Aracılığıyla paylaş

Azure kaynakları için Azure ağ güvenlik çevresini yapılandırma

Bu sayfada, Azure portalını kullanarak sunucusuz işlemden Azure kaynaklarınıza erişimi denetlemek için Azure Ağ Güvenlik Çevresi'nin (NSP) nasıl yapılandırıldığı açıklanır.

Azure kaynakları için ağ güvenlik çevresine genel bakış

Azure ağ güvenlik çevresi (NSP), PaaS kaynaklarınız için mantıksal yalıtım sınırı oluşturan, Azure'a özel bir özelliktir. Depolama hesapları veya veritabanları gibi kaynakları NSP ile ilişkilendirerek, basitleştirilmiş bir kural kümesi kullanarak ağ erişimini merkezi olarak yönetebilirsiniz. Bu, tek tek IP adreslerinin veya alt ağ kimliklerinin karmaşık listelerini el ile yönetme gereksiniminin yerini alır.

NSP, sunucusuz SQL ambarlarından, görevlerden, not defterlerinden, Lakeflow Spark Deklaratif İşlem Hatlarından ve model sunum uç noktalarından erişimi destekler.

Ana faydalar

Azure Azure Databricks için NSP sunucusuz giden trafiğin kullanılması, güvenlik duruşunuzu geliştirirken operasyonel ek yükü önemli ölçüde azaltır:

Fayda Description
Maliyet tasarrufları Hizmet uç noktaları üzerinden gönderilen trafik Azure omurgasında kalır ve veri işleme ücreti uygulanmaz.
Basitleştirilmiş yönetim AzureDatabricksServerless Erişimi genel olarak yönetmek için hizmet etiketini kullanın. Belirli bir Azure bölgesinde sunucusuz işlem erişimini kısıtlamak için, hizmet etiketine bölge adını ekleyin( örneğin, AzureDatabricksServerless.EastUS2). Desteklenen Azure bölgelerinin tam listesi için bkz. Azure Databricks bölgeleri.
Merkezi erişim denetimi Tek bir NSP profilinde depolama, anahtar kasaları ve veritabanları dahil olmak üzere birden çok kaynak türünde güvenlik ilkelerini yönetin.

Genişletilmiş hizmet desteği

Sunucusuz işlem ile çok çeşitli Azure hizmetlerine güvenli bir şekilde bağlanın:

  • Veri ve Analiz: Azure Depolama (ADLS 2. Nesil dahil), Azure SQL Veritabanı, Synapse Analytics, Cosmos DB ve MariaDB
  • Güvenlik ve Uygulamalar: Key Vault, App Service ve Bilişsel Hizmetler
  • Mesajlaşma ve DevOps: Etkinlik Hub'ları, Hizmet Veri Yolu ve Kapsayıcı Kaydı

Gereksinimler

  • Azure Databricks hesap yöneticisi olmanız gerekir.
  • Yapılandırmak istediğiniz Azure kaynağında Katkıda Bulunan veya Sahip izinlerine sahip olmanız gerekir.
  • Azure aboneliğinizde ağ güvenlik çevresi kaynakları oluşturma izniniz olmalıdır.
  • En iyi performans ve bölgeler arası veri aktarımı ücretlerinden kaçınmak için Azure Databricks çalışma alanınız ve Azure kaynaklarınız aynı Azure bölgesinde olmalıdır.

1. Adım: Ağ güvenlik çevresi oluşturma ve Profil Kimliğini not alma

  1. Azure portalınaoturum açın.

  2. Üstteki arama kutusuna Ağ güvenlik çevreleri yazın ve sonuçlardan seçin.

  3. +öğesine tıklayarak oluşturun.

  4. Temel bilgiler sekmesinde, aşağıdaki bilgileri girin:

    • Abonelik: Azure aboneliğinizi seçin.
    • Kaynak grubu: Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun.
    • Ad: NSP'niz için bir ad girin (örneğin, databricks-nsp).
    • Bölge: NSP'niz için bölgeyi seçin. Bu, Azure Databricks çalışma alanı bölgenizle ve Azure kaynaklarınızın bölgesiyle eşleşmelidir.
    • Profil adı: Bir profil adı girin (örneğin, databricks-profile).

  5. Gözden Geçir + oluştur'a ve ardından Oluştur'a tıklayın.

  6. NSP oluşturulduktan sonra Azure portalında bu sunucuya gidin.

  7. Sol kenar çubuğunda Ayarlar>Profilleri'ne gidin.

  8. Profilinizi oluşturun veya seçin (örneğin, databricks-profile).

  9. Profilin Kaynak Kimliğini kopyalayın. Kaynakları program aracılığıyla ilişkilendirmeyi planlıyorsanız bu kimliğe ihtiyacınız olacaktır.

    İpucu

    Profil Kimliğini güvenli bir konuma kaydedin. Kaynakları Azure Portal yerine Azure CLI veya API kullanarak ilişkilendirmek istiyorsanız daha sonra buna ihtiyacınız olacaktır.

