Dela via

Konfigurera en brandvägg för serverlös beräkningsåtkomst

  • Artikel

Kommentar

Om du konfigurerade lagringsbrandväggar med hjälp av undernäts-ID:t från Azure Databricks-dokumentationen före den 31 oktober 2023 rekommenderar Databricks att du uppdaterar arbetsytorna enligt stegen i den här artikeln eller använder en privat slutpunkt. Om du väljer att inte uppdatera befintliga arbetsytor fortsätter de att fungera utan ändringar.

I den här artikeln beskrivs hur du konfigurerar en Azure Storage-brandvägg för serverlös beräkning med hjälp av användargränssnittet för Azure Databricks-kontokonsolen. Du kan också använda API:et för nätverksanslutningskonfigurationer.

Information om hur du konfigurerar en privat slutpunkt för serverlös beräkningsåtkomst finns i Konfigurera privat anslutning från serverlös beräkning.

Kommentar

Det finns för närvarande inga nätverksavgifter för serverlösa funktioner. I en senare version kan du debiteras. Azure Databricks meddelar i förväg om ändringar i nätverkspriser.

Översikt över brandväggsaktivering för serverlös beräkning

Serverlös nätverksanslutning hanteras med nätverksanslutningskonfigurationer (NCC). Kontoadministratörer skapar NCC:er i kontokonsolen och en NCC kan kopplas till en eller flera arbetsytor

En NCC innehåller en lista över nätverksidentiteter för en Azure-resurstyp som standardregler. När en NCC är kopplad till en arbetsyta använder serverlös beräkning på den arbetsytan ett av dessa nätverk för att ansluta Azure-resursen. Du kan tillåtalistning av dessa nätverk i azure-resursbrandväggen. Om du har azure-resursbrandväggar som inte är lagringsbaserade kontaktar du kontoteamet för information om hur du använder stabila NAT-IP-adresser i Azure Databricks.

NCC-brandväggsaktivering stöds från serverlösa SQL-lager, arbetsflöden, notebook-filer, Delta Live Tables-pipelines och modell som betjänar CPU-slutpunkter.

Du kan också konfigurera nätverksåtkomst till ditt arbetsytelagringskonto från endast auktoriserade nätverk, inklusive serverlös beräkning. Se Aktivera brandväggsstöd för ditt arbetsytelagringskonto. När en NCC är kopplad till en arbetsyta läggs nätverksreglerna automatiskt till i Azure Storage-kontot för arbetsytans lagringskonto.

Mer information om NCC:er finns i Vad är en nätverksanslutningskonfiguration (NCC)?.

Kostnadskonsekvenser för lagringsåtkomst mellan regioner

Brandväggen gäller endast när Azure-resurserna finns i samma region som Azure Databricks-arbetsytan. För trafik mellan regioner från serverlös beräkning i Azure Databricks (till exempel finns arbetsytan i regionen USA, östra och ADLS-lagring finns i Europa, västra) dirigerar Azure Databricks trafiken via en Azure NAT Gateway-tjänst.

Viktigt!

Det finns för närvarande inga avgifter för att använda den här funktionen. I en senare version kan du debiteras för användning. För att undvika avgifter mellan regioner rekommenderar Databricks att du skapar en arbetsyta i samma region som din lagring.

Krav

  • Din arbetsyta måste finnas i Premium-planen.

  • Du måste vara administratör för Azure Databricks-kontot.

  • Varje NCC kan kopplas till upp till 50 arbetsytor.

  • Varje Azure Databricks-konto kan ha upp till 10 NCC:er per region.

  • Du måste ha WRITE åtkomst till azure-lagringskontots nätverksregler.

Steg 1: Skapa en nätverksanslutningskonfiguration och kopiera undernäts-ID:n

Databricks rekommenderar att du delar nätverkskort mellan arbetsytor i samma affärsenhet och de som delar samma region och anslutningsegenskaper. Om vissa arbetsytor till exempel använder lagringsbrandväggen och andra arbetsytor använder den alternativa metoden Private Link använder du separata NCC:er för dessa användningsfall.

