Konfigurowanie łączności prywatnej z zasobów obliczeniowych bezserwerowych

Uwaga

Nie są naliczane opłaty za korzystanie z łączności prywatnej z zasobów obliczeniowych bezserwerowych. Jeśli te zmiany zostaną zmienione, usługa Azure Databricks powiadomi o tym z wyprzedzeniem.

W tym artykule opisano sposób konfigurowania łączności prywatnej z zasobów obliczeniowych bezserwerowych przy użyciu interfejsu użytkownika konsoli konta usługi Azure Databricks. Możesz również użyć interfejsu API konfiguracji Połączenie ivity sieci.

Jeśli skonfigurujesz zasób platformy Azure tak, aby akceptował tylko połączenia z prywatnych punktów końcowych, wszelkie połączenia z zasobem z klasycznych zasobów obliczeniowych usługi Databricks również muszą używać prywatnych punktów końcowych.

Aby skonfigurować zaporę usługi Azure Storage dla bezserwerowego dostępu do zasobów obliczeniowych przy użyciu podsieci, zobacz Konfigurowanie zapory na potrzeby dostępu bezserwerowego zasobów obliczeniowych. Aby zarządzać istniejącymi regułami prywatnego punktu końcowego, zobacz Zarządzanie regułami prywatnego punktu końcowego

Uwaga

Obecnie nie są naliczane opłaty za funkcje bezserwerowe. W nowszej wersji mogą zostać naliczone opłaty. Usługa Azure Databricks powiadomi o zmianach cen sieci z wyprzedzeniem.

Omówienie łączności prywatnej dla obliczeń bezserwerowych

Bezserwerowa łączność sieciowa jest zarządzana przy użyciu konfiguracji łączności sieciowej (NCC). Administratorzy konta tworzą kontrolery domeny w konsoli konta i kontroler sieci może być dołączony do co najmniej jednego obszaru roboczego

Po dodaniu prywatnego punktu końcowego w kontrolerze domeny usługa Azure Databricks tworzy żądanie prywatnego punktu końcowego do zasobu platformy Azure. Po zaakceptowaniu żądania po stronie zasobu prywatny punkt końcowy jest używany do uzyskiwania dostępu do zasobów z bezserwerowej płaszczyzny obliczeniowej. Prywatny punkt końcowy jest przeznaczony dla konta usługi Azure Databricks i dostępny tylko z autoryzowanych obszarów roboczych.

Prywatne punkty końcowe ncC są obsługiwane tylko z bezserwerowych magazynów SQL. Nie są one obsługiwane z innych zasobów obliczeniowych na bezserwerowej płaszczyźnie obliczeniowej.

Uwaga

Prywatne punkty końcowe ncC są obsługiwane tylko w przypadku zarządzanych źródeł danych. Aby nawiązać połączenie z kontem magazynu obszaru roboczego, skontaktuj się z zespołem konta usługi Azure Databricks.

Aby uzyskać więcej informacji na temat kontrolerów sieci, zobacz Co to jest konfiguracja łączności sieciowej (NCC)?.

Wymagania

• Obszar roboczy musi znajdować się w planie Premium.
• Musisz być administratorem konta usługi Azure Databricks.
• Każde konto usługi Azure Databricks może mieć maksymalnie 10 kontrolerów sieciowych na region.
• Każdy region może mieć 100 prywatnych punktów końcowych, dystrybuowanych zgodnie z potrzebami w ramach 1–10 kontrolerów sieciowych.
• Każdy kontroler domeny może być dołączony do maksymalnie 50 obszarów roboczych.

Krok 1. Tworzenie konfiguracji łączności sieciowej

Usługa Databricks zaleca udostępnianie ncc między obszarami roboczymi w ramach tej samej jednostki biznesowej i tymi, które współużytkują te same właściwości łączności regionu. Jeśli na przykład niektóre obszary robocze używają usługi Private Link, a inne obszary robocze używają włączania zapory, użyj oddzielnych kontrolerów sieciowych dla tych przypadków użycia.

1. Jako administrator konta przejdź do konsoli konta.
2. Na pasku bocznym kliknij pozycję Zasoby w chmurze.
3. Kliknij pozycję Konfiguracja Połączenie ivity sieci.
4. Kliknij pozycję Dodaj konfigurację Połączenie ivity sieci.
5. Wpisz nazwę kontrolera domeny.
6. Wybierz region. Musi to być zgodne z regionem obszaru roboczego.
7. Kliknij przycisk Dodaj.

