Güvenli küme bağlantısı

  • Makale

Güvenli küme bağlantısı etkinleştirildiğinde, müşteri sanal ağlarının açık bağlantı noktası yoktur ve klasik işlem düzlemindeki işlem kaynaklarının genel IP adresleri yoktur. Güvenli küme bağlantısı Genel IP Yok (NPIP) olarak da bilinir.

  • Ağ düzeyinde her küme, küme oluşturma sırasında denetim düzlemi güvenli küme bağlantı geçişi ile bağlantı başlatır. Küme bu bağlantıyı 443 numaralı bağlantı noktasını (HTTPS) kullanarak kurar ve Web uygulaması ve REST API için kullanılandan farklı bir IP adresi kullanır.
  • Denetim düzlemi mantıksal olarak yeni Databricks Runtime işlerini başlattığında veya diğer küme yönetim görevlerini gerçekleştirdiğinde, bu istekler bu tünel aracılığıyla kümeye gönderilir.
  • İşlem düzleminin (VNet) açık bağlantı noktası yoktur ve klasik işlem düzlemi kaynaklarının genel IP adresleri yoktur.

Avantajlar:

  • Güvenlik gruplarında bağlantı noktalarını yapılandırmaya veya ağ eşlemesini yapılandırmaya gerek olmadan kolay ağ yönetimi.
  • Gelişmiş güvenlik ve basit ağ yönetimi sayesinde bilgi güvenliği ekipleri, PaaS sağlayıcısı olarak Databricks'in onayını hızlandırabilir.

Not

Klasik işlem düzlemi sanal ağı ile Azure Databricks denetim düzlemi arasındaki tüm Azure Databricks ağ trafiği genel İnternet üzerinden değil Microsoft ağ omurgasını geçer. Güvenli küme bağlantısı devre dışı bırakılıyor olsa bile bu durum geçerlidir.

Sunucusuz işlem düzlemi, klasik işlem düzlemi için güvenli küme bağlantı geçişini kullanmasa da, sunucusuz SQL ambarlarının genel IP adresleri yoktur .

Güvenli küme bağlantısı

Güvenli küme bağlantısını kullanma

Yeni bir Azure Databricks çalışma alanıyla güvenli küme bağlantısını kullanmak için aşağıdaki seçeneklerden birini kullanın.

  • Azure Portal: Çalışma alanını sağlarken Ağ sekmesine gidin ve Azure Databricks çalışma alanını Güvenli Küme Bağlan ivity ile dağıt (Genel IP Yok) seçeneğini Evet olarak ayarlayın.
  • ARM Şablonları: Yeni çalışma alanınızı oluşturan kaynak için Microsoft.Databricks/workspaces Boole parametresini olarak trueayarlayınenableNoPublicIp.

Önemli

Her iki durumda da Azure Kaynak Sağlayıcısı'nı Microsoft.ManagedIdentity güvenli küme bağlantısına sahip çalışma alanlarını başlatmak için kullanılan Azure aboneliğine kaydetmeniz gerekir. Bu, abonelik başına tek seferlik bir işlemdir. Yönergeler için bkz . Azure kaynak sağlayıcıları ve türleri.

Zaten sanal ağ ekleme kullanan mevcut bir çalışma alanına güvenli küme bağlantısı ekleyebilirsiniz. Bkz. Var olan bir çalışma alanına güvenli küme bağlantısı ekleme.

ARM şablonları kullanıyorsanız, Azure Databricks'in çalışma alanı için varsayılan (yönetilen) bir sanal ağ oluşturmasını veya sanal ağ ekleme olarak da bilinen kendi sanal ağınızı kullanmak isteyip istemediğinize bağlı olarak parametresini aşağıdaki şablonlardan birine ekleyin. Sanal ağ ekleme, yeni Azure Databricks kümelerini barındırmak için kendi sanal ağınızı sağlamanıza olanak tanıyan isteğe bağlı bir özelliktir.

Çalışma alanı alt ağlarından çıkış

Güvenli küme bağlantısını etkinleştirdiğinizde, küme düğümlerinin genel IP adresleri olmadığından her iki çalışma alanı alt ağınız da özel alt ağlar olur.

Ağ çıkışının uygulama ayrıntıları, varsayılan (yönetilen) sanal ağı kullanıp kullanmadığınıza veya çalışma alanınızı dağıtabileceğiniz kendi sanal ağınızı sağlamak için isteğe bağlı sanal ağ ekleme özelliğini kullanıp kullanmadığınıza bağlı olarak değişir. Ayrıntılar için aşağıdaki bölümlere bakın.

