tryb przejścia najpierw analizuje reguły NSP. Jeśli żadna reguła NSP nie pasuje do żądania przychodzącego, system wraca do istniejących reguł zapory zasobu.

Krok 3: Dodaj regułę dostępu przychodzącego dla bezserwerowej infrastruktury obliczeniowej Azure Databricks

Musisz utworzyć regułę dostępu przychodzącego w profilu NSP, aby zezwolić na ruch z bezserwerowych zasobów obliczeniowych usługi Azure Databricks do zasobów platformy Azure.

  1. Przejdź do strefy bezpieczeństwa sieci w portalu Azure.
  2. Na lewym pasku bocznym przejdź do Ustawienia>Profile.
  3. Wybierz swój profil (na przykład databricks-profile).
  4. W obszarze Ustawienia kliknij pozycję Reguły dostępu dla ruchu przychodzącego.
  5. Kliknij pozycję + Dodaj.
  6. Skonfiguruj regułę:
    • Nazwa reguły: wprowadź opisową nazwę (na przykład allow-databricks-serverless).
    • Typ źródła: wybierz Tag usługi.
    • Dozwolone źródła: wybierz pozycję AzureDatabricksServerless.[ your_workspace_region] (na przykład AzureDatabricksServerless.EastUS2). Użycie tagu regionalnego ogranicza dostęp do Azure Databricks adresów IP w regionie obszaru roboczego, co zmniejsza narażenie w porównaniu z tagiem globalnym.
  7. Kliknij przycisk Dodaj.

Wskazówka

Azure Databricks zaleca użycie regionalnego tagu usługi (AzureDatabricksServerless.[your_workspace_region]) w celu zapewnienia ściślejszego bezpieczeństwa. Dodanie globalnego tagu AzureDatabricksServerless do listy dozwolonych umożliwia dostęp ze wszystkich regionów Azure Databricks. Jeśli przestrzenie robocze w wielu regionach muszą mieć dostęp do Twojego magazynu, możesz użyć wielu regionalnych tagów usługi.

Jeśli używasz tagów usługowych o zasięgu regionalnym, pamiętaj, że niektóre punkty końcowe mogą znajdować się w innym regionie Azure niż podstawowy punkt końcowy pamięci masowej. Na przykład obszar roboczy w Japonii Wschodniej ma pomocniczy magazyn artefaktów w Japonii Zachodniej. W takim przypadku należy również dodać tag usługi dla regionu pomocniczego. Aby przejrzeć nazwy FQDN dla regionu obszaru roboczego, zobacz Magazyn metadanych, magazyn obiektów blob artefaktów, magazyn tabel systemowych, magazyn obiektów blob dzienników i adresy IP punktu końcowego usługi Event Hubs.

Krok 4. Weryfikowanie konfiguracji

Po skonfigurowaniu NSP sprawdź, czy bezserwerowe zasoby obliczeniowe usługi Azure Databricks mogą uzyskać dostęp do pamięci masowej, oraz monitoruj aktywność NSP.

Testowanie dostępu z zasobów obliczeniowych bezserwerowych

  1. Przejdź do zasobu Azure w portalu Azure.

  2. Przejdź do obszaru Zabezpieczenia i sieć>.

  3. Sprawdź, czy zasób zawiera skojarzenie z obwodem zabezpieczeń sieci.

  4. Sprawdź, czy stan wykazuje Tryb przejścia.

  5. Wyświetl reguły ruchu przychodzącego skojarzone z profilem, aby potwierdzić, że reguła AzureDatabricksServerless znajduje się na liście (regionalna lub globalna).

  6. W obszarze roboczym usługi Azure Databricks uruchom zapytanie testowe, aby potwierdzić, że zasoby obliczeniowe bezserwerowe mogą uzyskać dostęp do zasobu. Aby na przykład przetestować dostęp do konta magazynowego ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;
    

    Jeśli zapytanie powiedzie się, konfiguracja NSP działa poprawnie.

Monitorowanie aktywności NSP

Aby monitorować próby połączeń, które są dozwolone lub odmawiane przez reguły NSP:

  1. Przejdź do zasobu Azure w portalu Azure.

  2. Przejdź do pozycji Monitorowanie>Ustawienia diagnostyczne.

  3. Kliknij pozycję + Dodaj ustawienia diagnostyczne.

  4. Wybierz kategorie dzienników, które chcesz monitorować. W przypadku kont Azure Storage wybierz pozycję:

    • StorageRead
    • StorageWrite
  5. Wybierz lokalizację docelową:

    • Obszar roboczy usługi Log Analytics (zalecany do wykonywania zapytań i analizy)
    • Konto magazynowe (w przypadku długoterminowego archiwizowania)
    • Event Hub (do przesyłania strumieniowego do systemów zewnętrznych)
  6. Kliknij Zapisz.

    Wskazówka

    Dzienniki diagnostyczne pokazują próby połączenia zgodne z regułami NSP w porównaniu do reguł zapory zasobów. W trybie przejścia dzienniki wskazują, czy każde żądanie było dozwolone przez regułę NSP, czy wróciło do zapory zasobów.

Opis trybów dostępu NSP

Program NSP obsługuje dwa tryby dostępu: tryb przejścia i tryb wymuszony. Azure Databricks zaleca pozostanie w trybie przejścia na czas nieokreślony w przypadku większości przypadków użycia.