  1. Som kontoadministratör går du till kontokonsolen.
  2. I sidofältet klickar du på Molnresurser.
  3. Klicka på Konfiguration av nätverksanslutning.
  4. Klicka på Lägg till nätverksanslutningskonfigurationer.
  5. Ange ett namn för NCC.
  6. Välj region. Detta måste matcha din arbetsyteregion.
  7. Klicka på Lägg till.
  8. Klicka på din nya nätverkssäkerhetsgrupp i listan över NCC:er.
  9. I Standardregler under Nätverksidentiteter klickar du på Visa alla.
  10. I dialogrutan klickar du på knappen Kopiera undernät .
  11. Klicka på Stäng.

Steg 2: Koppla en NCC till arbetsytor

Du kan koppla en NCC till upp till 50 arbetsytor i samma region som NCC.

Information om hur du använder API:et för att koppla en NCC till en arbetsyta finns i API:et För kontoarbetsytor.

  1. I sidofältet för kontokonsolen klickar du på Arbetsytor.
  2. Klicka på arbetsytans namn.
  3. Klicka på Uppdatera arbetsyta.
  4. I fältet Konfiguration av nätverksanslutning väljer du din NCC. Om den inte visas bekräftar du att du har valt samma region för både arbetsytan och NCC.
  5. Klicka på Uppdatera.
  6. Vänta 10 minuter tills ändringen börjar gälla.
  7. Starta om alla serverlösa beräkningsresurser som körs på arbetsytan.

Om du använder den här funktionen för att ansluta till arbetsytans lagringskonto är konfigurationen klar. Nätverksreglerna läggs automatiskt till i arbetsytans lagringskonto. Fortsätt till nästa steg för ytterligare lagringskonton.

Steg 3: Lås ditt lagringskonto

Om du inte redan har begränsad åtkomst till Azure Storage-kontot till endast tillåtna nätverk gör du det nu. Du behöver inte göra det här steget för lagringskontot för arbetsytan.

Att skapa en lagringsbrandvägg påverkar också anslutningen från det klassiska beräkningsplanet till dina resurser. Du måste också lägga till nätverksregler för att ansluta till dina lagringskonton från klassiska beräkningsresurser.

  1. Gå till Azure-portalen.
  2. Gå till ditt lagringskonto för datakällan.
  3. Klicka på Nätverk i det vänstra navigeringsfältet.
  4. Kontrollera värdet i fältet Offentlig nätverksåtkomst. Som standard är värdet Aktiverat från alla nätverk. Ändra detta till Aktiverad från valda virtuella nätverk och IP-adresser.

Steg 4: Lägg till nätverksregler för Azure Storage-konto

Du behöver inte göra det här steget för lagringskontot för arbetsytan.

  1. Lägg till en nätverksregel för Azure-lagringskontot för varje undernät. Du kan göra detta med hjälp av Azure CLI, PowerShell, Terraform eller andra automatiseringsverktyg. Observera att det här steget inte kan utföras i Azure Portal-användargränssnittet.

    I det här exemplet använder vi Azure CLl:

    az storage account network-rule add --subscription "<sub>" \
    --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
    • Ersätt <sub> med namnet på din Azure-prenumeration för lagringskontot.
    • Ersätt <res> med resursgruppen för ditt lagringskonto.
    • Ersätt <account> med namnet på ditt lagringskonto
    • Ersätt <subnet> med ARM-resurs-ID :t (resourceId) för det serverlösa beräkningsundernätet.

    När du har kört alla kommandon kan du använda Azure-portalen för att visa ditt lagringskonto och bekräfta att det finns en post i tabellen Virtuella nätverk som representerar det nya undernätet. Du kan dock inte göra ändringar i nätverksreglerna i Azure-portalen.

    Dricks

    • Se till att du använder den senaste informationen från NCC för att konfigurera rätt uppsättning nätverksresurser.
    • Undvik att lagra NCC-information lokalt.
    • Ignorera omnämnandet av "Otillräckliga behörigheter" i kolumnen slutpunktsstatus eller varningen under nätverkslistan. De anger bara att du inte har behörighet att läsa Azure Databricks-undernäten, men det påverkar inte möjligheten för det serverlösa Azure Databricks-undernätet att kontakta azure-lagringen.

    Exempel på nya poster i listan Virtuella nätverk

  2. Upprepa det här kommandot en gång för varje undernät.

  3. Om du vill bekräfta att ditt lagringskonto använder de här inställningarna från Azure-portalen går du till Nätverk i ditt lagringskonto.

    Bekräfta att åtkomsten till det offentliga nätverket är inställd på Aktiverad från valda virtuella nätverk och IP-adresser och att tillåtna nätverk visas i avsnittet Virtuella nätverk.