Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Varje Azure Databricks arbetsyta har ett associerat Azure lagringskonto i en hanterad resursgrupp som kallas arbetsytans lagringskonto. Det här kontot innehåller systemdata för arbetsytor (jobbutdata, systeminställningar och loggar), roten för Databricks-filsystemet och i vissa fall en Unity Catalog-arbetsytekatalog. Du kan begränsa åtkomsten till ditt arbetsytelagringskonto till endast auktoriserade resurser och nätverk med hjälp av Azure CLI eller PowerShell.
Vad är brandväggsstöd för ditt lagringskonto i en arbetsyta?
Som standard accepterar ditt arbetsytelagringskonto autentiserade anslutningar från alla nätverk. När du aktiverar brandväggsstöd blockerar Azure Databricks åtkomst till offentliga nätverk och begränsar endast åtkomsten till auktoriserade resurser. Du kanske vill konfigurera detta om din organisation har Azure principer som kräver att lagringskonton är privata.
När brandväggsstöd är aktiverat måste tjänster utanför Azure Databricks som behöver åtkomst till arbetsytans lagringskonto använda privata slutpunkter med Private Link. Azure Databricks serverlös beräkning måste använda tjänstslutpunkter eller privata slutpunkter för att få åtkomst till arbetsytans lagringskonto.
Azure Databricks skapar en access-anslutning med en Azure hanterad identitet för åtkomst till arbetsytans lagringskonto.
Krav
Din arbetsyta måste aktivera VNet-injektion för anslutningar från det klassiska beräkningsplanet.
Arbetsytan måste aktivera säker klusteranslutning (ingen offentlig IP/NPIP) för anslutningar från det klassiska beräkningsplanet.
Du måste ha ett separat undernät för de privata slutpunkterna för lagringskontot. Detta är utöver de två viktigaste undernäten för grundläggande Azure Databricks funktioner.
Undernätet måste finnas i samma virtuella nätverk som arbetsytan eller i ett separat virtuellt nätverk som arbetsytan kan komma åt. Använd den minsta storleken
/28i CIDR-notation.Om du använder Cloud Fetch med Microsoft Fabric Power BI service måste du alltid använda en VNet-gateway eller lokal gateway för privat åtkomst till arbetsytans lagringskonto. Se Steg 2 (rekommenderas): Konfigurera privata slutpunkter för virtuella molnhämtningsklientnät.
För Azure CLI eller PowerShell-distributionsmetoder måste du skapa en Azure Databricks åtkomstanslutning och spara dess resurs-ID innan du aktiverar standardlagringsbrandväggen för arbetsytan. Detta kräver att du använder antingen en systemtilldelad eller användartilldelad hanterad identitet. Se Access Connector för Databricks. Du kan inte använda Azure Databricks-åtkomstanslutaren i den hanterade resursgruppen.
Anslut tjänster utanför Azure Databricks till lagringskontot
Steg 1: Skapa privata slutpunkter till lagringskontot
Skapa två privata slutpunkter till ditt arbetsytelagringskonto från ditt virtuella nätverk som du använde för VNet-inmatning för Target-underresursens värden: dfs och blob.
Anteckning
Om du får ett felmeddelande om att neka tilldelning för den hanterade resursgruppen kan din arbetsyta föregå den nuvarande modellen för behörigheter i hanterade resursgrupper. Kontakta ditt Azure Databricks kontoteam för att uppdatera konfigurationen av den hanterade resursgruppen innan du fortsätter.
Om du får en varning om att köra beräkningsresurser stoppar du all beräkning på din arbetsyta innan du följer steg 1 till och med 4.
Gå till din arbetsyta.
Under Essentials klickar du på namnet på den hanterade resursgruppen.
Under Resursernoterar du namnet på ditt lagringskonto för arbetsytan. Namnet börjar vanligtvis med
dbstorage.I sökrutan överst i portalen anger du och väljer Privat slutpunkt.
Klicka på + Skapa.
I fältet Resursgrupp namn anger du resursgruppen.
Viktigt!
Resursgruppen får inte vara samma som den hanterade resursgrupp som ditt arbetsytelagringskonto finns i.
