Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Diferentes organizações têm requisitos distintos de isolamento de rede. Esta página descreve três arquiteturas de referência para requisitos comuns. Identifique a arquitetura que melhor se adequa à sua topologia de rede, necessidades de governação de dados e políticas de controlo de saída.
Arquitetura Databricks
O Azure Databricks opera a partir de um plano de controle e um plano de computação.
- O plano de controle inclui os serviços de back-end que o Azure Databricks gerencia em sua conta do Azure Databricks. A aplicação web está no plano de controle.
- O plano de computação é onde seus dados são processados. Existem dois tipos de planos de computação, dependendo da computação que você está usando.
- Para a computação clássica do Azure Databricks, os recursos de computação estão na sua assinatura do Azure no que é chamado de plano de computação clássico. Isso se refere à rede em sua assinatura do Azure e seus recursos. Os recursos clássicos do plano de computação estão na mesma região do teu espaço de trabalho.
- Para computação sem servidor, os recursos de computação sem servidor são executados em um plano de computação sem servidor em sua conta do Azure Databricks. Os recursos do plano de computação sem servidor estão na mesma região de nuvem que o plano de computação clássico do seu espaço de trabalho. Você seleciona essa região ao criar um espaço de trabalho.
Para saber mais sobre computação clássica e computação sem servidor, consulte Computação. Para obter informações adicionais sobre arquitetura, consulte Arquitetura de alto nível.
Tipos de conectividade de rede
O Databricks fornece um ambiente de rede seguro por defeito, mas se a sua organização tiver necessidades adicionais, pode configurar funcionalidades de conectividade de rede entre as diferentes ligações de rede. Cada arquitetura configura características em três tipos de conectividade de rede:
- Inbound: Utilizadores e aplicações para Azure Databricks: Pode configurar funcionalidades para controlar o acesso e fornecer conectividade privada entre utilizadores e os seus espaços de trabalho Azure Databricks. Consulte Utilizadores na ligação de rede ao Azure Databricks.
- Classic: O plano de controlo e o plano de computação clássico: Os recursos de computação clássicos, como clusters, são implementados na sua subscrição de Azure e ligam-se ao plano de controlo. Pode usar funcionalidades clássicas de conectividade de rede para implementar recursos clássicos do plano de computação na sua própria rede virtual e para permitir a conectividade privada dos clusters para o plano de controlo. Consulte Rede clássica de plano de computação.
- Saída: O plano de computação sem servidor e de armazenamento: Pode configurar firewalls nos seus recursos para permitir o acesso a partir do plano de computação sem servidor do Azure Databricks. Consulte Rede de computação em plano sem servidor.
Use o diagrama seguinte para visualizar a forma como os dados fluem através dos Databricks.
Escolha a sua arquitetura de rede
Estas arquiteturas fornecem segurança de rede para cada tipo de conectividade numa evolução. Começa com a segurança gerida como base e vai acrescentando controlos à medida que os teus requisitos aumentam. A maioria das organizações endurece o tráfego de entrada e de saída antes de adotar uma conectividade totalmente privada.
| Architecture | Description |
|---|---|
| Segurança gerida | O teu ponto de partida. Infraestrutura gerida pelo Azure Databricks com defaults seguros. Aplicar os controlos do Unity Catalog sobre esta linha base para a governação de dados. |
| Conectividade reforçada | Reforça o tráfego de entrada e de saída, além da segurança gerida. Ideal para organizações que precisam de ter auditabilidade e controlo de acesso sem eliminar endpoints públicos. |
| Ambiente isolado | Torna todo o acesso privado, para além da conectividade reforçada. Para indústrias reguladas (serviços financeiros, saúde, governo) com requisitos rigorosos de exfiltração de dados. |
Matriz de características
A tabela seguinte mostra quais as funcionalidades de segurança de rede aplicáveis a cada arquitetura:
| Connectivity | Feature | Segurança gerida | Conectividade reforçada | Ambiente isolado |
|---|---|---|---|---|
| Computação clássica | Conectividade Segura de Aglomerado (SCC) | Yes | Yes | Yes |
| Computação clássica | Injeção de VNet | Yes | Yes | Yes |
| Computação clássica | Plano de cálculo clássico Private Link | Opcional | Yes | Yes |
| Inbound | Workspace Private Link de entrada | No | No | Yes |
| Inbound | Inbound Private Link para serviços que exigem muito desempenho | No | No | Yes |
| Inbound | Listas de acesso IP ao espaço de trabalho | No | Yes | Yes |
| Inbound | Listas de acesso IP ao nível da conta | No | Yes | Yes |
| Inbound | Delta Sharing Listas de acesso por IP | No | Yes | Yes |
| Outbound | Controle de saída sem servidor | No | Yes | Yes |
| Outbound | Serverless Private Link (pontos finais privados do NCC) | No | Yes | Yes |
| Outbound | IPs estáveis sem servidor | Yes | Yes | Yes |
| Outbound | Firewall externo | Opcional | Opcional | Yes |
Recursos adicionais
| Recurso | Description |
|---|---|
| Melhores práticas de segurança da Databricks | Arquiteturas de referência de segurança, Ferramenta de Análise de Segurança (SAT) e o white paper de segurança da AWS. |
| Custos de rede | Planeie e gere custos de rede em todas as implementações do Azure Databricks. |