Krok 2. Dołączanie kontrolera domeny do obszaru roboczego

1. Na pasku bocznym konsoli konta kliknij pozycję Obszary robocze.
2. Kliknij nazwę obszaru roboczego.
3. Kliknij pozycję Aktualizuj obszar roboczy.
4. W polu Network Połączenie ivity Config (Konfiguracja sieci) wybierz pozycję NCC. Jeśli nie jest widoczny, upewnij się, że wybrano ten sam region świadczenia usługi Azure dla obszaru roboczego i kontrolera domeny.
5. Kliknij Aktualizuj.
6. Poczekaj 10 minut na zastosowanie zmiany.
7. Uruchom ponownie wszystkie uruchomione bezserwerowe magazyny SQL w obszarze roboczym.

Krok 3. Tworzenie reguł prywatnego punktu końcowego

Musisz utworzyć regułę prywatnego punktu końcowego w kontrolerze domeny dla każdego zasobu platformy Azure.

1. Pobierz listę identyfikatorów zasobów platformy Azure dla wszystkich miejsc docelowych.

   1. Na innej karcie przeglądarki w witrynie Azure Portal przejdź do konta usługi Azure Storage źródła danych.
   2. Na stronie Przegląd poszukaj w sekcji Podstawy .
   3. Kliknij link Widok JSON. Identyfikator zasobu dla konta magazynu jest wyświetlany w górnej części strony.
   4. Skopiuj ten identyfikator zasobu do innej lokalizacji. Powtórz dla wszystkich miejsc docelowych.

2. Wróć do karty przeglądarki konsolowej konta.

3. Na pasku bocznym kliknij pozycję Zasoby w chmurze.

4. Kliknij pozycję Konfiguracja Połączenie ivity sieci.

5. Wybierz kontroler domeny utworzony w kroku 1.

6. W obszarze Reguły prywatnego punktu końcowego kliknij pozycję Dodaj regułę prywatnego punktu końcowego.

7. W polu Docelowy identyfikator zasobu platformy Azure wklej identyfikator zasobu dla zasobu.

8. W polu Identyfikator podźródła platformy Azure ustaw ją na wartość podźródła zgodnie z poniższą tabelą. Każda reguła prywatnego punktu końcowego musi używać innego identyfikatora podźródła.

   Typ docelowy	Identyfikator podźródła platformy Azure
   Blob storage	blob
   Magazyn usługi ADLS	dfs

9. Kliknij przycisk Dodaj.

10. Poczekaj kilka minut, aż wszystkie reguły punktu końcowego mają stan PENDING.

Krok 4. Zatwierdzanie nowych prywatnych punktów końcowych w zasobach

Punkty końcowe nie będą obowiązywać, dopóki administrator z uprawnieniami do zasobu nie zatwierdzi nowego prywatnego punktu końcowego. Aby zatwierdzić prywatny punkt końcowy przy użyciu witryny Azure Portal, wykonaj następujące czynności:

1. W witrynie Azure Portal przejdź do konta usługi Azure Storage.

2. Na pasku bocznym kliknij pozycję Sieć.

3. Kliknij pozycję Połączenia prywatnego punktu końcowego.

4. Kliknij kartę Dostęp prywatny.

5. W obszarze Połączenia prywatnego punktu końcowego przejrzyj listę prywatnych punktów końcowych.

6. Kliknij pole wyboru obok każdego z nich, aby zatwierdzić, a następnie kliknij przycisk Zatwierdź nad listą.

7. Wróć do kontrolera domeny w usłudze Azure Databricks i odśwież stronę przeglądarki, dopóki wszystkie reguły punktu końcowego nie będą miały stanu ESTABLISHED.

   

(Opcjonalnie) Krok 5. Ustawienie konta magazynu w celu uniemożliwiania dostępu do sieci publicznej

Jeśli nie masz jeszcze ograniczonego dostępu do konta usługi Azure Storage tylko do sieci dozwolonych, możesz to zrobić.

1. Przejdź do portalu Azure Portal.
2. Przejdź do konta magazynu dla źródła danych.
3. Na pasku bocznym kliknij pozycję Sieć.
4. W polu Dostęp do sieci publicznej sprawdź wartość. Domyślnie wartość jest włączona ze wszystkich sieci. Zmień to na Wyłączone

Krok 6. Ponowne uruchamianie bezserwerowych magazynów SQL i testowanie połączenia

1. Po poprzednim kroku poczekaj pięć dodatkowych minut na propagację zmian.
2. Uruchom ponownie wszystkie bezserwerowe magazyny SQL w obszarach roboczych dołączonych do kontrolera domeny. Jeśli nie masz uruchomionych bezserwerowych magazynów SQL Warehouse, uruchom je teraz.
3. Upewnij się, że wszystkie magazyny SQL zostały pomyślnie uruchomione.
4. Uruchom co najmniej jedno zapytanie w źródle danych, aby potwierdzić, że bezserwerowa usługa SQL Warehouse może uzyskać dostęp do źródła danych.