Aktivera Azure Private Link som en standarddistribution

Den här artikeln beskriver hur du använder Azure Private Link för att aktivera privat anslutning mellan användare och deras Databricks-arbetsytor, och även mellan kluster på det klassiska beräkningsplanet och kärntjänsterna på kontrollplanet i Databricks-arbetsyteinfrastrukturen.

Kommentar

• Krav och en översikt över Private Link finns i Aktivera Azure Private Link-backend- och klientdelsanslutningar.
• Det finns två distributionstyper: standard och förenklad. I den här artikeln beskrivs standarddistributionen. Om du vill jämföra dessa distributionstyper läser du Välj standard eller förenklad distribution.

Introduktion till klientdelsanslutningar i en standarddistribution

För att stödja privata klientdelsanslutningar till Azure Databricks-webbprogrammet för klienter som inte har någon offentlig Internetanslutning måste du lägga till en privat slutpunkt för webbläsarautentisering för att stödja återanrop för enkel inloggning (SSO) i Azure Databricks-webbprogrammet. Vanligtvis skulle dessa användaranslutningar komma via ett virtuellt nätverk som hanterar anslutningar till lokalt nätverk och VPN, och detta kallas för ett virtuellt överföringsnätverk.

Dricks

Om du bara implementerar private link-anslutningar i serverdelen behöver du inte ett virtuellt transitnätverk eller en privat slutpunkt för webbläsarautentisering och kan hoppa över resten av det här avsnittet.

En privat slutpunkt för webbläsarautentisering är en privat anslutning med underresurstypen browser_authentication. Den är värd för en privat anslutning från ett virtuellt överföringsnätverk som gör att Microsoft Entra-ID (tidigare Azure Active Directory) kan omdirigera användare efter inloggning till rätt Azure Databricks-kontrollplansinstans.

• Om du planerar att tillåta anslutningar från ditt användarklientöverföringsnätverk till det offentliga Internet rekommenderas att du lägger till en privat slutpunkt för webbläsarautentisering, men det krävs inte.
• Om du planerar att inte tillåta anslutningar från klientöverföringsnätverket till det offentliga Internet måste du lägga till en privat slutpunkt för webbläsarautentisering.

Den privata slutpunkten för webbläsarautentisering delas mellan alla arbetsytor i regionen som delar samma privata DNS-zon. Observera också att vissa dns-lösningar för företag effektivt begränsar dig till en regional privat slutpunkt för webbläsarautentiseringen.

Viktigt!

Databricks rekommenderar starkt att du skapar en arbetsyta som kallas en privat webbautentiseringsarbetsyta för varje region för att vara värd för inställningarna för privat webbautentisering. Detta löser problemet med att ta bort en arbetsyta som kan påverka andra arbetsytor i den regionen. Mer kontext och information finns i Steg 4: Skapa en privat slutpunkt för att stödja enkel inloggning för webbläsaråtkomst.

Diagram över nätverksflöden och nätverksobjekt

Följande diagram visar nätverksflödet i en typisk implementering av Private Link-standarddistributionen:

Följande diagram visar nätverksobjektarkitekturen:

Om du vill jämföra detta med den förenklade distributionen av Private Link läser du Diagram över nätverksflöden och nätverksobjekt

Steg 1: Skapa resursgrupper

1. I Azure-portalen går du till bladet resursgrupper .
2. Klicka på Skapa resursgrupp för att skapa en resursgrupp för din arbetsyta. Ange Azure-prenumerationen, regionen och namnet på resursgruppen. Klicka på Granska och skapa och sedan på Skapa.
3. Upprepa föregående steg för att skapa en resursgrupp för dina Private Link-resurser, till exempel private link-slutpunkten och zonen. Regionen behöver inte matcha arbetsytans region. Använd Den Azure-region som matchar den region som du planerar att använda för ditt virtuella transitnätverk. Om arbetsytans region och transit-VNet-regionen inte matchar, finns det ytterligare kostnader för att överföra data mellan regioner.

Steg 2: Skapa eller förbereda arbetsytans virtuella nätverk

Du kanske redan har ett virtuellt nätverk som du kommer att använda, eller så kan du skapa ett nytt virtuellt nätverk specifikt för Azure Databricks.

Kraven för IP-intervall för det virtuella nätverket och de två nödvändiga undernäten för arbetsytan finns i artikeln Distribuera Azure Databricks i ditt virtuella Azure-nätverk (VNet-inmatning).

IP-intervallen för virtuella nätverk och undernät som du använder för Azure Databricks definierar det maximala antalet klusternoder som du kan använda samtidigt. Välj dessa värden noggrant för att matcha din egen organisations nätverkskrav och maximala klusternoder som du förväntar dig att använda samtidigt med Azure Databricks. Se Adressutrymme och maximalt antal klusternoder.

Du kan till exempel skapa ett virtuellt nätverk med följande värden:

• IP-intervall: Ta först bort standard-IP-intervallet och lägg sedan till IP-intervallet 10.28.0.0/23.
• Skapa undernät public-subnet med intervallet 10.28.0.0/25.
• Skapa undernät private-subnet med intervallet 10.28.0.128/25.
• Skapa undernät private-link med intervallet 10.28.1.0/27.

