Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Özel Bağlantı, Azure Databricks kaynaklarınız ile Azure hizmetleriniz ve sunucusuz kaynaklarınız arasında özel ve güvenli bir bağlantı oluşturarak ağ trafiğinizin genel İnternet'e açık olmadığından emin olur.
Azure Databricks üç tür Özel Bağlantı bağlantısını destekler:
- Gelen (ön uç): Kullanıcılardan çalışma alanlarına bağlantıların güvenliğini sağlar
- Giden (sunucusuz): Azure Databricks sunucusuz hesaplamadan Azure kaynaklarınıza yapılan bağlantıların güvenliğini sağlar.
- Klasik (arka uç): Klasik işlemden kontrol düzlemine bağlantıların güvenliğini sağlar
Özel bağlantıya genel bakış
Azure Özel Bağlantı, Azure sanal ağlarınızdan ve şirket içi ağlarınızdan Azure hizmetlerine güvenli ve özel bağlantı sağlayarak trafiğinizin genel İnternet'ten yalıtılmış kalmasını sağlar. Bu özellik, kuruluşların güvenlik ve uyumluluk gereksinimlerini karşılamaya yardımcı olur. Uçtan uca özel ağ iletişimi sağlar ve veri sızdırma riskini en aza indirir.
Gelen (ön uç), giden (sunucusuz) veya klasik işlem (arka uç) Özel Bağlantı bağlantılarını bağımsız olarak veya birlikte etkinleştirebilirsiniz. Doğru seçim, güvenlik ve uyumluluk gereksinimlerinize bağlıdır. Ayrıca çalışma alanı için özel bağlantı uygulayarak Azure Databricks'in tüm genel ağ bağlantılarını otomatik olarak reddetmesine neden olabilirsiniz. Bu birleşik yaklaşım kapsamlı ağ yalıtımı sağlayarak saldırı yüzeyinizi azaltır ve hassas iş yükleri için uyumluluğu destekler.
Özel Bağlantı ile şunları yapabilirsiniz:
- Azure Databricks web uygulamasını veya API'lerini kullanırken yetkisiz ağlardan veya genel İnternet'ten veri erişimini engelleyin.
- Yalnızca onaylanan özel uç noktalarda ağ açıklarını kısıtlayarak veri sızdırma riskini azaltabilirsiniz.
Doğru Özel Bağlantı uygulamasını seçin
Gereksinimlerinize en uygun uygulamayı belirlemek için bu kılavuzu kullanın.
| Değerlendirme | Yalnızca gelen (ön uç) | Yalnızca giden (sunucusuz) | Yalnızca klasik işlem düzlemi (arka uç) | Tam özel yalıtım |
|---|---|---|---|---|
| Birincil güvenlik hedefi | Azure Databricks kaynaklarıma yalnızca yetkili kişiler erişebilir. | Sunucusuz veri erişiminin güvenliğini sağlama | Klasik işlem düzlemini kilitleyin | Maksimum yalıtım (her şeyin güvenliğini sağlama) |
| Kullanıcı bağlantısı | Özel veya genel | Genel (internet) | Genel (internet) | Sadece Özel |
| Sunucusuz veri erişimi | Genel (internet) | Özel (müşteri kaynaklarına) | Genel (internet) | Özel (müşteri kaynaklarına) |
| Denetim düzlemine küme bağlantısı | Genel (standart güvenli yol) | Genel (standart güvenli yol) | Özel (gerekli) | Özel (gerekli) |
| Ön koşullar | Premium planı, VNet ekleme, SCC | Premium planı | Premium planı, VNet ekleme, SCC | Premium planı, VNet ekleme, SCC |
| Çalışma alanı ağ erişimi ayarı | Genel erişim etkin | Değişiklik gerekmez | Genel erişim etkin | Genel erişim devre dışı bırakıldı |
| Gerekli NSG kuralları | Tüm Kurallar | Geçerli Değil | NoAzureDatabricksKuralları | NoAzureDatabricksKuralları |
| Gerekli özel uç noktalar | Ön uç (databricks_ui_api), tarayıcı kimlik doğrulaması | NCC özel uç noktaları | Arka plan (databricks_ui_api) | Tümü (ön uç, arka uç, tarayıcı kimlik doğrulaması, NCC) |
| Göreli maliyet | Uç nokta başına maliyet ve veri aktarımı | Uç nokta başına maliyet ve işlenen veriler | Uç nokta başına maliyet ve veri aktarımı | Daha yüksek bir maliyet olabilir (veri aktarımı ve işleme dahil olmak üzere tüm uç noktalar) |
Gelen bağlantı (ön uç)
Gelen Özel Bağlantı, kullanıcıların Azure Databricks çalışma alanına yaptığı bağlantıyı güvence altına alır. Trafik, genel IP'ler yerine aktarım sanal ağınızdaki özel bir uç nokta üzerinden yönlendirilir. Gelen Özel Bağlantı aşağıdakilere güvenli erişim sağlar:
- Azure Databricks web uygulaması
- REST API
- Databricks Connect API'si
Bkz. Ön uç özel bağlantısını yapılandırma.
