Klasik işlemden depolama erişimi için Azure sanal ağ hizmet uç noktası ilkelerini yapılandırma

Önemli

Bu özellik Genel Önizleme aşamasındadır.

Bu sayfada, klasik işlem düzleminden giden trafiği filtrelemek için Azure sanal ağ hizmet uç noktası ilkelerinin nasıl kullanılacağı açıklanır ve yalnızca belirli Azure Depolama hesaplarına bağlantı yapıldığından emin olun.

Hizmet uç noktaları ve hizmet uç noktası ilkeleri nelerdir?

Hizmet uç noktaları ve ilkeleri, karşılıklı olarak onaylanan özel bir bağlantı oluşturmak için birlikte çalışır.

• Azure sanal ağ hizmet uç noktaları: Azure Depolama trafiğinin güvenliğini sağlamak için sanal ağınızın alt ağında bir hizmet uç noktasını etkinleştirin. Bu, Azure omurga ağı üzerinden Azure Depolama hizmetine güvenli ve doğrudan bir bağlantı oluşturarak trafiği genel İnternet'in dışında tutar.
• Azure sanal ağ hizmet uç noktası ilkeleri: Hizmet uç noktanızla aynı alt ağa bir hizmet uç noktası ilkesi uygularsınız. Bu ilke, uç noktanın üzerinde bir filtre işlevi görerek bağlantıları yalnızca tanımladığınız belirli Azure Depolama hesaplarıyla kısıtlamanıza olanak tanır. Bu birleşim, yetkisiz depolama hesaplarına veri sızdırmayı engeller.

Nasıl çalışırlar?

Aşağıdaki görüntüde, hizmet uç noktalarının ve hizmet uç noktası ilkelerinin nasıl yapılandırıldığından oluşan bir genel bakış gösterilmektedir:

1. Bir Azure sanal ağ hizmet ilkesi oluşturun. Bkz . 1. Adım: Hizmet uç noktası ilkesi oluşturma.
2. Politikanıza erişim sağlamanız gereken depolama hesaplarını ekleyin. Örneğin, varsayılan çalışma alanı ve Unity Kataloğu depolama hesapları. Özel uç noktaları kullanan depolama hesaplarının ilkeye eklenmesi gerekmez.
3. Hizmet ilkenizi çalışma alanı alt asına ekleyin. Bkz 2. Adım: İlkeyi çalışma alanı alt ağına ekleme.
4. Microsoft.Storage Azure sanal ağ hizmet uç noktasını çalışma alanı alt ağına bağlayın. Alt ağın hizmet uç noktası ilkesi hizmet uç noktasına uygulanır.
5. Politika tarafından izin verilmediğinden, yetkisiz depolamaya erişilemiyor.

Hizmet uç noktası, Azure Databricks çalışma alanınızdan gelen tüm ağ trafiğini yönlendirir ve ilkede tanımlanan depolama hesaplarına bağlantılara izin verir ve tüm yetkisiz girişimleri engeller.

Hizmet uç noktalarının avantajları

• Yol önceliği ve güvenliği: Hizmet uç noktaları, Azure omurgası üzerinden Azure hizmetlerine yüksek öncelikli, doğrudan yönlendirme yolu oluşturur. Bu iyileştirilmiş yol, kullanıcı tanımlı yolların (UDR) çoğunu geçersiz kılar ve trafiğin istemeden bir ağ sanal gereci (NVA) veya İnternet üzerinden zorlanmasını önlemeye yardımcı olur. Bu davranış, güvenlik duruşunuzu güçlendirir ve veri sızdırmayı önlemeye yardımcı olur.
• Maliyet iyileştirme: Azure hizmetlerine yönelik trafik Azure omurgasında kaldığından, NAT ağ geçidi veya ağ sanal gereci üzerinden çıkışla ilişkili ücretlerden kaçınabilirsiniz.

Daha fazla ayrıntı için bkz. Azure sanal ağ hizmet uç noktaları ve Azure Depolama için Sanal ağ hizmet uç noktası ilkeleri .

Hizmet uç noktası ilkelerinin avantajları

• Genel erişim: Hizmet uç noktası ilkesi bölgesel bir kaynak olsa da, içindeki kurallar herhangi bir bölgedeki, abonelikteki veya kiracıdaki Azure Depolama hesaplarını hedefleyebilir. Bu, bölgesel bir ilkenin genel depolama erişimini yönetmesine olanak tanır.
• Ek ilkeler: Birden çok ilkeyi tek bir alt ağ ile ilişkilendirebilirsiniz. İlke atamaları toplanarak artar, yani alt ağ, bağlı ilkelerden izin verilen tüm depolama hesaplarının birleşik kümesine erişim hakkı kazanır. Bu, farklı erişim gereksinimlerini modellemek için kullanışlıdır.

En iyi yöntemler

Her Azure Databricks çalışma alanı için kök DBFS depolama hesabını ve ilişkili Unity Kataloğu dış konumlarını hedefleyen bir hizmet uç noktası ilkesi yapılandırın. Azure Databricks temel depolama alanına erişime izin vermek için bu ilkeye hizmet takma adını da eklemeniz gerekir /services/Azure/Databricks. Farklı kural kümeleri uygulamak için geliştirme ve üretim gibi belirli ortamlar için ek ilkeler oluşturabilirsiniz.

Önemli

Alt ağda yapılandırılmış hizmet uç noktalarıyla çalıştığını doğrulamak için kullanıcı tanımlı yol (UDR) yapılandırmasını gözden geçirmenizi öneririz. UDR'ler depolama hizmeti etiketleri gibi yönlendirmeyi etkileyebilir ve yanlış yapılandırılmışsa hizmet uç noktalarını atlayabilir. Hizmet uç noktası ilkeleri hangi depolama hesaplarına izin verebileceğinizi denetler; UDR'ler ilkelerle doğrudan etkileşim kurmaz.

Gereksinimler

Uyarı

14 Temmuz 2025 veya sonrasında oluşturulan çalışma alanları varsayılan olarak hizmet uç noktası ilkeleri oluşturmayı destekler. Bu tarihten önce oluşturulan çalışma alanları için, erişim istemek için Databricks hesap ekibinize başvurun.

Azure Databricks çalışma alanınız aşağıdaki gereksinimleri karşılamalıdır:

• Kendi Azure sanal ağınızda (VNet) dağıtılabilir; bu işleme sanal ağ ekleme (VNet injection) denir. Azure sanal ağınızda "Azure Databricks'i dağıtma (VNet entegrasyonu)" konusuna bakın.
• Güvenli küme bağlantısı (SCC) kullanın. Bkz . Güvenli küme bağlantısını etkinleştirme.
• Çalışma alanının kaynak grubunun kilidi açık ve sanal ağın bu özelliği engelleyen özel yapılandırmaları veya ilkeleri yok.

Hizmet uç noktası ilkesi yapılandırma

Çalışma alanınızın genel alt asına bir hizmet uç noktası ilkesi eklemeden önce, klasik işlem kaynaklarınızın hizmet uç noktalarını kullanarak erişebilecekleri tüm depolama hesapları için ilke kuralları oluşturun. İlgili ilke kuralı olmayan tüm depolama hesapları engellenir.

1. Adım: Hizmet uç noktası ilkesi oluşturma

1. Azure portalında Hizmet Uç Noktası İlkesi'ni arayın ve Hizmet uç noktası ilkesi oluştur'u seçin.

2. Temel Bilgiler sekmesinde:

   • Çalışma alanınızın sanal ağıyla eşleşen Abonelik ve Bölge'yi seçin.
   • Politika için açıklayıcı bir Ad girin, örneğin databricks-workspace-prod-westus.
   • İleri: İlke tanımları'ne tıklayın.

3. İlke tanımları sekmesinde Azure Databricks yönetilen depolama alanını ekleyin:

   • + Diğer Ad Ekle'ye tıklayın.
   • /services/Azure/Databricksseçin.
   • Ekle'yi tıklatın.

   Uyarı

   Diğer /services/Azure/Databricks ad yalnızca Databricks'in yönettiği gerekli depolama hesaplarına erişime izin verir. Bölgedeki tüm depolama hesaplarına erişim izni vermez.

4. Kendi depolama hesaplarınızı ekleyin:

   • + Kaynak ekle'ye tıklayın.
   • Kapsam için Tek hesap'ı seçin.
   • Çalışma alanınızın varsayılan DBFS depolama hesabını, Unity Kataloğu depolama hesaplarını ve diğer gerekli depolama hesaplarını tek tek ekleyin.
   • İstediğiniz zaman ilkeye depolama hesabı ekleyebilir veya kaldırabilirsiniz.

5. Gözden Geçir + oluştur'a ve ardından Oluştur'a tıklayın.

2. Adım: İlkeyi çalışma alanı alt asına ekleme

Bir hizmet uç noktası ilkesi, çalışma alanınızın hem genel hem de özel alt ağlarına eklenebilir, ancak yalnızca genel alt ağ depolama ile iletişim kurar.

1. Azure portalında çalışma alanınızın VNet'ine gidin.
2. Ayarlar'ın altındaki kenar çubuğunda Alt ağlar'a tıklayın.
3. Genel alt ağınızı seçin.
4. Alt ağ ayarlarında Hizmet Uç Noktaları bölümüne gidin.
5. Hizmetler açılan menüsünden Microsoft.Storage seçin.
6. Hizmet Uç Noktası İlkeleri bölümüne gidin.
7. Politikalar açılır menüsünden daha önce oluşturduğunuz politikayı seçin.
8. Kaydet'e tıklayın.

Validation

Yapılandırmayı doğrulamak için:

• Çalışma alanında bir Azure Databricks kümesi başlatın.
• İlkenize dahil edilen bir depolama hesabından okuyan veya bu hesaba yazan bir iş yükü çalıştırın. İşlem başarılı olur.
• İlkenize dahil olmayan bir depolama hesabına erişmeyi deneme. İlkede tanımlanmayan bir depolama hesabına yapılan tüm istekler yetkilendirme hatasıyla başarısız olur.