Steg 3: Etablera en Azure Databricks-arbetsyta och privata slutpunkter

Distribuera en ny Azure Databricks-arbetsyta med följande inställningar:

• Distribuera din Azure Databricks-arbetsyta i ditt eget virtuella nätverk för nätverket för beräkningsresurser. Den här funktionen kallas Distribuera Azure Databricks i ditt virtuella Azure-nätverk (VNet-inmatning).
• Säker klusteranslutning (kallas även No-Public-IP/NPIP).
• Private Link-stöd.

Om du vill distribuera en arbetsyta med de här inställningarna har du flera alternativ, bland annat ett användargränssnitt i Azure-portalen, en anpassad mall (som du kan använda i användargränssnittet, med Azure CLI eller PowerShell) eller Terraform. Använd den här mallen om du vill använda en anpassad mall för att skapa en Private Link-aktiverad arbetsyta.

Oavsett vilken metod du väljer anger du dessa värden när du skapar din nya arbetsyta:

• Åtkomst till offentligt nätverk (för private link i klientdelen) (i mallen som publicNetworkAccess): Styr inställningarna för klientdelens användningsfall för Private Link.
  • Om du anger detta till Enabled (standard) kan användare och REST API-klienter på det offentliga Internet komma åt Azure Databricks, även om du kan begränsa åtkomsten till specifika IP-intervall från godkända källnätverk med hjälp av Konfigurera IP-åtkomstlistor för arbetsytor.
  • Om du anger detta till Disabledtillåts ingen användaråtkomst från det offentliga Internet. Om inställningen är Inaktiverad kan klientdelsanslutningen endast nås med private link-anslutningen och inte från det offentliga Internet. IP-åtkomstlistor gäller inte för Private Link-anslutningar.
  • Om du bara vill använda private link i serverdelen (ingen privat klientdelslänk) måste du ange åtkomst till offentligt nätverk till Enabled.
• Obligatoriska NSG-regler (för private link i serverdelen) (i mallen som requiredNsgRules): Möjliga värden:
  • Alla regler (standard): Det här värdet finns i mallen som AllRules. Detta indikerar att arbetsytans beräkningsplan behöver en nätverkssäkerhetsgrupp som innehåller Azure Databricks-regler som tillåter anslutningar på det offentliga Internet från beräkningsplanet till kontrollplanet. Om du inte använder private link för serverdelen använder du den här inställningen.
  • Inga Azure Databricks-regler: Det här värdet finns i mallen som NoAzureDatabricksRules: Använd det här värdet om du använder Private Link för serverdelen, vilket innebär att arbetsytans beräkningsplan inte behöver regler för nätverkssäkerhetsgrupp för att ansluta till Azure Databricks-kontrollplanet. Om du använder private link för serverdelen använder du den här inställningen.
• Aktivera säker klusteranslutning (No-Public-IP/NPIP) (i mallen som enableNoPublicIp): Ställ alltid in på Ja (true), vilket möjliggör säker klusteranslutning.

Kombinationen av inställningarna Åtkomst till offentligt nätverk (i mallen, publicNetworkAccess) och Obligatoriska NSG-regler (i mallen) requiredNsgRulesdefinierar vilka typer av Private Link som stöds.

I följande tabell visas scenarier som stöds för de två huvudsakliga Användningsfallen för Private Link, som är klientdels- och serverdelsfall.

Scenario	Ange åtkomst till det offentliga nätverket till det här värdet	Ange obligatoriska NSG-regler till det här värdet	Skapa dessa slutpunkter
Ingen privat länk för klientdel eller serverdel	Aktiverat	Alla regler	saknas
Rekommenderad konfiguration: Både klientdels- och backend Private Link. Klientdelsanslutningen är låst för att kräva Private Link.	Inaktiverad	NoAzureDatabricksRules	En för serverdelen (krävs). En för klientdelen (krävs). Dessutom en privat slutpunkt för webbläsarautentisering per region.
Både klientdelen och serverdelen Private Link. Hybrid-klientdelsanslutning tillåter Private Link eller offentligt Internet, vanligtvis med hjälp av Konfigurera IP-åtkomstlistor för arbetsytor. Använd den här hybridmetoden om du använder Private Link för lokal användaråtkomst men behöver tillåta specifika CIDR-intervall på Internet. De ytterligare intervallen kan användas för Azure-tjänster som SCIM eller Azure Machine Learning, eller för att tillhandahålla extern åtkomst för JDBC, molnautomatisering eller administratörsverktyg.	Aktiverat	NoAzureDatabricksRules	En för serverdelen (krävs). En slutpunkt för klientdelen (valfritt). Dessutom en privat slutpunkt för webbläsarautentisering per region.
Klientdelen endast Private Link. Klientdelsanslutningen är låst för att kräva Private Link (åtkomst till offentligt nätverk är inaktiverad). Ingen privat länk för serverdelen.	Det här är ett scenario som inte stöds.	Det här är ett scenario som inte stöds.	Det här är ett scenario som inte stöds.
Klientdelen endast Private Link. Hybrid-klientdelsanslutning tillåter Private Link eller offentligt Internet, kanske med hjälp av Konfigurera IP-åtkomstlistor för arbetsytor. Ingen privat länk för serverdelen.	Aktiverat	Alla regler	En slutpunkt för klientdelen (valfritt). Dessutom en privat slutpunkt för webbläsarautentisering per region.
Endast private link för serverdelen. Klientdelen använder offentligt Internet, kanske med hjälp av Konfigurera IP-åtkomstlistor för arbetsytor. Ingen privat länk för klientdelen.	Aktiverat	NoAzureDatabricksRules	En slutpunkt för serverdelen (krävs).

Ange följande konfigurationsinställningar för arbetsytan:

• Ange Prisnivå till Premium (i en mall är premiumdet här värdet )
• Om du aktiverar serverdelsanslutningar anger du Aktivera ingen offentlig IP-adress (säker klusteranslutning) till Ja (i en mall är truedet här värdet ).
• Ange Nätverksdistribution > av Azure Databricks-arbetsyta i ditt eget virtuella nätverk (VNet) till Ja (i en mall är truedet här värdet )

Kommentar

I allmänhet måste du aktivera Private Link när du skapar en ny arbetsyta. Men om du har en befintlig arbetsyta som aldrig har åtkomst till Private Link-klientdelen eller serverdelen, eller om du använde standardvärdena för åtkomst till offentligt nätverk (aktiverad) och obligatoriska NSG-regler (alla regler ), kan du välja att lägga till Private Link i klientdelen senare. Offentlig nätverksåtkomst är dock fortfarande aktiverad, så endast några av konfigurationsalternativen är tillgängliga för dig.

Det finns två sätt att skapa arbetsytan:

Skapa arbetsytan och privata slutpunkter i Användargränssnittet för Azure-portalen

Azure-portalen innehåller automatiskt de två Private Link-fälten (offentlig nätverksåtkomst och obligatoriska NSG-regler) när du skapar en ny Azure Databricks-arbetsyta.

1. Skapa arbetsytan med ditt eget VNet (VNet-inmatning). Om du vill konfigurera och ändra storlek på dina undernät följer du arbetsyteproceduren i Distribuera Azure Databricks i ditt virtuella Azure-nätverk (VNet-inmatning) men trycker ännu inte på Skapa.

   Ange följande fält.

   1. Ange Prisnivå till premium annars visas inte fälten Private Link i användargränssnittet.
   2. Ställ in Networking > Deploy Azure Databricks-arbetsyta med Secure Cluster Anslut ivity (Ingen offentlig IP) till Ja.
   3. Ställ in Nätverksdistribution > av Azure Databricks-arbetsyta i ditt eget virtuella nätverk (VNet) till Ja.
   4. Ange undernäten enligt det virtuella nätverk som du skapade i ett tidigare steg. Mer information finns i artikeln om VNet-inmatning.
   5. Ange private link-arbetsytefälten Offentlig nätverksåtkomst och Obligatoriska Nsg-regler enligt scenarier i steg 3: Etablera en Azure Databricks-arbetsyta och privata slutpunkter.

   Följande skärmbild visar de fyra viktigaste fälten för Private Link-anslutning.

   

2. Skapa en privat slutpunkt för serverdelsanslutning:

   1. Leta efter avsnittet Privata slutpunkter under fälten som visas i föregående skärmbild. Om du inte ser dem har du förmodligen inte angett prisnivån till Premium.

      

   2. Klicka på + Lägg till.

      Azure-portalen visar bladet Skapa privat slutpunkt i arbetsytan Skapa.

      

      När du skapar den privata slutpunkten från arbetsytan visas inte vissa Azure-fält för den här objekttypen eftersom de är automatiskt ifyllda och inte redigerbara. Vissa fält visas men behöver inte redigeras:

      • Underresursfältet i Azure Databricks visas och fylls automatiskt i med värdet databricks_ui_api. Det underresursvärdet representerar det aktuella Azure Databricks-kontrollplanet för din arbetsyta. Det här underresursnamnet används för privata slutpunkter för både serverdels- och klientdelsanslutningar.

      • När du har angett resursgruppen, det virtuella nätverket och undernätet fylls Privat DNS zonen automatiskt i med ett värde om du använder den inbyggda DNS som skapats av Azure i stället för en anpassad DNS.

        Viktigt!

        Azure kanske inte automatiskt väljer den Privat DNS zon som du vill använda. Granska värdet för fältet Privat DNS Zone och ändra det efter behov.

   3. Ange plats så att den matchar din arbetsyteregion. Observera att för serverdelens privata slutpunktsregion och arbetsyteregion måste matcha, även om regionerna inte behöver matcha för privata slutpunktsanslutningar i klientdelen.

   4. Ange det virtuella nätverket till det virtuella arbetsytans virtuella nätverk.

   5. Ställ in undernätet på Private Link-specifikt undernät på din arbetsyta. Relaterad information finns i nätverkskrav.

   6. För vanlig användning med den inbyggda Azure DNS anger du Integrera med privat DNS-zon till Ja. Resten av dessa instruktioner förutsätter att du valde Ja.

      Om din organisation har en egen anpassad DNS kanske du vill ange Nej, men granska den här Microsoft-artikeln om DNS-konfiguration innan du fortsätter. Kontakta ditt Azure Databricks-kontoteam om du har frågor.

   7. Klicka på OK för att skapa den privata slutpunkten och återgå till bladet för att skapa arbetsytan.

   8. Endast en privat slutpunkt kan skapas direkt från flödet för att skapa arbetsytor. Om du vill skapa en separat privat slutpunkt för klientdelen från det virtuella överföringsnätverket måste du skapa ytterligare en privat slutpunkt, men du måste göra det när arbetsytan har distribuerats.

      Om du vill slutföra skapandet av arbetsytan klickar du på Granska + skapa och sedan på Skapa.