I fältet Namn anger du ett unikt namn för den här privata slutpunkten:
- Skapa en DFS-slutpunkt för den första privata slutpunkten som du skapar för varje källnätverk. Azure Databricks rekommenderar att du lägger till suffixet
-dfs-pe. - Skapa en blobslutpunkt för den andra privata slutpunkten som du skapar för varje källnätverk. Azure Databricks rekommenderar att du lägger till suffixet
-blob-pe.
Fältet Namn på nätverksgränssnitt fylls i automatiskt.
- Skapa en DFS-slutpunkt för den första privata slutpunkten som du skapar för varje källnätverk. Azure Databricks rekommenderar att du lägger till suffixet
Ange fältet region till arbetsytans region.
Klicka på Nästa: Resurs.
I metoden Connection väljer du Anslut till en Azure resurs i min katalog.
I Prenumerationväljer du den prenumeration som arbetsytan finns i.
I Resource type väljer du Microsoft. Storage/storageAccounts.
I Resursväljer du lagringskontot för din arbetsyta.
I Underresurs för målväljer du målresurstypen.
- För den första privata slutpunkten som du skapar för varje källnätverk anger du detta till dfs.
- För den andra privata slutpunkten som du skapar för varje källnätverk anger du detta till blob.
Klicka på Nästa: Virtual Network.
I fältet Virtuellt nätverk väljer du ett VNet.
I undernätsfältet anger du undernätet till det separata undernät som du har för de privata slutpunkterna för lagringskontot.
Det här fältet kan fyllas i automatiskt med undernätet för dina privata slutpunkter, men du kan behöva ange det explicit. Använd inte de två arbetsyteundernäten för grundläggande Azure Databricks arbetsytefunktioner, som vanligtvis kallas
private-subnetochpublic-subnet.Ändra standardinställningarna för den privata IP-konfigurationen och programsäkerhetsgruppen om det behövs.
Klicka på Nästa: DNS-. Fliken DNS fylls i automatiskt till rätt prenumeration och resursgrupp som du valde tidigare. Ändra dem om det behövs.
Anteckning
Om ingen privat DNS-zon för målunderresurstypen (dfs eller blob) är kopplad till arbetsytans virtuella nätverk skapar Azure en ny privat DNS-zon. Om det redan finns en privat DNS-zon för den underresurstypen på arbetsytans virtuella nätverk väljer Azure automatiskt den. Ett virtuellt nätverk kan bara ha en privat DNS-zon per underresurstyp.
Klicka på Nästa: Taggar och lägg till taggar om du vill.
Klicka på Nästa: Granska + skapa och granska fälten.
Klicka på Skapa.
Steg 2 (rekommenderas): Konfigurera privata slutpunkter för virtuella molnhämtningsklientnätverk
Cloud Fetch är en mekanism i ODBC och JDBC som hämtar data parallellt via molnlagring för att leverera data snabbare till BI-verktyg. Om du hämtar frågeresultat som är större än 100 MB från BI-verktygen använder du förmodligen Cloud Fetch.
Anteckning
Om du använder Microsoft Fabric Power BI service med Azure Databricks och aktiverar brandväggsstöd för lagringskontot för arbetsytan måste du konfigurera antingen en virtuell nätverksdatagateway eller en lokal datagateway för att tillåta privat åtkomst till lagringskontot. Detta säkerställer att Fabric Power BI service kan fortsätta att komma åt arbetsytans lagringskonto och att Cloud Fetch fortsätter att fungera korrekt.
Det här kravet gäller inte för Power BI Desktop.
Om du använder Cloud Fetch skapar du privata slutpunkter till arbetsytans lagringskonto från de virtuella nätverken för dina Cloud Fetch-klienter.
För varje källnätverk för Cloud Fetch-klienter skapar du två privata slutpunkter som använder två olika målunderresursvärden värden: dfs och blob. Mer information finns i Steg 1: Skapa privata slutpunkter till lagringskontot . I de här stegen för fältet Virtuellt nätverk när du skapar den privata slutpunkten måste du ange ditt virtuella källnätverk för varje Cloud Fetch-klient.
Steg 3: Bekräfta godkännanden av slutpunkter
När du har skapat alla privata slutpunkter till lagringskontot kontrollerar du att de är godkända. De kan godkänna automatiskt, eller så kan du behöva godkänna dem på lagringskontot.
- Gå till din arbetsyta i Azure-portalen.
