Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Yalıtılmış ortam mimarisi Sağlamlaştırılmış bağlantı temelini devralır ve iki gereksinim ekler: özel çalışma alanı erişimi ve gerekli bir dış güvenlik duvarı. Çalışma alanına erişim, genel internet üzerinden asla sağlanmaz; yalnızca VPN veya gelen Özel Bağlantı bağlantısı ile sınırlandırılır. Tüm klasik bilgi işlem çıkış trafiği, inceleme ve ilke uygulaması için güvenlik duvarı üzerinden geçer.
Bu mimaride şunlar bulunur:
- Tam ağ yalıtımı: Özel bağlantılar üzerinden tüm trafik akışları.
- Özel çalışma alanına erişim: Yalnızca VPN veya içeriye dönük Özel Bağlantı. Çalışma alanına genel İnternet'ten ulaşılamıyor.
- Zorunlu çıkış denetimi: Tüm Klasik Compute giden trafiğinin güvenlik duvarı tarafından denetlenmesi.
- Veri sızdırmayı önleme: Ağ katmanı denetimleri yetkisiz veri aktarımını engeller.
Şu durumlarda bu mimariyi kullanın:
- Çalışma alanına erişim, örneğin VPN üzerinden veya inbound Özel Bağlantı aracılığıyla, özel olmalıdır.
- Finansal hizmetler, sağlık hizmetleri, kamu gibi yüksek düzeyde düzenlenmiş sektörlerdeki verileri işleme.
- Uyumluluk çerçeveleri çıkış denetimleri gerektirir (örneğin, SOC 2, HIPAA, PCI DSS ve FedRAMP).
- Kurumsal sıfır güven güvenlik çerçeveleri uygulama.
- Veri sızdırmayı önleme bir gereksinimdir.
Prerequisites
- VNet eklenmiş bir çalışma alanına sahip Azure Azure Databricks Premium katmanı.
- Mevcut VPN altyapısı veya gelen Özel Bağlantı bağlantısı.
- Güvenlik duvarı veya ağ sanal gereci (NVA).
Mimariye genel bakış
Yalıtılmış ortam mimarisi, güvenlik duvarı denetimiyle tüm trafiği özel bağlantılar aracılığıyla yönlendirir:
| Trafik türü | Yol |
|---|---|
| Kullanıcı erişimi | Kullanıcılar → VPN veya gelen Özel Bağlantı → Çalışma Alanı |
| Klasik hesaplama → denetim | İşlem → Klasik Özel Bağlantı → Azure Databricks denetim düzlemi |
| Klasik işlem → bulutu | İşlem → Hizmet uç noktaları veya UDR'ler → Azure hizmetleri |
| Serverless → kaynaklarınız | Azure kaynaklarınız → sunucusuz işlem → NCC özel uç noktaları |
| Klasik bilgi işlem → çıkış | Hesaplama → Dış güvenlik duvarı (gerekli) → Denetlenen internet |
Gerekli bileşenler
Gelen
Çalışma alanına yalnızca özel bağlantılar üzerinden ulaşılabilir: VPN, gelen Özel Bağlantı veya mevcut altyapınıza bağlı olarak her ikisi de. Müşteriler genellikle bunları yığmak yerine birini seçer.
Özel erişim ayarları (genel erişimi devre dışı bırakma)
Bu, dışarıdan gelen genel erişimi gerçekten engelleyen kontrol mekanizmasıdır. Bu olmadan, çalışma alanı Özel Bağlantı yapılandırılmış olsa bile İnternet trafiğini kabul eder. Özel Bağlantı, tek yol değil, ek bir yol haline gelir.
çalışma alanının Public Ağ Erişimi değerini Azure portalında Disabled olarak ayarlayın. Bu, çalışma alanı kullanıcı arabirimine ve API'lerine genel girişi engeller.
Çalışma alanı giriş denetimleri
Önerilen giriş ilkesi çerçevesi olan bağlam tabanlı giriş (CBI) aracılığıyla çalışma alanı girişi yapılandırın. CBI kuralları ağ kaynağını (IP aralıkları), kimliği, kimlik doğrulama mekanizmasını ve erişim kapsamını tek bir izin verme/reddetme modelinde birleştirdiğinden, ağ kaynağı özniteliği tek başına IP erişim listesi özelliğiyle aynı işi yapar ve daha fazlasını yapar.
IP erişim listeleri desteklenmeye devam eder ve CBI ile birlikte yapılandırılabilir. Her ikisi de yapılandırıldığında, her iki denetim tarafından bir isteğe izin verilmelidir.
Yapılandırma düzeyleri:
- Hesap düzeyinde CBI ilkeleri: Hesaptaki tüm çalışma alanlarına uygulayın. Bkz. Bağlam tabanlı giriş ilkelerini yönetme.
- Çalışma alanı düzeyinde IP erişim listeleri: Tek bir çalışma alanına uygulayın. Bkz . Çalışma alanları için IP erişim listelerini yapılandırma.
- Hesap düzeyinde IP erişim listeleri: Hesap konsoluna uygulayın. Bkz . Hesap konsolu için IP erişim listelerini yapılandırma.
En iyi yöntemler:
- Geniş başlayın, gerçek kullanıma göre daraltın.
- IP aralıklarını amaçları ve sona erme tarihleriyle birlikte belgeleyin.
- Bilinen iyi bir IP aralığı aracılığıyla yönetici erişimini koruyun.
- Üç ayda bir gözden geçirin ve eski aralıkları kaldırın.
Warning
Giriş ilkeleri ve IP erişim listeleri, yanlış yapılandırılmışsa çalışma alanınızı kilitleyebilir. Yönetici erişimini her zaman bilinen iyi bir IP aralığı üzerinden koruyun.
Delta Sharing alıcı erişim denetimi
Delta Sharing, alıcı nesnelerinde yapılandırılmış kendi IP erişim listelerini kullanır. Bu, çalışma alanı IP erişim listelerinden ayrıdır ve bağlam tabanlı giriş kapsamında değildir. Yalnızca açık paylaşım (Azure Databricks olmayan alıcılar) için geçerlidir.
Bkz. IP erişim listelerini kullanarak Delta Paylaşımı alıcı erişimini kısıtlama (açık paylaşım).
Gelen bağlantı
Çalışma alanı kullanıcı arabirimine ve API'sine kullanıcı erişimi için özel bağlantı kurar. Kullanıcılar, genel İnternet üzerinden değil VPN veya gelen Özel Bağlantı üzerinden çalışma alanına ulaşır.
Özel DNS
Azure Databricks uç noktalarını özel IP adreslerine çözümlemek için özel DNS'yi yapılandırın.
Azure özel uç noktalar oluştururken otomatik olarak özel DNS bölgeleri oluşturur.
Giden
Sunucusuz çıkış denetimleri (ağ ilkeleri ve NCC özel uç noktaları) Sağlamlaştırılmış bağlantı temelinden devralınır. Bu mimari, Hardened'da isteğe bağlı olan harici güvenlik duvarını, tam klasik bilgi işlem çıkış incelemesi için zorunlu hale getirir.
Dış güvenlik duvarı (gerekli)
İnceleme, günlüğe kaydetme ve ilke uygulama için tüm çıkış trafiğini bir güvenlik duvarı üzerinden yönlendirin. Seçenekler şunlardır:
- Azure Güvenlik Duvarı veya üçüncü taraf ağ sanal gereçleri (NVA' lar).
Tavsiye
Azure Databricks yapıt depolaması için hizmet uç noktası ilkelerini kullanarak güvenlik duvarını atlayarak veri aktarımı maliyetlerini düşürebilirsiniz. Tek başına artefakt depolama, küme düğümü başına 11 GB’a kadar indirmeye neden olabilir.
Güvenlik duvarı kurallarının izin vermesi gereken Azure Databricks uç noktaları için bkz. Azure Databricks hizmetleri ve varlıklarına yönelik IP adresleri ve etki alanları.
Tavsiye
En yüksek kilitleme için Python, R ve Maven paketleri için özel paket deposu (JFrog Artifactory veya Sonatype Nexus gibi) barındırmayı göz önünde bulundurun. Bu, PyPI gibi genel paket dizinlerine erişime izin veren güvenlik duvarı kuralları gereksinimini ortadan kaldırır.
Warning
Azure Databricks kontrol düzlemi ve SCC geçiş bağlantıları sertifika sabitleme ile TLS kullanır. Kümeleriniz ile Azure Databricks kontrol düzlemi arasındaki trafikte TLS incelemesini (şifre çözme ve yeniden şifreleme) etkinleştirmeyin. Bu, küme arızalarına neden olur. Bu bağlantılara TLS kesme olmadan hedef FQDN'ye veya IP'ye göre izin verecek şekilde güvenlik duvarı kurallarını yapılandırın. Gerekli uç noktalar için bkz. Azure Databricks hizmetleri ve varlıkları için IP adresleri ve etki alanları.