      Vänta tills arbetsytan har distribuerats och klicka sedan på Gå till resurs. Det här är Azure-portalobjektet för din Azure Databricks-arbetsyta. Överväg att fästa den här resursen på Din Azure-instrumentpanel för enkel åtkomst till den.

3. Skapa ytterligare en privat slutpunkt för klientdelen för att ansluta ditt virtuella överföringsnätverk till Azure Databricks-kontrollplanet:

   1. Från arbetsyteobjektet i Azure-portalen klickar du på Nätverk.
   2. Klicka på fliken Privata slutpunktsanslutningar .
   3. Klicka på + Privat slutpunkt.
   4. Ange resursgruppen till din resursgrupp för klientdelsanslutningen.
   5. För regionen måste en privat slutpunkt för klientdelen finnas i samma region som ditt virtuella transitnätverk, men kan finnas i en annan region än din arbetsyta eller kontrollplan.

Skapa arbetsytan med hjälp av en anpassad mall och lägg till privata slutpunkter på klientsidan

Om du inte vill använda standardgränssnittet för Azure-portalen för att skapa arbetsytan kan du använda en mall för att distribuera din arbetsyta. Du kan använda mallen med:

• Azure-portalens gränssnitt
• Azure CLI
• Azure PowerShell
• Terraform

ARM-mallen för all-in-one-distribution för Private Link skapar följande resurser:

• Nätverkssäkerhetsgrupper

• Resursgrupper

• VNet inklusive undernät för arbetsytan (de två standardundernäten) och Private Link (ytterligare ett undernät)

• Azure Databricks-arbetsyta

• Slutpunkten private link i serverdelen med privat DNS-zon

  Kommentar

  Mallen skapar inte en klientdelsslutpunkt från ditt virtuella överföringsnätverk. När du har skapat arbetsytan kan du lägga till slutpunkten manuellt.

1. Du kan distribuera mallen direkt från huvudsidan för mallen.

2. Om du vill distribuera det direkt klickar du på Distribuera på Azure. Om du vill visa källan klickar du på Bläddra på GitHub.

   I båda fallen anger du följande parametervärden för mallen:

   • Ställ in pricingTier på premium. Om du lämnar detta som standarddöljer Azure-portalen de konfigurationsfält som är specifika för Private Link.
   • Ställ in enableNoPublicIp på true
   • Ange publicNetworkAccess och requiredNsgRules enligt tabellen i Steg 3: Etablera en Azure Databricks-arbetsyta och privata slutpunkter
   • networkSecurityGroup Ange ID:t för arbetsytans NSG.

3. Vänta tills arbetsytan har distribuerats.

4. Gå till den nya **Azure Databricks Service-resursen som representerar din arbetsyta. Det här är Azure-portalobjektet för din Azure Databricks-arbetsyta. Överväg att fästa den här resursen på Din Azure-instrumentpanel för enkel åtkomst till den.

5. (Endast privat länk i klientdelen) Skapa klientdelsanslutningen till ditt virtuella överföringsnätverk:

   1. I det vänstra navigeringsfältet klickar du på Inställningar> Nätverk.
   2. Klicka på fliken Privata slutpunktsanslutningar .
   3. Klicka på + Privat slutpunkt.
   4. Ange resursgruppen till din resursgrupp för klientdelsanslutningen.
   5. För regionen måste din privata slutpunkt för klientdelen finnas i samma region som ditt virtuella transitnätverk, men kan finnas i en annan region än din arbetsyta eller kontrollplan.

Steg 4: Skapa en privat slutpunkt för att stödja enkel inloggning för webbläsaråtkomst

Viktigt!

Hoppa över det här steget om du inte implementerar Private Link i klientdelen. Om alla dina arbetsytor i regionen har stöd för Private Link-klientdelsanslutningar och klientnätverket (det virtuella överföringsnätverket) tillåter offentlig Internetåtkomst, rekommenderas den konfiguration som beskrivs i det här steget, men valfritt.

Användarautentisering till Azure Databricks-webbprogrammet använder OAuth som en del av Microsoft Entra-ID:t (tidigare Azure Active Directory) SSO-implementeringen. Under autentiseringen ansluter användarens webbläsare till Azure Databricks-kontrollplanet. Dessutom kräver OAuth-flödet en omdirigering av återanrop från Microsoft Entra-ID. Om du har konfigurerat Private Link i klientdelen misslyckas omdirigeringen av SSO-nätverket utan ytterligare konfiguration. Det innebär att användare i det virtuella överföringsnätverket inte kan autentisera till Azure Databricks. Observera att det här problemet gäller för användarinloggning till webbprogrammets användargränssnitt via en klientdelsanslutning men gäller inte för REST API-anslutningar eftersom REST API-autentisering inte använder återanrop för enkel inloggning.

Om klientnätverket (det virtuella överföringsnätverket) inte tillåter åtkomst till det offentliga Internet måste du skapa en privat slutpunkt för webbläsarautentisering för att stödja återanrop för enkel inloggning (SSO). En privat slutpunkt för webbläsarautentisering är en privat slutpunkt med underresursen som heter browser_authentication. Om du skapar en privat slutpunkt för webbläsarautentisering konfigurerar Azure Databricks automatiskt DNS-posterna för återanropet från Microsoft Entra-ID under inloggning med enkel inloggning. DNS-ändringarna görs som standard i den privata DNS-zon som är associerad med arbetsytans virtuella nätverk.

