Databricks Uygulamaları için ağı yapılandırma

Databricks Apps, uygulamanızın İnternet ve iç kaynaklarla nasıl iletişim kuracaklarını güvenli bir şekilde korumanıza ve yönetmenize yardımcı olmak için ayrıntılı ağ denetimini destekler. IP erişim listelerinin, ön uç özel bağlantının ve ağ ilkelerinin bir bileşimini kullanarak hem giriş (gelen) hem de çıkış (giden) trafik kurallarını yapılandırabilirsiniz.

Ağ mimarisi

Azure Databricks, uygulamaları doğrudan trafik aldıkları sunucusuz işlem düzleminde dağıtır. Bu, Model Hizmetleri ve Vektör Arama gibi rota optimize edilmiş diğer hizmetlere benzer.

Bağlantı işlemi aşağıdaki gibi çalışır:

1. Azure Databricks uygulamasına yapılan ilk kullanıcı istekleri, oturumu doğrulamak ve uygulamaya erişimi yetkilendirmek için denetim düzlemi ile OAuth kimlik doğrulamasını başlatır.
2. Kimlik doğrulaması başarılı olursa, izleyen tüm istekler kontrol düzlemi dolaşmadan doğrudan sunucusuz işlem düzlemine yönlendirilir.

Sunucusuz işlem düzlemi için yapılandırılan ağ güvenlik ilkeleri Databricks Apps trafiğine uygulanır. Buna IP erişim listeleri ve ön uç özel bağlantı yapılandırmaları dahildir.

Giriş denetimleri

Azure Databricks çalışma alanınıza ve genel İnternet'ten uygulamalara erişimi sınırlamak için aşağıdaki özellikleri kullanın.

• IP erişim listeleri: Çalışma alanı düzeyinde IP erişim listelerini etkinleştirerek bilinen ve güvenilen IP aralıklarıyla çalışma alanı ve uygulama erişimini kısıtlayın. Yalnızca yapılandırılmış IP aralıklarından gelen trafiğe izin verilir. Ayrıntılar için bkz. Çalışma alanları için IP erişim listelerini yapılandırma.

• Ön uç özel bağlantısı: Sanal ağınız üzerinden uygulamalara güvenli bir şekilde erişmek için giriş trafiğini bir Azure Özel Bağlantı bağlantısı üzerinden yönlendirin.

  databricksapps.com etki alanı için koşullu DNS iletmeyi yapılandırarak özel bağlantınız aracılığıyla düzgün bir ad çözümlemesi sağlamanız gerekir. Aksi takdirde, uygulamanızın etki alanına yönelik DNS sorguları özel uç nokta yerine genel IP adreslerine çözümlenebilir. Kurulum yönergeleri için bkz. Ön Uç Özel Bağlantısını Yapılandırma.

Çıkış denetimleri

Uygulamanızdan giden trafiği denetlemek için bir ağ bağlantısı yapılandırması (NCC) oluşturun ve uygulamayı barındıran çalışma alanına ağ ilkeleri uygulayın.

Ağ bağlantısı yapılandırmaları

Uygulamanızı Azure hizmetlerine güvenli bir şekilde bağlamak için bir ağ bağlantısı yapılandırması kullanın. NCC'ler, uygulamanızdan ve diğer sunucusuz işlemlerden erişime açıkça izin vermek için depolama hesabı güvenlik duvarına ekleyebileceğiniz kararlı alt ağ kimlikleri sağlar.

Çıkış trafiğini özel hedeflere daha fazla kısıtlamak için Azure kaynakları için sunucusuz özel uç noktaları yapılandırın veya trafiği sanal ağınızdaki bir Azure yük dengeleyici aracılığıyla yönlendirin.

Ağ ilkeleri

Databricks uygulamalarında ve diğer sunucusuz iş yüklerinde çıkış kısıtlamaları uygulamak için ağ ilkelerini kullanın. Bu, giden bağlantıyı denetlemek için kuruluş veya uyumluluk gereksinimlerini karşılamanız gerektiğinde kullanışlıdır.