Önemli

Güvenli küme bağlantısı kullandığınızda artan çıkış trafiği nedeniyle ek maliyetler oluşabilir. Maliyet açısından iyileştirilmiş bir çözüme ihtiyaç duyan daha küçük bir kuruluş için, çalışma alanınızı dağıtırken güvenli küme bağlantısını devre dışı bırakmak kabul edilebilir. Ancak, en güvenli dağıtım için Microsoft ve Databricks güvenli küme bağlantısını etkinleştirmenizi kesinlikle önerir.

Varsayılan (yönetilen) sanal ağ ile çıkış

Azure Databricks'in oluşturduğu varsayılan sanal ağ ile güvenli küme bağlantısı kullanırsanız, Azure Databricks çalışma alanınızın alt ağlarından Azure omurgasına ve genel ağına giden trafik için otomatik olarak bir NAT ağ geçidi oluşturur. NAT ağ geçidi, Azure Databricks tarafından yönetilen yönetilen kaynak grubunda oluşturulur. Bu kaynak grubunu veya içinde sağlanan kaynakları değiştiremezsiniz.

Otomatik olarak oluşturulan NAT ağ geçidi ek ücrete tabidir.

Sanal ağ eklemeli çıkış

Çalışma alanınızda sanal ağ ekleme kullanan güvenli küme bağlantısını etkinleştirirseniz Databricks, çalışma alanınızın kararlı bir çıkış genel IP'sini kullanmasını önerir.

Kararlı çıkış genel IP adresleri, bunları dış izin verme listelerine ekleyebildiğiniz için yararlıdır. Örneğin, Azure Databricks'ten Salesforce'a kararlı bir giden IP adresiyle bağlanmak için.

Uyarı

Microsoft, 30 Eylül 2025'te Azure'daki sanal makineler için varsayılan giden erişim bağlantısının kullanımdan kaldırılacağını duyurdu. Bu duyuruya bakın. Başka bir deyişle, kararlı bir çıkış genel IP'si yerine varsayılan giden erişimi kullanan mevcut Azure Databricks çalışma alanları bu tarihten sonra çalışmaya devam etmeyebilir. Databricks, çalışma alanlarınız için bu tarihten önce açık giden yöntemleri eklemenizi önerir.

Aşağıdaki seçeneklerden birini belirleyin:

  • Özelleştirme gerektiren dağıtımlar için bir Azure NAT ağ geçidi seçin. Azure omurgasına giden tüm trafiğin ve genel ağ geçişlerinin üzerinden geçtiğinden emin olmak için çalışma alanının her iki alt ağında da ağ geçidini yapılandırın. Kümeler kararlı bir çıkış genel IP'sine sahiptir ve özel çıkış gereksinimleri için yapılandırmayı değiştirebilirsiniz. Bu çözümü bir Azure şablonu kullanarak veya Azure portalından uygulayabilirsiniz.
  • Azure Güvenlik Duvarı veya diğer özel ağ mimarileri gibi çıkış güvenlik duvarı ile sanal ağ ekleme kullanan karmaşık yönlendirme gereksinimleri olan dağıtımlar veya dağıtımlar için, kullanıcı tanımlı yollar (UDR) olarak adlandırılan özel yolları kullanabilirsiniz. UDR'ler, ağ trafiğinin çalışma alanınız için doğrudan gerekli uç noktalara veya çıkış güvenlik duvarı üzerinden doğru şekilde yönlendirilmesini sağlar. Böyle bir çözüm kullanıyorsanız Azure Databricks güvenli küme bağlantı geçişi ve Azure Databricks için kullanıcı tanımlı yol ayarları bölümünde listelenen diğer gerekli uç noktalar için doğrudan yollar veya izin verilen güvenlik duvarı kuralları eklemeniz gerekir.

Uyarı

Güvenli küme bağlantısı etkinleştirilmiş bir çalışma alanıyla çıkış yük dengeleyici kullanmayın. Üretim sistemlerinde çıkış yük dengeleyici, bağlantı noktalarının tükenme riskine yol açabilir.

Mevcut çalışma alanına güvenli küme bağlantısı ekleme

Mevcut bir çalışma alanında güvenli küme bağlantısını etkinleştirebilirsiniz. Yükseltme için çalışma alanının sanal ağ eklemesi kullanması gerekir.

Portal kullanıcı arabirimini, ARM şablonunu veya azurerm Terraform sağlayıcısı sürüm 3.41.0+'ı kullanabilirsiniz. Azure portalını kullanarak özel bir şablon uygulayabilir ve kullanıcı arabiriminde parametresini değiştirebilirsiniz. Azure portal kullanıcı arabiriminde Azure Databricks çalışma alanı örneğini de yükseltebilirsiniz.