För en organisation med flera arbetsytor är det viktigt att förstå att en korrekt konfigurerad nätverkskonfiguration är exakt en privat slutpunkt för webbläsarautentisering för varje Azure Databricks-region för varje privat DNS-zon. Den privata slutpunkten för webbläsarautentisering konfigurerar privat webbautentisering för alla Private Link-arbetsytor i regionen som delar samma privata DNS-zon.

Om du till exempel har 10 produktionsarbetsytor i regionen USA, västra som delar samma privata DNS-zon, har du en privat slutpunkt för webbläsarautentisering som stöder dessa arbetsytor.

Viktigt!

• Om någon tar bort arbetsytan som är värd för den privata slutpunkten för webbläsarautentisering för den regionen störs användarens webbautentisering för andra arbetsytor i den regionen som förlitade sig på den privata slutpunkten för webbläsarautentisering och relaterad DNS-konfiguration för återanrop till enkel inloggning.
• För att minska riskerna med borttagning av arbetsytor och uppmuntra standardkonfiguration av arbetsytor för dina produktionsarbetsytor rekommenderar Databricks starkt att du skapar en privat webbautentiseringsarbetsyta för varje region.
• För icke-produktionsdistributioner kan du förenkla implementeringen genom att utelämna den ytterligare privata webbautentiseringsarbetsytan. I så fall skulle webbautentiseringsslutpunkten ansluta till en av dina andra arbetsytor i den regionen.

En privat webbautentiseringsarbetsyta är en arbetsyta som du skapar i samma region som dina Azure Databricks-arbetsytor, och dess enda syfte är att vara värd för den privata slutpunktsanslutningen för webbläsarautentisering från ett specifikt virtuellt överföringsnätverk till din faktiska azure Databricks-arbetsytor i den regionen. På alla andra sätt används inte den privata webbautentiseringsarbetsytan för någonting, till exempel använd den inte för att köra jobb eller andra arbetsbelastningar. Den behöver inte några faktiska användardata eller inkommande nätverksanslutningar förutom den privata slutpunkten för webbläsarautentisering. Du kan konfigurera den så att den inte har någon användaråtkomst. Genom att ange inställningen Offentlig nätverksåtkomst till Inaktiverad och inte skapa några privata slutpunkter i klientdelen till arbetsytan, har användarna inte åtkomst till användarinloggning till arbetsytan.

Information om hur den privata webbautentiseringsarbetsytan fungerar med andra objekt för Private Link-anslutning finns i diagrammet tidigare i den här artikeln.

Den privata webbautentiseringsarbetsytan fungerar som en återanropstjänst för alla arbetsytor i regionen för användarens enkel inloggning under inloggningen. När inloggningen till dina vanliga arbetsytor har slutförts används inte den privata webbautentiseringsarbetsytan förrän nästa inloggning.

Oavsett om du väljer att skapa en privat webbautentiseringsarbetsyta eller inte måste du välja en arbetsyta i den region som ska vara värd för det privata slutpunktsmålet för webbläsarautentisering. I Azure-portalen väljer du ett Azure Databricks-arbetsyteobjekt som innehåller webbläsarens privata slutpunkt för autentisering. Vid körning sker den faktiska nätverksåtkomsten från ditt virtuella överföringsnätverk till Microsoft Entra-ID. Efter lyckad inloggning med Microsoft Entra-ID omdirigeras användarens webbläsare till rätt kontrollplansinstans.

Dricks

Databricks rekommenderar starkt konfigurationen av den privata webbautentiseringsarbetsytan om du har flera arbetsytor som delar en privat DNS-konfiguration. Du kan välja att utelämna den privata webbautentiseringsarbetsytan för något av följande villkor:

• Du har bara en arbetsyta i regionen och du är säker på att du inte kommer att lägga till fler senare.
• Du är säker på att du inte behöver ta bort någon arbetsyta.
• Distributioner som inte är produktionsbaserade.

I något av dessa fall utelämnar du den privata webbautentiseringsarbetsytan och väljer i stället en av dina produktionsarbetsytor som värd för den privata slutpunkten för webbläsarautentisering. Tänk dock på riskerna med att eventuell borttagning av arbetsytan omedelbart förhindrar användarautentisering för andra arbetsytor i regionen med stöd för Private Link i klientdelen.

Så här skapar du en privat slutpunkt som stöder enkel inloggning:

1. Rekommenderat men valfritt steg: Skapa en privat webbautentiseringsarbetsyta som värd för webbautentiseringstjänsten.

   1. Skapa en resursgrupp som värd för den privata webbautentiseringsarbetsytan. Skapa en för varje region där du har distribuerat Azure Databricks-arbetsytor.

   2. Skapa en privat webbautentiseringsarbetsyta för varje region där du har distribuerat Azure Databricks-arbetsytor.

      • Du kan använda Azure-portalen, Azure CLI, Powershell eller Terraform för att skapa en ny Azure Databricks-arbetsyta.
      • Ange nivån till Premium.
      • Ange arbetsytans namn så WEB_AUTH_DO_NOT_DELETE_<region> att det inte tas bort.
      • Ange obligatoriska NSG-regler (requiredNsgRules) till värdet NoAzureDatabricksRules.
      • Ange Säker klusteranslutning (NPIP) (disablePublicIp) till Aktiverad.
      • Skapa arbetsytan i samma region som dina andra produktionsarbetsytor.
      • Använd VNet-inmatning. Skapa eller använd ett VNet separat från det virtuella nätverk som du använder för ditt huvudsakliga virtuella arbetsytenätverk.
      • Ange Åtkomst till offentligt nätverk (publicNetworkAccess) till Inaktiverad.
      • Placera inte någon Azure Databricks-arbetsbelastning på den här arbetsytan.
      • Lägg inte till några andra privata slutpunkter än den privata slutpunkten för webbläsarautentisering. Skapa till exempel inte någon privat slutpunkt med underresursen databricks_ui_api , vilket skulle aktivera klientdels- eller serverdelsanslutningar till arbetsytan, vilket inte är nödvändigt.

