Поделиться через

Настройка периметра безопасности сети Azure для ресурсов Azure

На этой странице описывается настройка Azure периметра безопасности сети (NSP) для управления доступом с бессерверных вычислений к ресурсам Azure с помощью портала Azure.

Обзор периметра безопасности сети для ресурсов Azure

Azure периметр безопасности сети (NSP) — это встроенная функция Azure, которая создает границу логической изоляции для ресурсов PaaS. Связывание ресурсов, таких как учетные записи хранения или базы данных с NSP, позволяет централизованно управлять доступом к сети с помощью упрощенного набора правил. Это заменяет необходимость вручную управлять сложными списками отдельных IP-адресов или идентификаторами подсети.

NSP поддерживает доступ из бессерверных хранилищ SQL, заданий, записных книжек, декларативных конвейеров Lakeflow Spark и конечных точек обслуживания моделей.

Ключевые преимущества

Использование NSP для Azure Databricks бессерверного исходящего трафика повышает уровень безопасности, что значительно снижает эксплуатационные расходы:

Преимущества Description
Экономия затрат Трафик, отправленный по конечным точкам службы, остается на Azure магистрали и не несет расходов на обработку данных.
Упрощенное управление Тег службы AzureDatabricksServerless является глобальным и охватывает все Azure Databricks регионы. Он включает в себя как специальные IP-адреса, представляющие конечные точки службы, так и IP-адреса NAT Azure Databricks. Весь обмен данными между Azure Databricks и ресурсами Azure направляется через магистраль Azure. Чтобы ограничить доступ к IP-адресам в определенном регионе, добавьте имя региона в тег службы, например AzureDatabricksServerless.EastUS2. Для получения полного списка поддерживаемых регионов Azure см. раздел Регионы Azure Databricks.
Централизованное управление доступом Управление политиками безопасности в нескольких типах ресурсов, включая хранилище, хранилища ключей и базы данных, в одном профиле NSP.

Поддерживаемые службы Azure

Тег службы AzureDatabricksServerless поддерживается для использования в правилах входящего доступа NSP для следующих служб Azure:

  • служба хранилища Azure (включая ADLS 2-го поколения)
  • База данных SQL Azure
  • Azure Cosmos DB
  • Azure Key Vault

Требования

  • Вы должны быть администратором учетной записи Azure Databricks.
  • У вас должны быть разрешения участника или владельца для ресурса Azure, который требуется настроить.
  • Необходимо иметь разрешение на создание ресурсов периметра сетевой безопасности в подписке Azure.
  • Рабочая область Azure Databricks и ресурсы Azure должны находиться в том же регионе Azure для оптимальной производительности и чтобы избежать расходов на передачу данных между регионами.

Шаг 1. Создание периметра безопасности сети и примечание идентификатора профиля

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части введите периметры безопасности сети и выберите его из результатов.

  3. Нажмите кнопку + Создать.

  4. На вкладке Основные сведения введите следующие данные:

    • Subscription: выберите подписку Azure.
    • Группа ресурсов: выберите существующую группу ресурсов или создайте новую.
    • Имя: введите имя NSP (например, databricks-nsp).
    • Регион. Выберите регион для NSP. Это должно соответствовать региону рабочей области Azure Databricks и региону Azure ресурсов.
    • Имя профиля: введите имя профиля (например, databricks-profile).

  5. Щелкните Обзор + создание, затем Создать.

  6. После создания NSP перейдите к нему на портале Azure.

  7. На левой боковой панели перейдите в раздел Параметры>Профили.

  8. Создайте или выберите профиль (например, databricks-profile).

  9. Скопируйте идентификатор ресурса для профиля. Этот идентификатор потребуется, если вы планируете программно связать ресурсы.

    Подсказка

    Сохраните идентификатор профиля в безопасном расположении. Вам потребуется позже, если вы хотите связать ресурсы с помощью Azure CLI или API вместо портал Azure.

Шаг 2. Связывание ресурса с NSP в режиме перехода

Необходимо связать каждый ресурс Azure, к которому требуется доступ из сред бессерверных вычислений Azure Databricks, с вашим профилем NSP. В этом примере показано, как связать учетную запись служба хранилища Azure, но те же действия применяются к другим Azure ресурсам.

  1. Перейдите к периметру безопасности сети на портале Azure.
  2. В левой боковой панели перейдите к ресурсам в разделе "Параметры".
  3. Нажмите кнопку +Добавить>и свяжите ресурсы с существующим профилем.
  4. Выберите профиль, созданный на шаге 1 (например, databricks-profile).
  5. Щелкните Связать.
  6. В области выбора ресурсов фильтруйте по типу ресурса. Например, чтобы связать учетную запись Azure Data Lake Storage 2-го поколения, отфильтруйте по Майкрософт.Storage/storageAccounts.
  7. Выберите ресурсы из списка.
  8. Щелкните Связать в нижней части панели.