Önemli

Bu değişikliği yapmadan önce, bir güvenlik duvarı kullanıyorsanız veya klasik işlem düzleminden girişi veya çıkışı denetlemek için başka ağ yapılandırma değişiklikleri yaptıysanız, güvenlik duvarı veya ağ güvenlik grubu kurallarınızı bu değişikliklerin tam olarak geçerlilik kazanmaları için aynı anda güncelleştirmeniz gerekebilir. Örneğin, güvenli küme bağlantısıyla, denetim düzlemine ek bir giden bağlantı vardır ve denetim düzleminden gelen bağlantılar artık kullanılmaz.

Yükseltme ile ilgili bir şeyler ters giderse ve değişikliği geçici olarak geri almanız gerekirse bkz. Küme bağlantısını güvence altına almak için yükseltmeyi geçici olarak geri alma.

1. Adım: Tüm işlem kaynaklarını durdurma

Bu yükseltmeyi denemeden önce kümeler, havuzlar veya klasik SQL ambarları gibi tüm işlem kaynaklarını durdurmanız gerekir. Hiçbir çalışma alanı işlem kaynağı çalıştırılamaz veya yükseltme girişimi başarısız olur. Databricks, yükseltmenin çalışma zamanı için zamanlamasını planlamanızı önerir.

2. Adım: Çalışma alanını güncelleştirme

Genel IP Yok parametresini güncelleştirmeniz gerekir (şablonda olduğu gibienableNoPublicIp). Bunu True (true değerine ayarlayın).

Şu yöntemlerden birini kullanın:

Azure portalı kullanıcı arabirimini kullanma (şablon olmadan)

  1. Azure portalında Azure Databricks Hizmeti örneğine gidin.

  2. Ayarlar altındaki sol gezinti bölmesinde Ağ'a tıklayın.

  3. Genel IP Yok'a tıklayın.

    Not

    Aynı zamanda, Genel Ağ Erişimineİzin Ver Gerekli NSG Kuralları değerlerini kullanım örneğiniz için uygun değerlere ayarlayarak da Azure Özel Bağlantı etkinleştirmeyi seçebilirsiniz. Ancak, Özel Bağlantı etkinleştirmek için ek yapılandırma ve doğrulama gerekir, bu nedenle bunu güvenli küme bağlantısı için bu güncelleştirmeden sonra ayrı bir adım olarak yapmak isteyebilirsiniz. Önemli ayrıntılar ve gereksinimler için bkz. Azure Özel Bağlantı etkinleştirme.

  4. Kaydet'e tıklayın.

Ağ güncelleştirmesinin tamamlanması 15 dakikadan uzun sürebilir.

Azure portalını kullanarak güncelleştirilmiş ARM şablonu uygulama

Not

Yönetilen kaynak grubunuzun özel bir adı varsa, şablonu buna göre değiştirmeniz gerekir. Daha fazla bilgi için Azure Databricks hesap ekibinize başvurun.

  1. Aşağıdaki yükseltme ARM şablonu JSON'unu kopyalayın:

      {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "workspaceName": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure Databricks workspace to create."
            }
        },
        "apiVersion": {
            "defaultValue": "2023-02-01",
            "allowedValues": [
               "2018-04-01",
               "2020-02-15",
               "2022-04-01-preview",
               "2023-02-01"
            ],
            "type": "String",
            "metadata": {
                "description": "2018-03-15 for 'full region isolation control plane' and 2020-02-15 for 'FedRAMP certified' regions"
            }
        },
        "enableNoPublicIp": {
            "defaultValue": true,
            "type": "Bool"
        },
        "pricingTier": {
            "defaultValue": "premium",
            "allowedValues": [
                "premium",
                "standard",
                "trial"
            ],
            "type": "String",
            "metadata": {
                "description": "The pricing tier of workspace."
            }
        },
        "publicNetworkAccess": {
          "type": "string",
          "defaultValue": "Enabled",
          "allowedValues": [
            "Enabled",
            "Disabled"
          ],
          "metadata": {
            "description": "Indicates whether public network access is allowed to the workspace - possible values are Enabled or Disabled."
          }
        },
        "requiredNsgRules": {
          "type": "string",
          "defaultValue": "AllRules",
          "allowedValues": [
            "AllRules",
            "NoAzureDatabricksRules"
          ],
          "metadata": {
            "description": "Indicates whether to retain or remove the AzureDatabricks outbound NSG rule - possible values are AllRules or NoAzureDatabricksRules."
          }
        }
        },
    "variables": {
        "managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]",
        "managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', variables('managedResourceGroupName'))]"
    },
    "resources": [
        {
            "type": "Microsoft.Databricks/workspaces",
            "apiVersion": "[parameters('apiVersion')]",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('location')]",
            "sku": {
                "name": "[parameters('pricingTier')]"
            },
            "properties": {
                "ManagedResourceGroupId": "[variables('managedResourceGroupId')]",
                "publicNetworkAccess": "[parameters('publicNetworkAccess')]",
                "requiredNsgRules": "[parameters('requiredNsgRules')]",
                "parameters": {
                    "enableNoPublicIp": {
                        "value": "[parameters('enableNoPublicIp')]"
                    }
                }
            }
        }
    ]
}