Uyarı

Ağ ilkeleri yalnızca Premium katmanında kullanılabilir.

Uygulamanız şu şekildeyse bir ağ ilkesi uygulayın:

• Erişimi belirli bir onaylanan dış etki alanları kümesiyle sınırlamalı
• Yanlışlıkla veri sızdırmayı önlemesi gerekiyor
• Giden İnternet trafiğini kısıtlayan güvenlik veya uyumluluk standartlarına uyması gerekir

Ağ ilkelerini yapılandırmaya yönelik en iyi yöntemler

İstenmeyen kesintileri önlemek ve uygulamalarınızın gerekli kaynaklara erişebildiğinden emin olmak için şu yönergeleri izleyin:

• Yalnızca gerekli hedeflere izin ver. Uygulamanızın ihtiyaç duyduğu genel veya özel kaynaklar için tam etki alanı adları (FQDN) ekleyin.
• Paket depolarını gerektiği gibi dahil edin. Eğer uygulamanız genel Python veya Node.js paketlerini yüklüyorsa, Python için pypi.org ya da Node için registry.npmjs.org gibi etki alanlarına izin verebilirsiniz. Uygulamanız, belirli bağımlılıklarınıza bağlı olarak ek veya farklı etki alanları gerektirebilir. Bu depolar olmadan, requirements.txt ya da package.json'e bağlı uygulama derlemeleri başarısız olabilir.
• Ağ ilkenizi doğrulamak için kuru çalıştırma modunu kullanın. Bu mod, trafiği engellemeden ilke uygulamasını simüle eder.
• system.access.outbound_network tablosunu kullanarak reddedilen bağlantı girişimlerini gözden geçirin. Bu, izin vermeniz gerekebilecek etki alanlarını belirlemenize yardımcı olur. Bkz. Reddetme günlüklerini kontrol et.

• Unity Kataloğu'nda kayıtlı olmayan güvenilen API'ler veya Azure depolama hesapları gibi gerekli dış etki alanlarını ekleyin.

Şifreleme ve trafik yönlendirme

Databricks Apps, ağ iletişimlerinin güvenliğini sağlamak ve verileri korumak için ayrılmış yönlendirme yollarını ve birden çok şifreleme katmanını kullanır.

Trafik yönlendirme

Azure Databricks denetim düzlemi, işlem düzlemi, diğer Azure Databricks kaynakları ve bulut hizmetleri arasındaki trafik bulut sağlayıcısının genel ağı üzerinden hareket eder ve genel İnternet'ten geçiş yapmaz.

Kullanıcılar ile databricksapps.com arasındaki trafik, kullanıcının ağ konumuna bağlı olarak genel İnternet üzerinden geçebilir. Genel İnternet yönlendirmesini önlemek için ön uç özel bağlantısını yapılandırın.

Aktarım sırasında şifreleme

Uygulamalara gelen ve uygulamalardan gelen tüm ağ iletişimleri şifrelenir:

• Kullanıcı trafiği: Kullanıcılar arasındaki iletişim ve databricksapps.com Aktarım Katmanı Güvenliği (TLS) 1.3 şifrelemesi kullanılır.
• Kontrol düzlemi trafiği: Azure Databricks denetim düzlemi ile işlem düzlemi arasındaki iletişim, uygulama oluşturma, güncelleştirmeler ve silme gibi yönetim işlemleri için karşılıklı TLS (mTLS) kullanır.

Bekleyen şifreleme

Databricks Apps aşağıdaki yöntemleri kullanarak depolanan verileri şifreler:

• Uygulama kodu: Azure Databricks, uygulama kodunu çalışma alanı dosyalarında depolar ve not defterleri ve diğer çalışma alanı dosyalarıyla aynı şifrelemeyi kullanır.
• İşlem depolama alanı: Uygulamalar, AES-256 ile şifrelenmiş kısa ömürlü konak işletim sistemi disklerini ve bulut sağlayıcısının varsayılan şifreleme uygulamasını kullanır.