Udostępnij przez

Konfigurowanie obwodu zabezpieczeń sieci platformy Azure dla zasobów platformy Azure

Na tej stronie opisano sposób konfigurowania obwodu zabezpieczeń sieci platformy Azure w celu kontrolowania dostępu z bezserwerowych zasobów obliczeniowych do zasobów platformy Azure przy użyciu witryny Azure Portal.

Omówienie obwodu zabezpieczeń sieci dla zasobów platformy Azure

Obwód zabezpieczeń sieci platformy Azure to funkcja natywna dla platformy Azure, która tworzy granicę izolacji logicznej dla zasobów PaaS. Kojarząc zasoby, takie jak konta magazynu lub bazy danych z NSP, można centralnie zarządzać dostępem do sieci przy użyciu uproszczonego zestawu reguł. Zastępuje to konieczność ręcznego zarządzania złożonymi listami poszczególnych adresów IP lub identyfikatorów podsieci.

Program NSP obsługuje dostęp z bezserwerowych magazynów SQL, zadań, notesów, potoków deklaratywnych platformy Spark lakeflow i obsługi punktów końcowych modelu.

Najważniejsze korzyści

Korzystanie z programu NSP dla bezserwerowego ruchu wychodzącego usługi Azure Databricks zwiększa poziom zabezpieczeń przy jednoczesnym znacznym zmniejszeniu obciążenia operacyjnego:

Korzyść Description
Redukcja kosztów Ruch wysyłany za pośrednictwem punktów końcowych usługi pozostaje w sieci szkieletowej platformy Azure i nie powoduje naliczania opłat za przetwarzanie danych.
Uproszczone zarządzanie Użyj tagu usługi AzureDatabricksServerless, aby globalnie zarządzać dostępem. Aby ograniczyć dostęp do bezserwerowych zasobów obliczeniowych w określonym regionie świadczenia usługi, dołącz nazwę regionu do tagu usługi, na przykład AzureDatabricksServerless.EastUS2. Aby uzyskać pełną listę obsługiwanych regionów świadczenia usługi Azure, zobacz Regiony usługi Azure Databricks.
Scentralizowana kontrola dostępu Zarządzaj zasadami zabezpieczeń w wielu typach zasobów, w tym magazynach, jednostkach do przechowywania kluczy i bazach danych, w ramach jednego profilu NSP.

Rozszerzona obsługa usługi

Bezpieczne łączenie bezserwerowych zasobów obliczeniowych z szeroką gamą usług platformy Azure:

  • Dane i analiza: Azure Storage (w tym ADLS Gen2), Azure SQL Database, Synapse Analytics, Cosmos DB i MariaDB
  • Zabezpieczenia i aplikacje: Key Vault, App Service i Cognitive Services
  • Obsługa komunikatów i metodyka DevOps: Event Hubs, Service Bus i Container Registry

Requirements

  • Musisz być administratorem konta usługi Azure Databricks.
  • Musisz mieć uprawnienia Współautor lub Właściciel w zasobie platformy Azure, który chcesz skonfigurować.
  • Musisz mieć uprawnienia do tworzenia zasobów obwodowych zabezpieczeń sieci w ramach subskrypcji platformy Azure.
  • Obszar roboczy usługi Azure Databricks i zasoby platformy Azure powinny znajdować się w tym samym regionie świadczenia usługi Azure, aby uzyskać optymalną wydajność i uniknąć opłat za transfer danych między regionami.

Krok 1. Tworzenie obwodu zabezpieczeń sieci i zanotuj identyfikator profilu

  1. Zaloguj się do witryny Azure Portal.

  2. W polu wyszukiwania u góry wpisz perymetry bezpieczeństwa sieci i wybierz go z wyników.

  3. Kliknij pozycję + Utwórz.

  4. Na karcie Podstawowe wprowadź następujące informacje:

    • Subskrypcja: wybierz subskrypcję platformy Azure.
    • Grupa zasobów: wybierz istniejącą grupę zasobów lub utwórz nową.
    • Nazwa: wprowadź nazwę dostawcy NSP (na przykład databricks-nsp).
    • Region: wybierz region dla swojego dostawcy NSP. Powinno to być zgodne z regionem obszaru roboczego usługi Azure Databricks i regionem zasobów platformy Azure.
    • Nazwa profilu: wprowadź nazwę profilu (na przykład databricks-profile).