Tarayıcı tabanlı SSO için web kimlik doğrulaması
Tarayıcı tabanlı SSO için web kimlik doğrulaması
Ön uç erişimi için Özel Bağlantı kullanılırken, özel bir bağlantı üzerinden web tarayıcısı oturum açma işlemleri için Tek Sign-On (SSO) çalışması için özel browser_authentication bir uç nokta gerekir. Microsoft Entra ID'den, aksi takdirde özel bir ağda engellenen SSO kimlik doğrulama geri çağrılarını güvenli bir şekilde işler. Bu işlem REST API kimlik doğrulamasını etkilemez.
-
Dağıtım kuralı: Azure bölgesi ve özel DNS bölgesi başına yalnızca bir
browser_authenticationuç nokta bulunabilir. Bu tek uç nokta, bu bölgedeki aynı DNS yapılandırmasını paylaşan tüm çalışma alanlarına hizmet eder. - Üretim için en iyi yöntem: Kesintileri önlemek için her üretim bölgesinde ayrılmış bir "özel web kimlik doğrulaması çalışma alanı" oluşturun. Tek amacı bu kritik uç noktayı barındırmaktır. Bu çalışma alanı için "Genel ağ erişimini" devre dışı bırakın ve bu çalışma alanı için başka ön uç özel uç noktası oluşturulmadığını doğrulayın. Bu ana çalışma alanı silinirse, bölgedeki diğer tüm çalışma alanlarında web üzerinden oturum açma başarısız olur.
- Alternatif yapılandırma: Daha basit dağıtımlar için uç noktayı ayrılmış bir çalışma alanı oluşturmak yerine mevcut bir çalışma alanında barındırabilirsiniz. Bu, üretim dışı ortamlar için veya bölgede yalnızca bir çalışma alanınız olduğundan eminseniz uygundur. Ancak, konak çalışma alanını silmenin, buna bağımlı diğer çalışma alanları için kimlik doğrulamasını hemen bozduğunu unutmayın.
Giden bağlantı (sunucusuz)
Giden Özel Bağlantı, Azure Databricks sunucusuz işlem kaynaklarından Azure kaynaklarınıza özel bağlantı sağlar. Azure Databricks bağlantılarının güvenliğini sağlayan gelen ve klasik işlem düzlemi Özel Bağlantı'dan farklı olarak, giden Özel Bağlantı sunucusuz işlemden müşteri kaynaklarınıza bağlantıların güvenliğini sağlar.
Sunucusuz Özel Bağlantı, büyük ölçekte özel uç nokta oluşturmayı yöneten hesap düzeyinde bölgesel yapılar olan Ağ Bağlantısı Yapılandırmalarını (NCC) kullanır. NCC'ler aynı bölgedeki birden çok çalışma alanına eklenebilir.
Azure kaynaklarına özel bağlantı
Azure kaynaklarına özel bağlantı
Sunucusuz işlemin genel İnternet'ten geçmeden özel uç noktalar üzerinden Azure Depolama ve Azure SQL gibi Azure kaynaklarına erişmesini sağlar. Veri trafiğiniz tamamen Azure ağı içinde kalır.
Sanal ağ kaynaklarına özel bağlantı
VNet kaynaklarına özel bağlantı
Sunucusuz işlemin bir Azure yük dengeleyici aracılığıyla özel uç noktalar aracılığıyla sanal ağınızdaki veritabanları ve iç hizmetler gibi kaynaklara erişmesini sağlar.
Bkz . Sanal ağınızdaki kaynaklara özel bağlantı yapılandırma.
Giden bağlantı için temel kavramlar
Giden bağlantı için temel kavramlar
- Ağ Bağlantısı Yapılandırması (NCC):Özel uç noktaları yöneten ve sunucusuz işlemin müşteri kaynaklarına nasıl erişdiğini denetleen hesap düzeyinde bir bölgesel yapı.
- Özel uç nokta kuralları: Sunucusuz işlemin özel olarak erişebileceği belirli kaynakları tanımlayın.
- Çalışma alanı ek modeli: NCC'ler aynı bölgedeki en fazla 50 çalışma alanına eklenebilir.
-
Sınırlar ve kotalar:
- Hesap başına bölge başına en fazla 10 NCC
- Bölge başına 100 özel uç nokta (NCC'ler arasında dağıtılmış)
- NCC başına en fazla 50 çalışma alanı
Klasik bilgi işlem düzlemi özel bağlantısı
Klasik işlem düzlemi Özel Bağlantı, Azure Databricks kümelerinden denetim düzlemine bağlantının güvenliğini sağlar. Kümeler REST API'leri ve güvenli küme bağlantı geçişi için denetim düzlemine bağlanır.
Klasik işlem düzlemi Özel Bağlantı adresleri:
- Uyumluluk gereksinimleri: Tüm iç bulut trafiğinin özel ağda kalmasını gerektiren katı mevzuat ve kurumsal uyumluluk zorunluluğunun karşılanmasında yardımcı olur.