Important
Yanlış yapılandırılmış güvenlik duvarı kuralları Azure Databricks özelliklerini bozabilir. Üretim dışı bir ortamda kapsamlı bir şekilde test edin.
Veri sızdırma koruması
Yetkisiz veri sızdırmayı önlemek için ağ ilkelerini ve güvenlik duvarı denetimlerini yapılandırın:
- Ağ ilkeleri aracılığıyla sunucusuz çıkış denetimi.
- Güvenlik duvarı/NVA üzerinden klasik bilgi işlem çıkışı.
- Onaylanan veri hedefleri için özel uç nokta kuralları.
Uygulama kılavuzu için bkz. Veri sızdırma koruması .
Klasik işlem temeli
Klasik işlem temeli Yönetilen güvenlikten devralınır ve bulut hizmeti uç noktaları Sağlamlaştırılmış bağlantıdan devralınır. Bu mimari için ek klasik işlem bileşeni gerekmez.
Temel yapılandırma, VNet ekleme, Güvenli Küme Bağlantısı’nı (SCC) ve klasik Özel Bağlantı’i içerir. Bulut hizmeti uç noktaları kullanıcı tanımlı yolları (UDF), hizmet uç noktalarını ve müşteri tarafından yönetilen depolama hesapları için özel uç noktaları içerir.
Veri erişimi için çıkış yaklaşımları
İşlem kaynaklarından giden veri erişimini işlemeye yönelik iki yaklaşım vardır:
Güvenlik duvarı olan NAT ağ geçidi: Giden bağlantı için bir NAT ağ geçidi dağıtın ve trafiği denetim için bir güvenlik duvarı üzerinden yönlendirin. Bu yaklaşım dış paket depolarına ve API'lere denetimli erişim sağlar ve trafik desenlerine görünürlük sağlar. Dış kaynaklara erişmeniz ancak inceleme ve günlüğe kaydetme gerektirdiğinde bu yaklaşımı kullanın.
NAT ağ geçidi yok (tamamen özel): İşlem kaynaklarından gelen tüm genel iletişimi ortadan kaldırmak için NAT ağ geçidini tamamen kaldırın. Tüm veri erişimi yalnızca özel uç noktalar ve VPC uç noktaları üzerinden gerçekleşir. Bu yaklaşım, genel çıkış yollarından veri sızdırma olasılığını ortadan kaldırarak en yüksek güvenlik düzeyine sahiptir. Kuruluşunuz işlem kaynaklarından genel İnternet iletişimini yasakladığında bu yaklaşımı kullanın.
Implementation
Dağıtılan Sağlamlaştırılmış bağlantı temelinden başlayın. Aşağıdaki aşamalar, özel çalışma alanı erişimini ve bu mimariyi tanımlayan gerekli dış güvenlik duvarını ekler.
1. Aşama: Gelen denetimler
- Azure Azure Databricks kullanıcı arabirimine ve API'lerine yönelik kullanıcı erişiminin genel IP adresleri yerine özel olarak yönlendirilmesi için gelen Özel Bağlantı'i yapılandırın. Bkz Gelen Özel Bağlantıyı Yapılandırma.
- çalışma alanının Public Ağ Erişimi değerini Azure portalında Disabled olarak ayarlayın. Genel girişi engelleyen şey budur. Bu olmadan da, çalışma alanı içeriye yönelik Özel Bağlantı yapılandırılmış olsa bile internet trafiğini kabul etmeye devam eder.
- Kimliği doğrulanmış kullanıcıların yalnızca özel ağ yolu üzerinden çalışma alanına erişebildiğini ve genel erişimin engellendiğini onaylamak için VPN veya Özel Bağlantı aracılığıyla kullanıcı erişimini test edin.
2. Aşama: Dış güvenlik duvarı (gerekli)
- Merkez VNet’e Azure Güvenlik Duvarı veya üçüncü taraf bir ağ sanal gereci (NVA) dağıtın ve çalışma alanı VNet’ini VNet eşlemesi veya sanal hub kullanarak bağlayın.
- Çalışma alanı alt ağlarında, güvenlik duvarına yönelik bir varsayılan rota ile kullanıcı tanımlı rotaları (UDR) yapılandırın; böylece Azure Databricks işlemlerinden çıkan trafik hub güvenlik duvarı üzerinden geçer. Bkz. Azure Databricks için kullanıcı tanımlı yol ayarları.