  5. Kliknij pozycję Przejrzyj i utwórz, a następnie Utwórz.

  6. Po utworzeniu programu NSP przejdź do niego w witrynie Azure Portal.

  7. Na lewym pasku bocznym przejdź do Ustawienia>Profile.

  8. Utwórz lub wybierz swój profil (na przykład databricks-profile).

  9. Skopiuj Identyfikator zasobu dla profilu. Ten identyfikator będzie potrzebny, jeśli planujesz programowe kojarzenie zasobów.

    Wskazówka

    Zapisz identyfikator profilu w bezpiecznej lokalizacji. Będzie on potrzebny później, jeśli chcesz skojarzyć zasoby przy użyciu interfejsu wiersza polecenia platformy Azure lub interfejsu API zamiast witryny Azure Portal.

Krok 2. Kojarzenie zasobu z NSP w trybie przejściowym

Musisz skojarzyć każdy zasób platformy Azure, do którego chcesz uzyskać dostęp z zasobów obliczeniowych bezserwerowych usługi Azure Databricks, przy użyciu profilu NSP. W tym przykładzie pokazano, jak skojarzyć konto usługi Azure Storage, ale te same kroki dotyczą innych zasobów platformy Azure.

  1. Przejdź do perymetru zabezpieczeń sieci w portalu Azure.
  2. Na pasku bocznym po lewej stronie przejdź do pozycji Zasoby w obszarze Ustawienia.
  3. Kliknij pozycję + Dodaj>Skojarz zasoby z istniejącym profilem.
  4. Wybierz profil utworzony w kroku 1 (na przykład databricks-profile).
  5. Kliknij Skojarz.
  6. W okienku wyboru zasobu filtruj według typu zasobu. Aby na przykład skojarzyć konto usługi Azure Data Lake Storage Gen2, przefiltruj według Microsoft.Storage/storageAccounts.
  7. Wybierz swoje zasoby z listy.
  8. Kliknij pozycję Skojarz w dolnej części okienka.

Sprawdź tryb przejścia:

  1. W programie NSP przejdź do ustawień>Zasoby (lub Skojarzone zasoby).
  2. Znajdź konto pamięci masowej na liście.
  3. Sprawdź, czy w kolumnie Tryb dostępu jest wyświetlana opcja Przejście. Jest to tryb domyślny.

Uwaga / Notatka

Tryb przejścia najpierw analizuje reguły NSP. Jeśli żadna reguła NSP nie pasuje do żądania przychodzącego, system wraca do istniejących reguł zapory zasobu. Dzięki temu można przetestować konfigurację NSP bez zakłócania istniejących wzorców dostępu.

Krok 3. Dodawanie reguły dostępu przychodzącego dla zasobów obliczeniowych bezserwerowych usługi Azure Databricks

Musisz utworzyć regułę dostępu przychodzącego w profilu NSP, aby zezwolić na ruch z bezserwerowych zasobów obliczeniowych usługi Azure Databricks do zasobów platformy Azure.

  1. Przejdź do perymetru zabezpieczeń sieci w portalu Azure.
  2. Na lewym pasku bocznym przejdź do Ustawienia>Profile.
  3. Wybierz swój profil (na przykład databricks-profile).
  4. W obszarze Ustawienia kliknij pozycję Reguły dostępu dla ruchu przychodzącego.
  5. Kliknij pozycję + Dodaj.
  6. Skonfiguruj regułę:
    • Nazwa reguły: wprowadź opisową nazwę (na przykład allow-databricks-serverless).
    • Typ źródła: wybierz Tag usługi.
    • Dozwolone źródła: wybierz pozycję AzureDatabricksServerless.
  7. Kliknij przycisk Dodaj.

Wskazówka

Tag AzureDatabricksServerless usługi automatycznie obejmuje wszystkie bezserwerowe zakresy adresów IP obliczeniowych usługi Azure Databricks we wszystkich regionach świadczenia usługi Azure. Nie musisz ręcznie zarządzać adresami IP ani aktualizować reguł, gdy usługa Azure Databricks dodaje nowe zakresy adresów IP.