Tryb przejścia (zalecane):

  • Najpierw ocenia reguły NSP, a następnie wraca do reguł zapory zasobów, jeśli żadna reguła NSP nie jest zgodna.
  • Umożliwia korzystanie z programu NSP wraz z istniejącymi konfiguracjami sieci.
  • Zgodność z punktami końcowymi usługi, klasycznymi konfiguracjami obliczeniowymi i wzorcami ruchu w sieci publicznej.

Tryb wymuszony (niezalecany dla większości klientów)

  • Pomija reguły zapory zasobów, blokując cały ruch, który nie jest zgodny z regułą NSP. Wymuszony tryb ma wpływ nie tylko na Azure Databricks, ale także na inne usługi dozwolone za pośrednictwem zapory zasobów — te usługi muszą być dołączone do NSP, aby kontynuować pracę.
  • Zachowaj tryb przejścia, jeśli używasz punktów końcowych usługi do łączenia się z magazynu z dowolnej przestrzeni roboczej Azure Databricks.

Warning

Zachowaj tryb przejścia, aby zachować zgodność z istniejącą konfiguracją sieci, jednocześnie korzystając z uproszczonego zarządzania regułami. Zobacz Ograniczenia obwodu zabezpieczeń sieci.

Konfigurowanie dostępu do innych zasobów przy użyciu wychodzących adresów IP

Ważna

Począwszy od połowy lutego 2026 r., Azure Databricks publikuje wychodzące adresy IP w formacie JSON w publicznym punkcie końcowym, który jest obsługiwaną metodą pobierania tych adresów IP.

Jeśli używasz stabilnych adresów IP z publicznej wersji zapoznawczej lub skopiowano je z konfiguracji łączności sieciowej (NCC) w konsoli konta, musisz przeprowadzić migrację do nowej metody przed 25 maja 2026 r. Po 25 maja 2026 r. starsze listy adresów IP zostaną zlikwidowane, a niekompletne migracje mogą spowodować zakłócenia obciążenia.

W przypadku zasobów innych niż konta magazynu Azure w tym samym regionie co obszar roboczy, zasoby obliczeniowe bezserwerowe używają publicznych adresów IP do uzyskania dostępu do zasobów.

Aby umożliwić środowisku bezserwerowemu dostęp do zasobów zabezpieczonych zaporami sieciowymi, należy dodać do listy dozwolonych bloki CIDR opublikowane przez Azure Databricks. Aby uzyskać więcej informacji na temat opublikowanych wychodzących adresów IP, zobacz Wychodzące adresy IP dla bezserwerowej zapory obliczeniowej w wersji zapoznawczej.

Znajdowanie wychodzących adresów IP dla środowiska

  1. Pobierz ip-ranges.json.
  2. Przefiltruj plik JSON tak, aby pozostały tylko wpisy dotyczące Twojego obszaru roboczego. Zachowaj tylko wpisy, w których:
    • service jest Databricks
    • type jest outbound
    • region odpowiada regionowi obszaru roboczego
    • platform dopasowuje się do azure
  3. Dodaj do listy dozwolonych ipv4Prefixes (bloki CIDR) z odpowiadających wpisów w zaporze Twojego zasobu.

Automatyzowanie aktualizacji w celu zachowania bieżącej listy dozwolonych

Musisz zautomatyzować aktualizacje listy dozwolonych. Azure Databricks zmienia te adresy IP w czasie, więc statyczna jednorazowa kopia ostatecznie przerywa łączność bezserwerową. Aktualizacje są publikowane tak często, jak raz na 30 dni, nowe adresy IP stają się aktywne natychmiast po 60 dniach od publikacji, a nowe regiony są okresowo dodawane. Aby zachować bieżącą listę dozwolonych:

  1. Pobieranie ip-ranges.json zgodnie z harmonogramem (na przykład co 30 dni).
  2. Porównaj pole timestampSeconds z zapisaną kopią, aby wykryć zmiany.
  3. Jeśli to się zmieniło, sprawdź, czy adresy IP dla twojego platform i region się zmieniły.
  4. Zaktualizuj listę dozwolonych adresów w zaporze o nowe adresy IP.
  5. Zapisz plik na potrzeby następnego porównania.

Considerations

Przed skonfigurowaniem zapory dla obliczeń bezserwerowych zapoznaj się z następującymi zagadnieniami:

  • Skonfigurowanie zapory wpływa również na łączność z klasycznych zasobów obliczeniowych. Należy również zaktualizować reguły dostępu do zasobów, aby zezwolić na adresy IP używane do połączeń z klasycznych zasobów obliczeniowych.
  • Odczekaj, aż reguły zapory zostaną rozpropagowane, zanim przetestujesz łączność z poziomu środowiska bezserwerowego.

Następne kroki

  • Skonfiguruj prywatną łączność z zasobami w VPC: Użyj usługi PrivateLink, aby zapewnić bezpieczny i izolowany dostęp do zasobów w VPC z poziomu bezserwerowych zasobów obliczeniowych. Zobacz Konfigurowanie łączności prywatnej z zasobami w sieci wirtualnej.
  • Zarządzanie regułami prywatnego punktu końcowego: wyświetlanie, aktualizowanie i usuwanie reguł prywatnych punktów końcowych dla konfiguracji łączności sieciowej. Zobacz Zarządzanie regułami prywatnego punktu końcowego.