Azure Databricks için kullanıcı tanımlı yol ayarları
Azure Databricks çalışma alanınız kendi sanal ağınıza (VNet) dağıtıldıysa, ağ trafiğinin çalışma alanınız için doğru şekilde yönlendirildiğinden emin olmak için kullanıcı tanımlı yollar (UDR) olarak da bilinen özel yolları kullanabilirsiniz. Örneğin, sanal ağı şirket içi ağınıza bağlarsanız , trafik şirket içi ağ üzerinden yönlendirilebilir ve Azure Databricks denetim düzlemine ulaşamayabilir. Kullanıcı tanımlı yollar bu sorunu çözebilir.
Sanal ağdan her giden bağlantı türü için bir UDR'ye ihtiyacınız vardır. Kullanıcı tanımlı yollarınızda ağ erişim denetimlerini tanımlamak için hem Azure hizmet etiketlerini hem de IP adreslerini kullanabilirsiniz. Databricks, IP değişiklikleri nedeniyle hizmet kesintilerini önlemek için Azure hizmet etiketlerinin kullanılmasını önerir.
Azure hizmet etiketleriyle kullanıcı tanımlı yolları yapılandırma
Databricks, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eden Azure hizmet etiketlerini kullanmanızı önerir. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Bu, IP değişiklikleri nedeniyle hizmet kesintilerini önlemeye yardımcı olur ve bu IP'leri düzenli aralıklarla arama ve yönlendirme tablonuzda güncelleştirme gereksinimini ortadan kaldırır. Ancak, kuruluşunuzun ilkeleri hizmet etiketlerine izin vermediyse, isteğe bağlı olarak yolları IP adresleri olarak belirtebilirsiniz.
Hizmet etiketlerini kullanarak, kullanıcı tanımlı yollarınız aşağıdaki kuralları kullanmalı ve yol tablosunu sanal ağınızın genel ve özel alt ağlarıyla ilişkilendirmelidir.
| Kaynak | Adres ön eki | Sonraki atlama türü |
|---|---|---|
| Varsayılan | Azure Databricks hizmet etiketi | İnternet |
| Varsayılan | Azure SQL hizmet etiketi | İnternet |
| Varsayılan | Azure Depolama hizmeti etiketi | İnternet |
| Varsayılan | Azure Event Hubs hizmet etiketi | İnternet |
Not
Azure Databricks kümelerinden Azure kaynaklarına Microsoft Entra Id kimlik doğrulamasını kolaylaştırmak için Microsoft Entra ID hizmet etiketini eklemeyi seçebilirsiniz.
Çalışma alanınızda Azure Özel Bağlantı etkinleştirildiyse Azure Databricks hizmet etiketi gerekli değildir.
Azure Databricks hizmet etiketi, Azure Databricks denetim düzlemine, güvenli küme bağlantısına (SCC) ve Azure Databricks web uygulamasına gerekli giden bağlantıların IP adreslerini temsil eder.
Azure SQL hizmet etiketi, Azure Databricks meta veri deposuna gerekli giden bağlantıların IP adreslerini, Azure Depolama hizmeti etiketi ise yapıt Blob depolama ve günlük Blob depolama için IP adreslerini temsil eder. Azure Event Hubs hizmet etiketi, Azure Event Hub'a günlük kaydı için gerekli giden bağlantıları temsil eder.
Bazı hizmet etiketleri, IP aralıklarını belirtilen bir bölgeyle kısıtlayarak daha ayrıntılı denetime olanak sağlar. Örneğin, Batı ABD bölgelerindeki bir Azure Databricks çalışma alanı için yol tablosu şöyle görünebilir:
| Veri Akışı Adı | Adres ön eki | Sonraki atlama türü |
|---|---|---|
| adb-servicetag | AzureDatabricks | İnternet |
| adb-meta veri deposu | Sql.WestUS | İnternet |
| adb-storage | Storage.WestUS | İnternet |
| adb-eventhub | EventHub.WestUS | İnternet |
Kullanıcı tanımlı yollar için gereken hizmet etiketlerini almak için bkz . Sanal ağ hizmet etiketleri.
IP adresleriyle kullanıcı tanımlı yolları yapılandırma
Databricks, Azure hizmet etiketlerini kullanmanızı önerir, ancak kuruluş ilkeleriniz hizmet etiketlerine izin vermiyorsa, kullanıcı tanımlı yollarınızda ağ erişim denetimleri tanımlamak için IP adreslerini kullanabilirsiniz.
Ayrıntılar, çalışma alanı için güvenli küme bağlantısının (SCC) etkinleştirilip etkinleştirilmediğine bağlı olarak değişir:
- Çalışma alanı için güvenli küme bağlantısı etkinleştirildiyse, kümelerin denetim düzlemindeki güvenli küme bağlantı geçişine bağlanmasına izin vermek için bir UDR'ye ihtiyacınız vardır. Bölgeniz için SCC geçiş IP'si olarak işaretlenmiş sistemleri eklediğinizden emin olun.
- Çalışma alanı için güvenli küme bağlantısı devre dışı bırakılırsa, Denetim Düzlemi NAT'sinden gelen bir bağlantı vardır, ancak teknik olarak bu bağlantıya yönelik alt düzey TCP SYN-ACK, UDR gerektiren giden verilerdir. Bölgeniz için Denetim Düzlemi NAT IP'si olarak işaretlenmiş sistemleri eklediğinizden emin olun.
Kullanıcı tanımlı yollarınız aşağıdaki kuralları kullanmalıdır ve yol tablosunu sanal ağınızın genel ve özel alt ağlarıyla ilişkilendirmelidir.
| Kaynak | Adres ön eki | Sonraki atlama türü |
|---|---|---|
| Varsayılan | Kontrol düzlemi NAT IP'si (SCC devre dışıysa) | İnternet |
| Varsayılan | SCC geçiş IP'si (SCC etkinse) | İnternet |
| Varsayılan | Web uygulaması IP'si | İnternet |
| Varsayılan | Meta veri deposu IP'si | İnternet |
| Varsayılan | Yapıt Blob depolama IP'si | İnternet |
| Varsayılan | Günlük Blobu depolama IP'si | İnternet |
| Varsayılan | Çalışma alanı depolama IP'si - Blob Depolama uç noktası | İnternet |
| Varsayılan | Çalışma alanı depolama IP'si - ADLS 2. Nesil (dfs) uç noktası |
İnternet |
| Varsayılan | Event Hubs IP | İnternet |
Çalışma alanınızda Azure Özel Bağlantı etkinse, kullanıcı tanımlı yollarınız aşağıdaki kuralları kullanmalıdır ve yol tablosunu sanal ağınızın genel ve özel alt ağlarıyla ilişkilendirmelidir.
| Kaynak | Adres ön eki | Sonraki atlama türü |
|---|---|---|
| Varsayılan | Meta veri deposu IP'si | İnternet |
| Varsayılan | Yapıt Blob depolama IP'si | İnternet |
| Varsayılan | Günlük Blobu depolama IP'si | İnternet |
| Varsayılan | Event Hubs IP | İnternet |
Kullanıcı tanımlı yollar için gereken IP adreslerini almak için, Özellikle Azure Databricks bölgelerindeki tabloları ve yönergeleri kullanın: