Share via

Sunucusuz işlem erişimi için güvenlik duvarı yapılandırma

  • Makale

Not

Depolama güvenlik duvarlarını 31 Ekim 2023'ten önce Azure Databricks belgelerindeki alt ağ kimliklerini kullanarak yapılandırdıysanız, Databricks bu makaledeki adımları izleyerek veya özel uç nokta kullanarak çalışma alanlarını güncelleştirmenizi önerir. Mevcut çalışma alanlarını güncelleştirmemeyi seçerseniz, bunlar değişiklik olmadan çalışmaya devam eder.

Bu makalede, Azure Databricks hesap konsolu kullanıcı arabirimini kullanarak sunucusuz işlem için Azure depolama güvenlik duvarının nasıl yapılandırıldığı açıklanır. Ağ Bağlan Üretkenlik Yapılandırmaları API'sini de kullanabilirsiniz.

Sunucusuz işlem erişimi için özel uç nokta yapılandırmak için bkz . Sunucusuz işlemden özel bağlantı yapılandırma.

Not

Şu anda sunucusuz özellikler için ağ ücreti alınmaz. Sonraki bir sürümde ücretlendirilebilirsiniz. Azure Databricks, ağ fiyatlandırma değişiklikleri için önceden bildirim sağlayacaktır.

Sunucusuz işlem için güvenlik duvarı etkinleştirmesine genel bakış

Sunucusuz ağ bağlantısı, ağ bağlantısı yapılandırmaları (NCC) ile yönetilir. Hesap yöneticileri hesap konsolunda NCC'ler oluşturur ve bir veya daha fazla çalışma alanına bir NCC eklenebilir

NCC, azure kaynak türü için varsayılan kurallar olarak ağ kimliklerinin listesini içerir. Bir çalışma alanına NCC eklendiğinde, bu çalışma alanında sunucusuz işlem Azure kaynağını bağlamak için bu ağlardan birini kullanır. Bu ağları Azure kaynak güvenlik duvarınızda listeleyebilirsiniz.

NCC güvenlik duvarı etkinleştirmesi yalnızca yönettiğiniz veri kaynakları için sunucusuz SQL ambarlarında desteklenir. Sunucusuz işlem düzlemindeki diğer işlem kaynaklarından desteklenmez.

İsteğe bağlı olarak, yalnızca sunucusuz SQL ambarları da dahil olmak üzere yetkili ağlardan çalışma alanı depolama hesabınıza ağ erişimini yapılandırabilirsiniz. Bkz . Çalışma alanı depolama hesabınız için güvenlik duvarı desteğini etkinleştirme. Çalışma alanına bir NCC eklendiğinde, ağ kuralları çalışma alanı depolama hesabının Azure depolama hesabına otomatik olarak eklenir.

NCC'ler hakkında daha fazla bilgi için bkz . Ağ bağlantısı yapılandırması (NCC) nedir?.

Bölgeler arası depolama erişiminin maliyet etkileri

Azure Databricks sunucusuz SQL ambarlarından bölgeler arası trafik için (örneğin, çalışma alanı Doğu ABD bölgesinde ve ADLS depolaması Batı Avrupa'dadır), Azure Databricks trafiği bir Azure NAT Ağ Geçidi hizmeti üzerinden yönlendirir.

Önemli

Şu anda bu özelliği kullanmak için ücret alınmaz. Sonraki bir sürümde kullanım için ücretlendirilebilirsiniz. Bu ücretlerden kaçınmak için Databricks, depolama alanınızla aynı bölgede bir çalışma alanı oluşturmanızı önerir.

Gereksinimler

  • Çalışma alanınız Premium planda olmalıdır.

  • Azure Databricks hesap yöneticisi olmanız gerekir.

  • Her NCC en fazla 50 çalışma alanına eklenebilir.

  • Her Azure Databricks hesabında bölge başına en fazla 10 NCC olabilir.