Krok 4. Weryfikowanie konfiguracji

Po skonfigurowaniu programu NSP sprawdź, czy bezserwerowe zasoby obliczeniowe usługi Azure Databricks mogą uzyskiwać dostęp do zasobu platformy Azure i monitorować aktywność NSP.

Testowanie dostępu z zasobów obliczeniowych bezserwerowych

  1. Przejdź do zasobu platformy Azure w witrynie Azure Portal.

  2. Przejdź do obszaru Zabezpieczenia i sieć>.

  3. Sprawdź, czy zasób zawiera skojarzenie z obwodem zabezpieczeń sieci.

  4. Sprawdź, czy stan wykazuje Tryb przejścia.

  5. Wyświetl reguły ruchu przychodzącego skojarzone z profilem, aby potwierdzić, że reguła AzureDatabricksServerless jest wymieniona.

  6. W obszarze roboczym usługi Azure Databricks uruchom zapytanie testowe, aby potwierdzić, że zasoby obliczeniowe bezserwerowe mogą uzyskać dostęp do zasobu. Aby na przykład przetestować dostęp do konta magazynowego ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Jeśli zapytanie powiedzie się, konfiguracja NSP działa poprawnie.

Monitorowanie aktywności NSP

Aby monitorować, które próby dostępu są dozwolone lub odrzucane przez reguły NSP:

  1. Przejdź do zasobu platformy Azure w witrynie Azure Portal.
  2. Przejdź do pozycji Monitorowanie>ustawień diagnostycznych.
  3. Kliknij pozycję + Dodaj ustawienia diagnostyczne.
  4. Wybierz kategorie dzienników, które chcesz monitorować. W przypadku kont usługi Azure Storage wybierz pozycję:
    • StorageRead
    • StorageWrite
  5. Wybierz lokalizację docelową:
    • Obszar roboczy usługi Log Analytics (zalecany do wykonywania zapytań i analizy)
    • Konto magazynowe (w przypadku długoterminowego archiwizowania)
    • Event Hub (do przesyłania strumieniowego do systemów zewnętrznych)
  6. Kliknij przycisk Zapisz.

Wskazówka

Dzienniki diagnostyczne pokazują, które próby dostępu są zgodne z regułami NSP a regułami zapory zasobów. Pomaga to zweryfikować konfigurację przed przejściem do trybu wymuszania. W trybie przejścia dzienniki wskazują, czy każde żądanie było dozwolone przez regułę NSP, czy wróciło do zapory zasobów.

Opis trybów dostępu NSP

Program NSP obsługuje dwa tryby dostępu: tryb przejścia i tryb wymuszony. Usługa Azure Databricks zaleca pozostanie w trybie przejścia na czas nieokreślony dla większości przypadków użycia.

Tryb przejścia (zalecane):

  • Najpierw ocenia reguły NSP, a następnie wraca do reguł zapory zasobów, jeśli żadna reguła NSP nie jest zgodna
  • Umożliwia korzystanie z programu NSP wraz z istniejącymi konfiguracjami sieci
  • Zgodność z punktami końcowymi usługi, klasycznymi konfiguracjami obliczeniowymi i wzorcami dostępu publicznego

Tryb wymuszony (nie jest zalecany dla większości klientów):

  • Pomija reguły zapory zasobów, blokując dostęp, który nie jest zgodny z regułą NSP. Ma to wpływ nie tylko na usługę Azure Databricks, ale także na inne usługi dozwolone za pośrednictwem zapory zasobów — te usługi muszą być dołączone do dostawcy NSP, aby kontynuować pracę.
  • Zachowaj tryb przejściowy, jeśli używasz punktów końcowych usługi do uzyskiwania dostępu do usługi magazynowania z dowolnego obszaru roboczego usługi Azure Databricks.

Ostrzeżenie

Zachowaj tryb przejścia, aby zachować zgodność z istniejącą konfiguracją sieci, jednocześnie korzystając z uproszczonego zarządzania regułami. Zobacz Ograniczenia obwodu zabezpieczeń sieci.

Dalsze kroki

  • Last updated on