- Ağ çevresi sağlamlaştırma: Azure hizmetleri için özel uç noktaların yanı sıra klasik işlem düzlemi Özel Bağlantı'nın uygulanması, ağ açıklarını kısıtlamanıza olanak tanır. Bu, veri işleme kümelerinin genel İnternet'te yetkisiz hizmetlere veya hedeflere giden bir yola sahip olmamasını sağlayarak veri sızdırma risklerini azaltır.
Bkz. Arka uç özel bağlantısını yapılandırma.
Uyarı
Klasik işlem düzlemi özel bağlantısını bağımsız olarak ayarlayabilirsiniz. Gelen veya sunucusuz bağlantı gerektirmez.
Özel bağlantı için sanal ağlar
Özel bağlantı iki ayrı sanal ağ (VNet) kullanır.
- Transit VNet: Bu sanal ağ, kullanıcı bağlantısı için merkezi bir merkez işlevi görür ve çalışma alanlarına istemci erişimi ve tarayıcı tabanlı SSO kimlik doğrulaması için gereken gelen özel uç noktaları içerir.
- Çalışma alanı sanal ağı: Bu, Azure Databricks çalışma alanınızı ve klasik özel uç noktaları barındırmak için özel olarak oluşturduğunuz bir sanal ağdır.
Alt ağ ayırma ve boyutlandırma
Özel bağlantıyı ve dağıtımları desteklemek için her sanal ağda alt ağlarınızı planlayın.
Transit sanal ağ alt ağları:
- Özel uç nokta alt ağı: Tüm gelen özel uç noktalar için IP adresleri ayırır.
- Tarayıcı kimlik doğrulama çalışma alanı alt ağları: Tarayıcı kimlik doğrulama çalışma alanını dağıtmak için iki ayrılmış alt ağ, bir konak veya genel alt ağ ve bir kapsayıcı veya özel alt ağ önerilir.
Çalışma alanı sanal ağ alt ağları:
- Çalışma alanı alt ağları: Azure Databricks çalışma alanı dağıtımının kendisi için bir konak veya genel alt ağ ve bir kapsayıcı ya da özel alt ağ olmak üzere iki alt ağ gereklidir. Çalışma alanı alt ağlarıyla ilgili boyutlandırma bilgileri için bkz . Adres alanı kılavuzu.
- Klasik özel uç nokta alt ağı: Klasik işlem düzlemi özel bağlantısı için özel uç noktayı barındırmak için ek bir alt ağ gerekir.
Boyutlandırma, bireysel uygulama gereksinimlerinize bağlıdır, ancak aşağıdakileri kılavuz olarak kullanabilirsiniz:
| VNet | Alt ağ amacı | Önerilen CIDR Aralığı |
|---|---|---|
| Transit | Özel uç noktalar alt ağı | /26 to /25 |
| Transit | Tarayıcı kimlik doğrulaması çalışma alanı |
/28 veya /27 |
| Workspace | Klasik özel uç nokta alt ağı | /27 |
Azure Databricks özel uç noktaları
Azure Databricks, trafiği özelleştirmek için iki ayrı özel uç nokta türü kullanır. Bunları doğru uygulamak için farklı rollerini anlayın.
-
Çalışma alanı uç noktası (
databricks_ui_api): Bu, çalışma alanınıza gelen ve buradan gelen trafiğin güvenliğini sağlamaya yönelik birincil özel uç noktadır. Hem gelen hem de klasik işlem düzlemi Özel Bağlantısı için REST API çağrılarını işler. -
Web kimlik doğrulama uç noktası (
browser_authentication): Bu, yalnızca özel bir bağlantı üzerinden web tarayıcısı oturum açma işlemleri için Tek Sign-On (SSO) çalışması için gereken özelleştirilmiş, ek bir uç noktadır. Gelen ve uçtan uca bağlantı için gereklidir.
Özel uç noktalar için aşağıdakilere dikkat edin:
- Paylaşılan uç noktalar: Özel uç noktalar, sanal ağ düzeyinde kaynaklar olduğundan aynı çalışma alanı sanal ağından yararlanan birden çok çalışma alanında paylaşılabilir. Tek bir özel uç nokta kümesi, bu sanal ağda ve bölgede dağıtılan tüm çalışma alanlarına hizmet verebilir.
- Bölgeye özgü: Özel uç noktalar bölgeye özgü kaynaklardır. Farklı bölgelerdeki çalışma alanları ayrı özel uç nokta yapılandırmaları gerektirir.
Dikkat edilmesi gereken temel konular
Özel bağlantıyı yapılandırmadan önce aşağıdakileri göz önünde bulundurun:
- Özel uç noktada etkinleştirilmiş bir Ağ Güvenlik Grupları ilkeniz varsa, özel uç noktanın dağıtıldığı alt ağdaki ağ güvenlik grubundaki Gelen Güvenlik Kuralları için 443, 6666, 3306 ve 8443-8451 bağlantı noktalarına izin vermelisiniz.
- Ağınızla Azure portalı ve hizmetleri arasında bağlantı oluşturmak için azure portalı URL'lerini izin verilenler listenize eklemeniz gerekebilir. Bkz. Güvenlik duvarınızda veya ara sunucunuzda Azure portalı URL'lerine izin verme.