    • Azure depolama hesabınızın ağ kurallarına erişiminiz olmalıdır WRITE .

1. Adım: Ağ bağlantısı yapılandırması oluşturma ve alt ağ kimliklerini kopyalama

Databricks, NCC'lerin aynı iş birimindeki çalışma alanları ile aynı bölge ve bağlantı özelliklerini paylaşan çalışma alanları arasında paylaşılması önerilir. Örneğin, bazı çalışma alanları depolama güvenlik duvarı kullanıyorsa ve diğer çalışma alanları Özel Bağlantı alternatif yaklaşımını kullanıyorsa, bu kullanım örnekleri için ayrı NCC'ler kullanın.

  1. Hesap yöneticisi olarak hesap konsoluna gidin.
  2. Kenar çubuğunda Bulut Kaynakları'na tıklayın.
  3. Ağ Bağlan Ivity Yapılandırması'ya tıklayın.
  4. Ağ Bağlan Üretkenlik Yapılandırmaları Ekle'ye tıklayın.
  5. NCC için bir ad yazın.
  6. Bölgeyi seçin. Bunun çalışma alanı bölgenizle eşleşmesi gerekir.
  7. Ekle'yi tıklatın.
  8. NCC listesinde yeni NCC'nize tıklayın.
  9. Ağ kimlikleri altındaki Varsayılan Kurallar'da Tümünü görüntüle'ye tıklayın.
  10. İletişim kutusunda Alt ağları kopyala düğmesine tıklayın ve alt ağ listesini kaydedin.
  11. Kapat'a tıklayın.

3. Adım: Çalışma alanlarına NCC ekleme

NCC ile aynı bölgede en fazla 50 çalışma alanına NCC ekleyebilirsiniz.

Çalışma alanına NCC eklemek üzere API'yi kullanmak için bkz. Hesap Çalışma Alanları API'si.

  1. Hesap konsolu kenar çubuğunda Çalışma Alanları'na tıklayın.
  2. Çalışma alanınızın adına tıklayın.
  3. Çalışma alanını güncelleştir'e tıklayın.
  4. Ağ Bağlan ivity Yapılandırması alanında NCC'nizi seçin. Görünür değilse hem çalışma alanı hem de NCC için aynı bölgeyi seçtiğinizi onaylayın.
  5. Güncelleştir'i tıklatın.
  6. Değişikliğin geçerli olması için 10 dakika bekleyin.
  7. Çalışma alanında çalışan sunucusuz SQL ambarlarını yeniden başlatın.

Bu özelliği çalışma alanı depolama hesabına bağlanmak için kullanıyorsanız yapılandırmanız tamamlanmıştır. Ağ kuralları otomatik olarak çalışma alanı depolama hesabına eklenir. Ek depolama hesapları için sonraki adıma geçin.

3. Adım: Depolama hesabınızı kilitleme

Azure depolama hesabına erişimi henüz yalnızca izin verilmiş ağlara sınırlamadıysanız, bunu şimdi yapın. Çalışma alanı depolama hesabı için bu adımı uygulamanız gerekmez.

Depolama güvenlik duvarı oluşturmak, klasik işlem düzleminden kaynaklarınıza bağlantıyı da etkiler. Ayrıca, klasik işlem kaynaklarından depolama hesaplarınıza bağlanmak için ağ kuralları eklemeniz gerekir.

  1. Azure portalına gidin.
  2. Veri kaynağı için depolama hesabınıza gidin.
  3. Sol gezinti bölmesinde Ağ'a tıklayın.
  4. Genel ağ erişimi alanında değeri denetleyin. Varsayılan olarak, değer tüm ağlardan etkindir. Bunu seçili sanal ağlardan ve IP adreslerinden Etkin olarak değiştirin.

4. Adım: Azure depolama hesabı ağ kuralları ekleme

Çalışma alanı depolama hesabı için bu adımı uygulamanız gerekmez.