      Mer information om hur du distribuerar en arbetsyta med VNet-inmatning finns i Distribuera Azure Databricks i ditt virtuella Azure-nätverk (VNet-inmatning).

      Om du vill skapa arbetsytan kan du använda ARM-standardmallen allt-i-ett och följa kraven som anges ovan för konfigurationen av arbetsytan.

   3. När du har skapat den privata webbautentiseringsarbetsytan anger du ett lås för att förhindra att arbetsytan tas bort. Gå till Azure Databricks-tjänstinstansen i Azure-portalen. I det vänstra navigeringsfältet klickar du på Lås. Klicka på +Lägg till. Ange Låstyp till Ta bort. Ge låset ett namn. Klicka på OK.

      

2. Gå till Azure Databricks Service-instansen som representerar din arbetsyta i Azure-portalen.

   • Om du använder en privat webbautentiseringsarbetsyta går du till Azure Databricks Service-instansobjektet för den privata webbautentiseringsarbetsytan.
   • Om du inte använder en privat webbautentiseringsarbetsyta väljer du en arbetsyta som ska vara värd för den privata slutpunkten för webbautentisering. Kom ihåg att borttagningen av arbetsytan tar bort DNS-poster som krävs för alla dina andra arbetsytor i den regionen som använder Private Link-klientdelsanslutningar. Öppna den här arbetsytans Azure Databricks Service-instansblad i Azure-portalen.

3. Gå till Inställningar> Nätverk>privata slutpunktsanslutningar.

4. Klicka på knappen + Lägg till för att skapa en privat slutpunkt för den här arbetsytan.

5. Azure-portalen visar bladet Skapa privat slutpunkt i flödet skapa arbetsyta.

   

6. I resurssteget anger du fältet Målunderresurs till browser_authentication.

   Observera att fälten Resurstyp och Resurs automatiskt refererar till den Azure Databricks Service-arbetsyteinstans som du redigerar.

   

7. I steget Virtuellt nätverk :

   

   • Ange det virtuella nätverket till ditt virtuella transitnätverk.
   • Ange undernätet till det privata länkspecifika undernätet i ditt virtuella överföringsnätverk. Det här undernätet får inte vara något av de standardundernät som används för VNet-inmatning. Om du inte har skapat det undernätet än gör du det nu i ett annat webbläsarfönster. Relaterad information finns i nätverkskraven.

8. I DNS-steget:

   

   • För vanlig användning med den inbyggda Azure DNS anger du Integrera med privat DNS-zon till Ja.

     Om din organisation har en egen anpassad DNS kan du ställa in Integrera med privat DNS-zon på Nej, men läsa den här Microsoft-artikeln om DNS-konfiguration innan du fortsätter. Kontakta ditt Azure Databricks-kontoteam om du har frågor.

     Resten av instruktionerna i den här artikeln förutsätter att du har valt Ja.

   • Kontrollera att fältet Resursgrupp är inställt på rätt resursgrupp. Den kan ha fyllts i i förväg till rätt resursgrupp, men det är inte garanterat att den gör det. Ställ in det på samma virtuella nätverk som den privata klientdelsslutpunkten.

     Viktigt!

     Det här är ett vanligt steg för felkonfiguration, så gör det här steget noggrant.

9. Klicka på OK för att skapa den privata slutpunkten.

10. Om du integrerar med inbyggd Azure DNS kan du nu bekräfta att din DNS konfigurerades automatiskt av den privata slutpunkten för webbläsarautentisering som du skapade. Om du till exempel tittar i din privata DNS-zon ser du en eller flera nya A poster med namn som slutar i .pl-auth. Det här är poster som representerar återanrop för enkel inloggning för varje kontrollplansinstans i regionen. Om det finns fler än en Azure Databricks-kontrollplansinstans i den regionen kommer det att finnas fler än en A post.

    

Anpassad DNS

Om du använder anpassad DNS måste du se till att rätt DNS-konfiguration har konfigurerats för att stödja återanrop för SSO-autentisering. Om du vill ha vägledning kontaktar du ditt Azure Databricks-kontoteam.

Om du använder en privat klientdelsslutpunkt och användarna får åtkomst till Azure Databricks-arbetsytan från ett virtuellt överföringsnätverk som du har aktiverat anpassad DNS för, måste du aktivera IP-adressen för den privata slutpunkten för att arbetsytan ska vara tillgänglig med hjälp av arbetsytans URL.

Du kan behöva konfigurera villkorlig vidarebefordran till Azure eller skapa en DNS-post A för arbetsytans URL i anpassad DNS (lokal eller intern DNS). Detaljerade anvisningar om hur du aktiverar åtkomst till Private Link-aktiverade tjänster finns i DNS-konfigurationen för Azure Private Endpoint.

