Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Databricks Apps suporta controle de rede refinado para ajudá-lo a proteger e gerenciar como seu aplicativo se comunica com a Internet e os recursos internos. Você pode configurar as regras de tráfego de entrada (entrada) e saída (saída) usando uma combinação de listas de acesso IP, conectividade privada front-end e políticas de rede.
Arquitetura de rede
O Azure Databricks implanta aplicativos no plano de computação sem servidor, onde recebem tráfego diretamente. Isso é semelhante a outros serviços otimizados para rotas, como o Model Serving e o Vetor Search.
O processo de conexão funciona da seguinte forma:
- As solicitações iniciais do usuário para um aplicativo Azure Databricks iniciam a autenticação OAuth com o plano de controle para validar a sessão e autorizar o acesso ao aplicativo.
- Após a autenticação bem-sucedida, todas as solicitações subsequentes são roteadas diretamente para o plano de computação sem servidor sem atravessar o plano de controle.
As políticas de segurança de rede configuradas para o plano de computação sem servidor aplicam-se ao tráfego do Databricks Apps. Isso inclui listas de acesso IP e configurações de conectividade privada front-end.
Controlos de entrada
Use os recursos a seguir para limitar o acesso ao seu espaço de trabalho e aplicativos do Azure Databricks da Internet pública.
- Listas de acesso IP: Restrinja o acesso ao espaço de trabalho e ao aplicativo a intervalos de IP conhecidos e confiáveis habilitando listas de acesso IP no nível do espaço de trabalho. Apenas o tráfego dos intervalos de IP configurados é permitido. Para obter detalhes, consulte Configurar listas de acesso IP para espaços de trabalho.
Conectividade privada front-end: Encaminhe o tráfego de entrada por meio de uma conexão de Link Privado do Azure para acessar aplicativos com segurança em sua rede virtual.
Você deve configurar o encaminhamento DNS condicional para o domínio
databricksapps.compara garantir a resolução de nomes adequada através da sua conexão privada. Caso contrário, as consultas DNS para o domínio da sua aplicação podem ser direcionadas para endereços IP públicos em vez do endpoint privado. Para instruções de configuração, consulte Configurar Link Privado Front-end.
Controlos de saída
Para controlar o tráfego de saída do seu aplicativo, crie uma configuração de conectividade de rede (NCC) e aplique políticas de rede ao espaço de trabalho que hospeda o aplicativo.
Configurações de conectividade de rede
Use uma configuração de conectividade de rede para conectar com segurança seu aplicativo aos serviços do Azure. Os NCCs fornecem IDs de sub-rede estáveis que você pode adicionar a um firewall de conta de armazenamento para permitir explicitamente o acesso de seu aplicativo e outros cálculos sem servidor.
Para restringir ainda mais o tráfego de saída para destinos privados, configure pontos de extremidade privados sem servidor para recursos do Azure ou roteie o tráfego por meio de um balanceador de carga do Azure em sua rede virtual.
Políticas de rede
Use políticas de rede para impor restrições de saída em aplicativos Databricks e outras cargas de trabalho sem servidor. Isso é útil quando você precisa atender aos requisitos organizacionais ou de conformidade para controlar a conectividade de saída.
Observação
As políticas de rede só estão disponíveis no nível Premium.
Aplique uma política de rede se o seu aplicativo:
- Deve limitar o acesso a um conjunto específico de domínios externos aprovados
- Necessidade de evitar a exfiltração acidental de dados
- Deve cumprir com padrões de segurança ou conformidade que restringem o tráfego de saída da Internet
Práticas recomendadas para configurar políticas de rede
Siga estas diretrizes para evitar interrupções não intencionais e garantir que seus aplicativos possam acessar os recursos necessários:
- Permita apenas os destinos necessários. Adicione FQDNs (nomes de domínio totalmente qualificados) para recursos públicos ou privados de que seu aplicativo precisa.
- Inclua repositórios de pacotes conforme necessário. Se o seu aplicativo instalar pacotes públicos do Python ou Node.js, poderá permitir domínios como
pypi.orgpara Python ouregistry.npmjs.orgpara Node. Seu aplicativo pode exigir domínios adicionais ou diferentes, dependendo de suas dependências específicas. Sem esses repositórios, as compilações de aplicativos que dependem derequirements.txtoupackage.jsonpodem falhar. - Use o modo de execução seca para validar sua política de rede. Este modo simula a aplicação de políticas sem bloquear o tráfego.
- Revise as tentativas de conexão negadas usando a
system.access.outbound_networktabela. Isso ajuda a identificar domínios que talvez seja necessário permitir. Consulte Verificar logs de negação.
- Adicione quaisquer domínios externos necessários, como APIs confiáveis ou contas de armazenamento do Azure não registradas no Catálogo Unity.
Criptografia e roteamento de tráfego
O Databricks Apps usa caminhos de roteamento dedicados e várias camadas de criptografia para proteger as comunicações de rede e os dados.
Roteamento de tráfego
O tráfego entre o plano de controle do Azure Databricks, o plano de computação, outros recursos do Azure Databricks e os serviços de nuvem viaja pela rede global do provedor de nuvem e não atravessa a Internet pública.
Tráfego entre usuários e databricksapps.com pode atravessar a Internet pública, dependendo do local de rede do usuário. Para evitar o roteamento público da Internet, configure a conectividade privada front-end.
Encriptação em trânsito
Todas as comunicações de rede de e para aplicações são encriptadas:
-
Tráfego de utilizadores: Comunicação entre usuários e
databricksapps.comusa criptografia Transport Layer Security (TLS) 1.3. - Controlar o tráfego aéreo: A comunicação entre o plano de controle do Azure Databricks e o plano de computação usa TLS mútuo (mTLS) para operações de gerenciamento, incluindo criação, atualizações e exclusão de aplicativos.
Encriptação em repouso
O Databricks Apps criptografa os dados armazenados usando os seguintes métodos:
- Código de aplicação: O Azure Databricks armazena o código do aplicativo em arquivos de espaço de trabalho e usa a mesma criptografia que blocos de anotações e outros arquivos de espaço de trabalho.
- Armazenamento de computação: Os aplicativos usam discos efêmeros do sistema operacional host criptografados com AES-256 e a implementação de criptografia padrão do provedor de nuvem.