Проверьте режим перехода:

  1. В NSP перейдите к Настройки>Ресурсы (или связанным ресурсам).
  2. Найдите учетную запись хранения в списке.
  3. Убедитесь, что в столбце Режим доступа отображается Переход. Это режим по умолчанию.

Замечание

В режиме перехода сначала оцениваются правила NSP. Если правило NSP не соответствует входящему запросу, система возвращается к существующим правилам брандмауэра ресурса. Это позволяет протестировать конфигурацию NSP без нарушения существующих шаблонов доступа.

Шаг 3. Добавьте правило входящего доступа для бессерверных вычислений Azure Databricks

Необходимо создать правило входящего доступа в профиле NSP, чтобы разрешить трафик от Azure Databricks бессерверных вычислений к ресурсам Azure.

  1. Перейдите к периметру безопасности сети на портале Azure.
  2. На левой боковой панели перейдите в раздел Параметры>Профили.
  3. Выберите профиль (например, databricks-profile).
  4. В разделе "Настройки" щелкните правила входящего доступа.
  5. Выберите + Добавить.
  6. Настройте правило:
    • Имя правила: введите описательное имя (например, allow-databricks-serverless).
    • Тип источника: выберите тег службы.
    • Разрешенные источники: выберите AzureDatabricksServerless.
  7. Нажмите кнопку "Добавить".

Подсказка

Тег службы AzureDatabricksServerless охватывает все исходящие IP-адреса Azure Databricks, в том числе IP-адреса конечной точки службы и IP-адреса NAT, при этом все обмен данными направляется через магистраль Azure. Так как тег обновляется автоматически, вам не нужно вручную управлять IP-адресами или обновлять правила Azure Databricks при добавлении новых диапазонов IP-адресов.

Шаг 4. Проверка конфигурации

После настройки NSP убедитесь, что бессерверные вычисления Azure Databricks могут получить доступ к ресурсу Azure, а также следите за действиями NSP.

Проверка доступа из бессерверных вычислительных мощностей

  1. Перейдите к ресурсу Azure на портале Azure.

  2. Перейдите в раздел "Безопасность и сеть>".

  3. Убедитесь, что ресурс демонстрирует ассоциацию с вашим сетевым периметром безопасности.

  4. Убедитесь, что состояние отображает режим перехода.

  5. Просмотрите правила входящего трафика, связанные с профилем, чтобы убедиться, что правило AzureDatabricksServerless упомянуто.

  6. В рабочей области Azure Databricks выполните тестовый запрос, чтобы убедиться, что бессерверные вычисления могут получить доступ к ресурсу. Например, чтобы проверить доступ к учетной записи хранения ADLS 2-го поколения:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Если запрос выполнен успешно, конфигурация NSP работает правильно.

Мониторинг действий NSP

Чтобы отслеживать, какие попытки доступа разрешены или запрещены правилами NSP:

  1. Перейдите к ресурсу Azure на портале Azure.
  2. Перейдите к мониторингу>параметрам диагностики.
  3. Щелкните + Добавить параметр диагностики.
  4. Выберите категории журналов, которые вы хотите отслеживать. Для учетных записей служба хранилища Azure выберите:
    • StorageRead
    • StorageWrite
  5. Выберите место назначения:
    • Рабочая область Log Analytics (рекомендуется для выполнения запросов и анализа)
    • Учетная запись хранения (для долгосрочного архивирования)
    • Концентратор событий (для потоковой передачи во внешние системы)
  6. Нажмите кнопку Сохранить.

Подсказка

Журналы диагностики показывают, какие попытки доступа соответствуют правилам NSP и правилам брандмауэра ресурсов. Это помогает проверить конфигурацию перед переходом в режим принудительного применения. В режиме перехода журналы указывают, разрешен ли каждый запрос правилом NSP или вернулся к брандмауэру ресурсов.

Общие сведения о режимах доступа NSP

NSP поддерживает два режима доступа: режим перехода и режим принудительного применения. Azure Databricks рекомендует оставаться в режиме перехода на неопределенный срок для большинства вариантов использования.

Режим перехода (рекомендуется):

  • Сначала оценивает правила NSP, а затем возвращается к правилам брандмауэра ресурсов, если никакие правила NSP не подходят.
  • Позволяет использовать NSP вместе с существующими конфигурациями сети
  • Совместимость с конечными точками службы, классическими конфигурациями вычислений и шаблонами общедоступного доступа

Режим принудительного применения (не рекомендуется для большинства клиентов):

  • Пропускает правила брандмауэра ресурсов, блокируя все доступы, которые не соответствуют правилу NSP. Это влияет не только на Azure Databricks, но и на любые другие службы, которые вы разрешили через брандмауэр ресурсов, эти службы должны быть подключены к NSP, чтобы продолжить работу.
  • Оставайтесь в режиме перехода, если вы используете конечные точки службы для доступа к хранилищу из любой рабочей области Azure Databricks.

Предупреждение

Оставайтесь в режиме перехода для обеспечения совместимости с существующей настройкой сети при использовании упрощенного управления правилами. См. ограничения периметра безопасности сети.

Дальнейшие шаги

  • Last updated on