Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Diferentes organizações têm diferentes requisitos de isolamento de rede. Esta página descreve três arquiteturas de referência para requisitos comuns. Identifique a arquitetura que melhor se adapta à topologia de rede, às necessidades de governança de dados e às políticas de controle de saída.
Arquitetura do Databricks
O Azure Databricks funciona em um plano de controle e em um plano de computação.
- O plano de controle inclui os serviços de back-end gerenciados pelo Azure Databricks na sua conta do Azure Databricks. O aplicativo Web está no plano de controle.
- O plano de computação é onde os dados são processados. Há dois tipos de planos de computação dependendo da computação que você está usando.
- Para computação clássica do Azure Databricks, os recursos de computação estão em sua assinatura do Azure no que é chamado de plano de computação clássico. Isso se refere à rede na sua assinatura do Azure e seus recursos. Os recursos clássicos do plano de computação estão na mesma região que o espaço de trabalho.
- Para computação sem servidor, os recursos de computação sem servidor são executados em um plano de computação sem servidor em sua conta do Azure Databricks. Os recursos do plano de computação sem servidor estão na mesma região de nuvem que o plano de computação clássico do workspace. Você seleciona essa região ao criar um espaço de trabalho.
Para saber mais sobre computação clássica e computação sem servidor, consulte Computação. Para obter informações adicionais sobre arquitetura, consulte arquitetura de alto nível.
Tipos de conectividade de rede
O Databricks fornece um ambiente de rede seguro por padrão, mas se sua organização tiver necessidades adicionais, você poderá configurar recursos de conectividade de rede entre as diferentes conexões de rede. Cada arquitetura configura recursos em três tipos de conectividade de rede:
- Entrada: Usuários e aplicativos para o Azure Databricks: Você pode configurar recursos para controlar o acesso e fornecer conectividade privada entre os usuários e seus espaços de trabalho no Azure Databricks. Veja Usuários para a rede de Azure Databricks.
- Classic: o plano de controle e o plano de computação clássico: recursos de computação clássicos, como clusters, são implantados em sua assinatura Azure e se conectam ao plano de controle. Você pode usar recursos clássicos de conectividade de rede para implantar recursos clássicos do plano de computação em sua própria rede virtual e habilitar a conectividade privada dos clusters para o plano de controle. Veja Rede clássica de plano de computação.
- Outbound: o plano de computação e armazenamento sem servidor: você pode configurar firewalls em seus recursos para permitir o acesso do plano de computação sem servidor Azure Databricks. Veja Rede de plano de execução sem servidor.
Use o diagrama a seguir para visualizar a maneira como os dados fluem por meio do Databricks.
Escolha sua arquitetura de rede
Essas arquiteturas fornecem segurança de rede para cada tipo de conectividade em uma progressão. Comece com a segurança gerenciada como sua linha de base e camada nos controles à medida que seus requisitos aumentam. A maioria das organizações protege a entrada e a saída antes de migrar para a conectividade privada completa.
| Architecture | Description |
|---|---|
| Segurança gerenciada | Seu ponto de partida. Infraestrutura gerenciada pelo Azure Databricks com configurações seguras por padrão. Aplique controles do Catálogo do Unity sobre essa linha de base para governança de dados. |
| Conectividade protegida | Protege a entrada e a saída sobre a segurança gerenciada. Ideal para organizações que precisam de auditabilidade e controle de acesso sem abrir mão de endpoints públicos. |
| Ambiente isolado | Torna todo o acesso privado, além da conectividade reforçada. Para setores regulamentados (serviços financeiros, saúde, governo) com requisitos estritos de exfiltração de dados. |
Matriz de funcionalidades
A tabela a seguir mostra quais recursos de segurança de rede se aplicam a cada arquitetura:
| Connectivity | Característica | Segurança gerenciada | Conectividade reforçada | Ambiente isolado |
|---|---|---|---|---|
| Computação clássica | Conectividade segura de cluster (SCC) | Yes | Yes | Yes |
| Computação clássica | Injeção de VNet | Yes | Yes | Yes |
| Computação clássica | Plano de computação clássico Link Privado | Opcional | Yes | Yes |
| Inbound | Link Privado de entrada do espaço de trabalho | No | No | Yes |
| Inbound | Link Privado de Entrada para serviços de alto desempenho | No | No | Yes |
| Inbound | Listas de acesso a IP do ambiente de trabalho | No | Yes | Yes |
| Inbound | Listas de acesso ip no nível da conta | No | Yes | Yes |
| Inbound | Listas de acesso por IP do Delta Sharing | No | Yes | Yes |
| Saída | Controle de saída sem servidor | No | Yes | Yes |
| Saída | Link Privado sem servidor (pontos de extremidade privados NCC) | No | Yes | Yes |
| Saída | IPs estáveis sem servidor | Yes | Yes | Yes |
| Saída | Firewall externo | Opcional | Opcional | Yes |
Recursos adicionais
| Recurso | Description |
|---|---|
| Práticas recomendadas de segurança do Databricks | Arquiteturas de referência de segurança, SAT (Security Analysis Tool) e o white paper de segurança da AWS. |
| Custos de rede | Planeje e gerencie os custos de rede em implantações de Azure Databricks. |