Om du till exempel mappar resurs-URL:erna direkt till ip-adresserna för klientdelens privata slutpunkt i din interna DNS behöver du två poster:

• En DNS-post A mappar URL:en per arbetsyta (adb-1111111111111.15.azuredatabricks.net) till ip-adressen för den privata slutpunkten i klientdelen.

• En eller flera DNS-poster A mappar svars-URL:en för Microsoft Entra ID OAuth-flödet till ip-adressen för den privata slutpunkten i klientdelen, till exempel westus.pl-auth.azuredatabricks.net. Eftersom en region kan ha fler än en kontrollplansinstans kan du behöva lägga till flera A poster, en för varje kontrollplansinstans.

  Kommentar

  Om du använder anpassad DNS kontaktar du ditt Azure Databricks-kontoteam för att hämta den uppsättning kontrollplansinstansdomäner som du måste använda för regioner som du vill använda. Vissa regioner har fler än en kontrollplansinstans.

Förutom enskilda A poster som behövs för åtkomst till en privat slutpunkt för arbetsytan måste du konfigurera minst en uppsättning OAuth-DNS-poster perbrowser_authentication region. Detta ger åtkomst till privata klienter mellan OAuth-åtkomst till alla arbetsytor i regionen eftersom den browser_authentication privata slutpunkten till kontrollplanet delas mellan arbetsytor i den regionen.

Du kan också tillåta att OAuth-trafik går ut över det offentliga nätverket om åtkomst till det offentliga Internet tillåts, och att dela en enskild privat slutpunkts-IP-adress från användare till arbetsyta för alla affärsenheter skulle vara ett problem på grund av vanlig DNS.

När de här konfigurationerna har förberetts bör du kunna komma åt Azure Databricks-arbetsytan och starta kluster för dina arbetsbelastningar.

Steg 5: Testa användarens SSO-autentisering till din arbetsyta

Du måste testa autentiseringen till den nya arbetsytan. Starta arbetsytan från Azure-portalen för det första autentiseringsförsöket. I arbetsyteobjektet finns det en knapp för att starta arbetsyta, vilket är viktigt. När du klickar på den försöker Azure Databricks logga in på arbetsytan och etablera ditt första administratörsanvändarkonto för arbetsytan. Det är viktigt att testa autentiseringen för att säkerställa att arbetsytan fungerar korrekt.

1. Klicka på knappen Starta arbetsyta.

2. Testa nätverksåtkomsten från ditt virtuella transitnätverk eller en nätverksplats som är peer-kopplade till det. Om ditt lokala nätverk till exempel har åtkomst till det virtuella överföringsnätverket kan du kontrollera användarens enkel inloggning från det lokala nätverket. Bekräfta nätverksåtkomsten från testnätverket till ditt transitundernät.

   • Om du har aktiverat Private Link i klientdelen måste du testa att autentiseringen sker från det virtuella överföringsnätverket. Om du redan har använt ExpressRoute eller VPN för att ansluta ditt lokala nätverk till ditt virtuella transitnätverk, och om du som användare befinner dig på en dirigerbar plats som kan ansluta till det virtuella överföringsnätverket, kan du testa Azure Databricks-autentiseringen genom att logga in från det aktuella nätverket.

   Om du inte befinner dig på en nätverksplats som kan komma åt ditt transitundernät kan du testa anslutningen genom att skapa en virtuell dator i ditt transitundernät eller en nätverksplats som kan nå den. Använd till exempel en virtuell Windows 10-dator:

   1. Gå till bladet Virtuell dator i Azure-portalen.
   2. Skapa en virtuell Windows 10-dator i test-VNet och undernätet.
   3. Anslut till den med en RDP-klient, till exempel Microsoft Fjärrskrivbord.

3. Från den virtuella datorn eller någon annan testdator använder du en webbläsare för att ansluta till Azure-portalen och starta arbetsytan.

   1. Leta reda på Azure Databricks-arbetsyteobjektet i Azure-portalen.
   2. Klicka på Starta arbetsyta för att starta en fönsterflik som loggar in dig på Azure Databricks med ditt användar-ID som du använde för att logga in på Azure-portalen.
   3. Bekräfta att inloggningen har slutförts.

Felsökning av autentisering

Fel: Om du ser meddelandet "Konfigurerade sekretessinställningar tillåter inte åtkomst för arbetsyta <your-workspace-id> i det aktuella nätverket. Kontakta administratören om du vill ha mer information."

Det här felet innebär förmodligen:

• Du ansluter till arbetsytan via det offentliga Internet (inte från en Private Link-anslutning).
• Du har konfigurerat arbetsytan så att den inte stöder åtkomst till offentliga nätverk.

Granska de tidigare stegen i det här avsnittet.

Fel: "Webbläsarfel med felkod DNS_PROBE_FINISHED_NXDOMAIN

Det här felet innebär att en användares inloggning till Azure Databricks-webbprogrammet misslyckades eftersom den inte kunde hitta rätt DNS-konfiguration för Azure Databricks-kontrollplansinstansen i målregionen. Det gick inte att hitta DNS-posten som pekar på <control-plane-instance-short-name>.pl-auth namnet. Du kan ha konfigurerat den privata slutpunkten för webbläsarautentisering felaktigt. Granska avsnittet noggrant igen i steg 4: Skapa en privat slutpunkt för att stödja enkel inloggning för webbläsaråtkomst. Om du har frågor kontaktar du ditt Azure Databricks-kontoteam.