    1. Azure portalı Özel dağıtım sayfasına gidin.

    2. Düzenleyicide Kendi şablonunuzu oluşturun'a tıklayın.

    3. Kopyaladığınız şablonun JSON dosyasını yapıştırın.

    4. Kaydet'e tıklayın.

    5. Parametreleri doldurun.

    6. Var olan bir çalışma alanını güncelleştirmek için, olarak ayarlamanız truegereken dışında enableNoPublicIp bir çalışma alanı oluşturmak için kullandığınız parametreleri kullanın. Mevcut sanal ağın aboneliğini, bölgesini, çalışma alanı adını, alt ağ adlarını, kaynak kimliğini ayarlayın.

      Önemli

      Kaynak grubu adı, çalışma alanı adı ve alt ağ adları var olan çalışma alanınızla aynıdır, böylece bu komut yeni bir çalışma alanı oluşturmak yerine var olan çalışma alanını güncelleştirir.

    7. Gözden Geçir ve Oluştur’a tıklayın.

    8. Doğrulama sorunu yoksa Oluştur'a tıklayın.

    Ağ güncelleştirmesinin tamamlanması 15 dakikadan uzun sürebilir.

Terraform kullanarak güncelleştirme uygulama

Terraform ile oluşturulan çalışma alanları için çalışma alanını yeniden oluşturmadan güncelleştirebilirsiniz.

Önemli

Sürüm 3.41.0 veya üzerini kullanmanız terraform-provider-azurerm gerekir, bu nedenle Terraform sağlayıcı sürümünüzü gerektiği gibi yükseltin. Önceki sürümler, bu ayarlardan herhangi birini değiştirirseniz çalışma alanını yeniden oluşturma girişiminde bulunur.

Aşağıdaki çalışma alanı ayarlarını değiştirin:

  • no_public_ip bloğunda custom_parameters olarak falsetruedeğiştirilebilir.

Ağ güncelleştirmesinin tamamlanması 15 dakikadan uzun sürebilir.

3. Adım: Güncelleştirmeyi doğrulama

Çalışma alanı etkin durumda olduğunda güncelleştirme işi tamamlanır. Güncelleştirmenin uygulandığını doğrulayın:

  1. Web tarayıcınızda Azure Databricks'i açın.

  2. Çalışma alanının kümelerinden birini başlatın ve küme tam olarak başlatılana kadar bekleyin.

  3. Azure portalında çalışma alanı örneğine gidin.

  4. Yönetilen Kaynak Grubu alan etiketinin yanındaki mavi kimliği tıklatın.

  5. Bu grupta kümenin VM'lerini bulun ve bunlardan birine tıklayın.

  6. VM ayarlarında, Özellikler'in içinde alanındaki alanları arayın.

  7. Genel IP adresi alanının boş olduğunu onaylayın.

    Doldurulmuşsa VM'nin genel IP adresi vardır ve bu da güncelleştirmenin başarısız olduğu anlamına gelir.

Hata kurtarma

Çalışma alanı güncelleştirmesi başarısız olursa, çalışma alanı Başarısız durum olarak işaretlenebilir ve bu da çalışma alanının işlem işlemlerini gerçekleştiremediği anlamına gelir. Başarısız bir çalışma alanını Yeniden Etkin duruma geri yüklemek için güncelleştirme işleminin durum iletisindeki yönergeleri gözden geçirin. Herhangi bir sorunu düzelttikte, başarısız çalışma alanında güncelleştirmeyi yineleyin. Güncelleştirme başarıyla tamamlanana kadar adımları yineleyin.

Güvenli küme bağlantısına yükseltmenin geçici geri alınması

Dağıtım sırasında bir sorun olursa işlemi geçici geri alma olarak tersine çevirebilirsiniz, ancak bir çalışma alanında SCC'yi devre dışı bırakmak, yükseltmeye daha sonra devam etmeden önce geçici geri alma dışında desteklenmez. Bu geçici olarak gerekliyse, yükseltme için yukarıdaki yönergeleri izleyebilirsiniz, ancak true yerine olarak false ayarlayabilirsinizenableNoPublicIp.