- Azure Güvenlik Duvarı uygulama ve ağ kurallarını, denetim düzleminde ve SCC geçiş trafiğinde TLS kesmesi olmadan yalnızca gerekli Azure Databricks uç noktalarına izin verecek şekilde yapılandırın (bkz. Azure Databricks hizmetleri ve varlıkları için IP adresleri ve etki alanları).
3. Aşama: Doğrulama
- Azure Databricks trafiğinin ilkeye göre denetlendiğini ve sınırlı olduğunu doğrulamak için Azure Güvenlik Duvarı günlükleri ve tanılamaları gözden geçirerek çıkış denetimini doğrulayın.
- Çalışma alanı sanal ağındaki küme düğümlerine veya Azure Databricks tarafından yönetilen diğer işlem kaynaklarına genel IP adresi atanmadığından emin olun.
- Yapılandırılan Özel Bağlantı uç noktaları ve hub güvenlik duvarı aracılığıyla tüm denetimin, verilerin ve gelen trafiğin tasarlandığı şekilde aktığını doğrulayın.
Azure Databricks Terraform SRA bu dağıtım düzeni için başlangıç noktası olarak Kod Olarak Altyapı şablonları sağlar.
Validation
Mimariyi dağıttığınızda, tam ağ yalıtımı, özel bağlantı ve çıkış denetimlerinin yapılandırıldığı gibi çalıştığını onaylamak için aşağıdaki denetimleri çalıştırın.
| Kontrol | Beklenen sonuç |
|---|---|
| VPN aracılığıyla erişilebilen çalışma alanı | Yes |
| VPN olmadan erişilebilen çalışma alanı | Hayır |
| SCC ile başlatılan kümeler | Evet, genel IP yok |
| Özel bağlantılar üzerinden veri erişimi | Yes |
| Çıkış güvenlik duvarı onayı olmadan engellendi | Yes |
| DNS özel IP'lere çözümler | Yes |
Troubleshooting
Doğrulama denetimi başarısız olursa veya bir iş yükü gerekli bir uç noktaya bağlanamazsa, yaygın sorunları tanılamak için aşağıdaki buluta özgü tabloyu kullanın.
| Issue | Nedeni | Çözünürlük |
|---|---|---|
| Küme başlatılamıyor | Güvenlik duvarı SCC, Azure Databricks denetim düzlemi veya depolama hesapları için gerekli uç noktaları veya yanlış yapılandırılmış özel uç noktaları engelliyor (NSG kuralları, yönlendirme) | Güvenlik duvarı günlüklerini gözden geçirin ve Azure Databricks altyapı kuralları ekleyin; özel uç nokta NSG kurallarının küme alt ağlarından gelen trafiğe izin verebilmesini doğrulayın; UDR'leri denetleyin |
| DNS çözümlemesi başarısız oluyor | Özel DNS yanlış yapılandırılmış | Özel DNS bölgelerini ve sanal ağ bağlantılarını doğrulama |
| Depolama erişimi başarısız oluyor | Özel uç nokta veya yönlendirme sorunu | Özel uç nokta yapılandırmasını ve yönlendirme tablolarını denetleme |
| Paket yüklemesi başarısız oluyor | PyPI güvenlik duvarı tarafından engellendi | Güvenlik duvarı izin verme listesine PyPI ekleme |
Devam eden bakım
- Güvenlik duvarı kuralları: Çıkış izin verme listelerini düzenli olarak gözden geçirin ve güncelleştirin.
- DNS yönetimi: Çalışma alanları eklediğinizde kayıtları güncelleştirin.
- Uç nokta izleme: Özel uç nokta durumunu ve veri aktarımı maliyetlerini izleyin.
- Ağ ilkeleri: Yeni onaylanan veri kaynakları için özel uç noktalar ekleyin.
- Güvenlik duvarını kaldırma: Güvenlik duvarının işletimsel yükü çok yüksekse veya uyumluluk gereksinimleri gevşetiliyorsa, güvenlik duvarı bileşenini kaldırabilir ve özel bağlantı ile VPN erişimini koruyabilirsiniz.
- Güçlendirilmiş bağlantıya geçin: Özel çalışma alanına erişim üretkenliği engelliyorsa.
Sonraki Adımlar
| Kaynak | Description |
|---|---|
| Veri sızdırma koruması | Veri sızdırmayı önlemek için ağ ve Unity Kataloğu denetimlerini birleştirmeye yönelik ayrıntılı başvuru mimarisi. |
| İletişim Kurma | Azure Databricks için ağ seçenekleri ve kavramları. |