  1. Her alt ağ için bir Azure depolama hesabı ağ kuralı ekleyin. Bunu Azure CLI, PowerShell, Terraform veya diğer otomasyon araçlarını kullanarak yapabilirsiniz. Bu adımın Azure Portal kullanıcı arabiriminde yapılamadığını unutmayın.

    Aşağıdaki örnekte Azure CLI kullanılmaktadır:

    az storage account network-rule add --subscription "<sub>" \
    --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
    • değerini depolama hesabı için Azure aboneliğinizin adıyla değiştirin <sub> .
    • değerini depolama hesabınızın kaynak grubuyla değiştirin <res> .
    • değerini depolama hesabınızın adıyla değiştirin <account>
    • değerini sunucusuz SQL ambarı alt unun ARM kaynak kimliği (resourceId) ile değiştirin<subnet>.

    Tüm komutları çalıştırdıktan sonra Azure portalını kullanarak depolama hesabınızı görüntüleyebilir ve Sanal Ağ s tablosunda yeni alt ağı temsil eden bir giriş olduğunu onaylayabilirsiniz. Ancak Azure portalında ağ kurallarında değişiklik yapamazsınız.

    İpucu

    Uç nokta durumu sütunundaki "Yetersiz izinler" ifadesini veya ağ listesinin altındaki uyarıyı yoksayın. Bunlar yalnızca Azure Databricks alt ağlarını okuma izniniz olmadığını belirtir, ancak bu Azure Databricks sunucusuz alt ağın Azure depolama alanınızla iletişim kurmasını engellemez.

    Sanal Ağ listesinde örnek yeni girdiler

  2. Bu komutu her alt ağ için bir kez yineleyin. İsteğe bağlı olarak ağ kuralı oluşturma işlemini otomatikleştirebilirsiniz. Bkz. Ağ kuralı oluşturma işleminizi otomatikleştirme.

  3. Depolama hesabınızın Azure portalından bu ayarları kullandığını onaylamak için depolama hesabınızda Ağ'a gidin.

    Genel ağ erişiminin Seçili sanal ağlardan ve IP adreslerinden etkinleştirildi olarak ayarlandığını ve izin verilen ağların Sanal Ağ bölümünde listelendiğini onaylayın.

Ağ kuralı oluşturma işleminizi otomatikleştirme

Azure CLI veya PowerShell kullanarak depolama hesabınız için ağ kuralı oluşturmayı otomatikleştirebilirsiniz.

Bu Azure CLI örneği, her alt ağ için komutunu çalıştırmak üzere bir döngüyle kullanabileceğiniz bir listede iki alt ağ kullanır. Bu örnekte, mystorage-rg kaynak grubu ve myaccount depolama hesabıdır.

#!/bin/bash
SUBNETS=(/subscriptions/8453a5d5-9e9e-40c7-87a4-0ab4cc197f48/resourceGroups/prod-azure-eastusc3-nephos2/providers/Microsoft.Network/virtualNetworks/kaas-vnet/subnets/worker-subnet /subscriptions/8453a5d5-9e9e-40c7-87a4-0ab4cc197f48/resourceGroups/prod-azure-eastusc3-nephos3/providers/Microsoft.Network/virtualNetworks/kaas-vnet/subnets/worker-subnet)
for SUBNET in ${SUBNETS[@]}
do
  az storage account network-rule add --subscription 9999999-1ff3-43f4-b91e-d0ceb97111111 --resource-group mystorage-rg --account-name myaccount --subnet ${SUBNET}
done

PowerShell'i kullanmak için aşağıdaki komutu kullanın:

Add-AzStorageAccountNetworkRule -ResourceGroupName <resource group name> -Name <storage account name> -VirtualNetworkResourceId <subnets>

Değiştirme:

  • <resource group name> depolama hesabınızın kaynak grubuyla birlikte.
  • <storage account name> yerine depolama hesabınızın adını yazın.
  • <subnets> alt ağ kaynak kimliklerinin virgülle ayrılmış bir listesiyle.