- Under Essentials klickar du på namnet på den hanterade resursgruppen.
- Under Resurser klickar du på resursen av typen Lagringskonto som har ett namn som börjar med
dbstorage. - I sidofältet klickar du på Nätverk.
- Klicka på Privata Slutpunktsanslutningar.
- Kontrollera anslutningstillståndet för att bekräfta att de säger Godkänd eller markera dem och klicka på Godkänn.
Anslutningar från serverlös beräkning
Anteckning
Azure Databricks registrerar alla befintliga lagringskonton för arbetsytor som har aktiverat brandväggar till en nätverkssäkerhetsperimeter som tillåter tjänsttaggen AzureDatabricksServerless. Den här registreringen förväntas slutföras i slutet av 2026.
När du aktiverar brandväggsstöd registrerar Azure Databricks automatiskt arbetsytans lagringskonto till en nätverkssäkerhetsperimeter som tillåter tjänsttaggen AzureDatabricksServerless. Detta gör att Azure Databricks serverlös beräkning kan ansluta via tjänstslutpunkter. Om du vill ansluta via privata slutpunkter bör du lägga till en privat slutpunktsregel i din NCC för arbetsytans lagringskonto. Se Konfigurera privat anslutning till Azure resurser.
Om du vill hantera din egen nätverkssäkerhetsperimeter kan du koppla bort den Azure Databricks-etablerade nätverkssäkerhetsperimetern och ansluta din egen. Övergången orsakar en kort paus i tjänsten. Förbered en ersättande nätverkssäkerhetsperimeter i förväg och planera för ett underhållsfönster.
Aktivera stöd för lagringsbrandvägg med Azure CLI
För att aktivera brandväggsstöd med hjälp av en åtkomstanslutning med en systemtilldelad identitet, kör du i Cloud Shell:
az databricks workspace update \ --resource-group "<resource-group-name>" \ --name "<workspace-name>" \ --subscription "<subscription-id>" \ --default-storage-firewall "Enabled" \ --access-connector "{\"id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>\", \"identity-type\":\"SystemAssigned\"}"Om du vill aktivera brandväggsstöd med hjälp av åtkomstanslutare med en användartilldelad identitet, kör i Cloud Shell:
az databricks workspace update \ --resource-group "<resource-group-name>" \ --name "<workspace-name>" \ --subscription "<subscription-id>" \ --default-storage-firewall "Enabled" \ --access-connector "{\"id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>\", \"identity-type\":\"UserAssigned\", \"user-assigned-identity-id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>\"}"För att inaktivera brandväggsstöd med hjälp av åtkomstanslutning kör du följande kommando i Cloud Shell:
az databricks workspace update \ --name "<workspace-name>" \ --subscription "<subscription-id>" \ --resource-group "<resource-group-name>" \ --default-storage-firewall "Disabled"
Aktivera stöd för lagringsbrandvägg med PowerShell
För att aktivera brandväggsstöd med hjälp av en åtkomstanslutning med en systemtilldelad identitet, kör du i Cloud Shell:
Update-AzDatabricksWorkspace ` -Name "<workspace-name>" ` -ResourceGroupName "<resource-group-name>" ` -SubscriptionId "<subscription-ID>" ` -Sku "Premium" ` -AccessConnectorId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>" ` -AccessConnectorIdentityType "SystemAssigned" ` -DefaultStorageFirewall "Enabled"Om du vill aktivera brandväggsstöd med hjälp av åtkomstanslutare med en användartilldelad identitet, kör i Cloud Shell:
Update-AzDatabricksWorkspace ` -Name "<workspace-name>" ` -ResourceGroupName "<resource-group-name>" ` -SubscriptionId "<subscription-ID>" ` -Sku "Premium" ` -AccessConnectorId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>" ` -AccessConnectorIdentityType "UserAssigned" ` -AccessConnectorUserAssignedIdentityId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>" ` -DefaultStorageFirewall "Enabled"För att inaktivera brandväggsstöd med hjälp av åtkomstanslutning kör du följande kommando i Cloud Shell:
Update-AzDatabricksWorkspace ` -Name "<workspace-name>" ` -ResourceGroupName "<resource-group-name>" ` -SubscriptionId "<subscription-ID>" ` -DefaultStorageFirewall "Disabled"