Steg 6: Testa private link-anslutningen för serverdelen (krävs för en serverdelsanslutning)

Om du har lagt till en Private Link-anslutning för serverdelen är det viktigt att testa att den fungerar korrekt. Att bara logga in på Azure Databricks-webbprogrammet testar inte serverdelsanslutningen.

Viktigt!

Om du använder en nätverkssäkerhetsgrupp eller brandvägg runt det virtuella nätverket måste du öppna portarna 443, 6666, 3306 och 8443-8451 på det privata slutpunktsundernätet för anslutningar till Azure Databricks-kontrollplanet, inklusive det säkra klusteranslutningsreläet.

1. Om du inte redan är inloggad på din Azure Databricks-arbetsyta loggar du in igen med hjälp av din arbetsyte-URL eller från knappen Starta arbetsyta i Azure Databricks Service-instansen i Azure-portalen.

2. I det vänstra navigeringsfältet klickar du på Beräkning

3. Klicka på Skapa kluster, skriv ett klusternamn och klicka på Skapa kluster. Mer information om hur du skapar kluster finns i Referens för beräkningskonfiguration.

   Vänta tills klustret verkar vara igång. Det kan ta flera minuter. Uppdatera sidan så att du får den senaste tillståndet.

   Om det inte går att starta klickar du på Händelselogg på klustersidan och granskar de senaste posterna. Händelseloggen innehåller ett fel som liknar följande efter en 10–15 minuters väntan för vanliga felkonfigurationer i Private Link:

   Cluster terminated. Reason: Control Plane Request Failure
   

   Om du får det här felet bör du noggrant granska anvisningarna i den här artikeln igen. Om du har frågor kontaktar du ditt Azure Databricks-kontoteam.

Ta bort en Azure Databricks-arbetsyta som har privata slutpunkter

Viktigt!

Om du använder det rekommenderade men valfria distributionsformatet som använder en privat webbautentiseringsarbetsyta är det viktigt att du aldrig tar bort arbetsytan eller webbläsarens privata slutpunkt för autentisering som är associerad med arbetsytan. Se Steg 4: Skapa en privat slutpunkt för att stödja enkel inloggning för webbläsaråtkomst.

Azure blockerar borttagningen av en Azure Databricks-arbetsyta om den har några privata slutpunkter.

Viktigt!

Du måste ta bort de privata slutpunkterna innan du försöker ta bort Azure Databricks-arbetsytan.

1. Öppna Azure Databricks Service-instansen som representerar din arbetsyta i Azure-portalen.
2. I det vänstra navigeringsfältet klickar du på Inställningar > Nätverk.
3. Klicka på fliken Privata slutpunktsanslutningar .
4. Om du inte använder en privat webbautentiseringsarbetsyta kontrollerar du om din organisation använder den här arbetsytan som en OAuth CNAME-länk och den kan delas med andra arbetsytor som använder samma kontrollplansinstans. Om så är fallet, innan du tar bort privata slutpunkter som kan förlita sig på CNAME från den här arbetsytan, konfigurerar du den andra arbetsytans nätverksobjekt så att CNAME fortfarande pekar på en giltig zonpost A från en annan arbetsyta. Se Steg 4: Skapa en privat slutpunkt för att stödja enkel inloggning för webbläsaråtkomst.
5. För varje privat slutpunkt väljer du raden och klickar på ikonen Ta bort . Bekräfta borttagningen genom att klicka på Ja.

När du är klar kan du ta bort arbetsytan från Azure-portalen.

Sök efter väntande godkännande eller godkänn väntande privata slutpunkter

Om Den Azure-användare som skapade den privata slutpunkten för det virtuella överföringsnätverket inte har ägar-/deltagarbehörighet för arbetsytan måste en separat användare med ägar-/deltagarbehörighet för arbetsytan manuellt godkänna begäran om att skapa den privata slutpunkten innan den aktiveras.

Anslut ionstillstånd är:

• Godkänd: Slutpunkten godkänns och ingen ytterligare åtgärd krävs.
• Väntar: Slutpunkten kräver godkännande från en användare med ägar-/deltagarbehörighet för arbetsytan.
• Frånkopplad: Slutpunkten eftersom ett relaterat objekt för den här anslutningen har tagits bort.
• Avvisad: Slutpunkten avvisades.

Så här kontrollerar du anslutningstillståndet:

1. I Azure-portalen går du till din arbetsyta som innehåller en eller flera privata slutpunkter som du nyligen har skapat.

2. Klicka på Nätverk.

3. Klicka på fliken Privata slutpunktsanslutningar .

4. I listan över slutpunkter tittar du på kolumnen Anslut ionstillstånd.

   • Om alla har värdet för värdeanslutningstillståndet Godkänd krävs ingen åtgärd för att godkänna den privata slutpunkten.
   • Om värdet för någon är Väntande kräver de godkännande från någon med ägar-/deltagarbehörighet för arbetsytan.

5. Om du har ägar-/deltagarbehörigheter för arbetsytan:

   1. Välj en eller flera slutpunktsrader som väntar.

   2. Om du godkänner anslutningen klickar du på knappen Godkänn .

      Om du inte godkänner anslutningen klickar du på knappen Avvisa .

   Om du inte har behörighet som ägare/deltagare för arbetsytan kontaktar du arbetsyteadministratören för att godkänna anslutningen.