2. Adım: Geçiş modunda kaynağınızı NSP ile ilişkilendirme

Azure Databricks sunucusuz işlemden erişmek istediğiniz her Azure kaynağını NSP profilinizle ilişkilendirmeniz gerekir. Bu örnekte azure depolama hesabının nasıl ilişkilendirilecekleri gösterilmektedir ancak aynı adımlar diğer Azure kaynakları için de geçerlidir.

  1. Azure portalında ağ güvenlik çevrenize gidin.
  2. Sol kenar çubuğunda Ayarlar'ın altında Kaynaklar'a gidin.
  3. + Ekle> seçeneğine tıklayın, ardından Kaynakları var olan bir profille ilişkilendirin.
  4. 1. Adımda oluşturduğunuz profili seçin (örneğin, databricks-profile).
  5. İlişkilendir’e tıklayın.
  6. Kaynak seçimi bölmesinde kaynak türüne göre filtreleyin. Örneğin, bir Azure Data Lake Storage Gen2 hesabını ilişkilendirmek için, filtreleme ölçütü olarak Microsoft.Storage/storageAccounts seçin.
  7. Listeden kaynaklarınızı seçin.
  8. Bölmenin en altındaki İlişkilendir'e tıklayın.

Geçiş modunu doğrulama:

  1. NSP'de Ayarlar>Kaynakları'na (veya İlişkili kaynaklar)'a gidin.
  2. Listede depolama hesabınızı bulun.
  3. Erişim Modu sütununda Geçiş'in gösterildiğini doğrulayın. Bu, varsayılan moddur.

Uyarı

Geçiş modu önce NSP kurallarını değerlendirir. Gelen istekle eşleşen NSP kuralı yoksa sistem kaynağın mevcut güvenlik duvarı kurallarına geri döner. Bu, mevcut erişim desenlerini kesintiye uğratmadan NSP yapılandırmanızı test etmenizi sağlar.

3. Adım: Azure Databricks sunucusuz işlem için bir gelen erişim kuralı ekleyin

Azure Databricks sunucusuz işlemden Azure kaynaklarınıza giden trafiğe izin vermek için NSP profilinizde bir gelen erişim kuralı oluşturmanız gerekir.

  1. Azure portalında ağ güvenlik çevrenize gidin.
  2. Sol kenar çubuğunda Ayarlar>Profilleri'ne gidin.
  3. Profilinizi seçin (örneğin, databricks-profile).
  4. Ayarlar'ın altında Gelen erişim kuralları'nı tıklatın.
  5. + Ekle’ye tıklayın.
  6. Kuralı yapılandırın:
    • Kural adı: Açıklayıcı bir ad girin (örneğin, allow-databricks-serverless).
    • Kaynak Türü: Hizmet Etiketi'ne tıklayın.
    • İzin Verilen Kaynaklar: AzureDatabricksServerless'ı seçin.
  7. Ekle'yi tıklatın.

İpucu

Hizmet etiketi, AzureDatabricksServerless tüm Azure bölgelerindeki tüm Azure Databricks sunucusuz işlem IP aralıklarını otomatik olarak kapsar. Azure Databricks yeni IP aralıkları eklediğinde IP adreslerini el ile yönetmeniz veya kuralları güncelleştirmeniz gerekmez.

4. Adım: Yapılandırmayı doğrulama

NSP'nizi yapılandırdıktan sonra Azure Databricks sunucusuz işlemin Azure kaynağınıza erişebildiğini ve NSP etkinliğini izleyebildiğini doğrulayın.

Sunucusuz bilgi işlemden erişimi test edin

  1. Azure portalında Azure kaynağınıza gidin.

  2. Güvenlik + ağ Ağı'na> gidin.

  3. Kaynağın ağ güvenlik çevrenizle bir ilişkilendirme gösterdiğini doğrulayın.

  4. Durumun Geçiş modunu gösterdiğini doğrulayın.

  5. Profilinizle ilişkili gelen kuralları görüntüleyerek AzureDatabricksServerless kuralının listelendiğini onaylayın.

  6. Azure Databricks çalışma alanınızda sunucusuz işlemin kaynağınıza erişebildiğini onaylamak için bir test sorgusu çalıştırın. Örneğin, bir ADLS 2. Nesil depolama hesabına erişimi test etmek için:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Sorgu başarılı olursa NSP yapılandırmanız doğru şekilde çalışır.

NSP etkinliğini izleme

NSP kuralları tarafından izin verilen veya reddedilen erişim girişimlerini izlemek için:

  1. Azure portalında Azure kaynağınıza gidin.
  2. İzleme>Tanılama ayarları'na gidin.
  3. +Tanılama ayarı ekle öğesine tıklayın.
  4. İzlemek istediğiniz günlük kategorilerini seçin. Azure Depolama hesapları için şunları seçin:
    • StorageRead
    • StorageWrite
  5. Bir hedef seçin:
    • Log Analytics çalışma alanı (sorgulama ve analiz için önerilir)
    • Depolama hesabı (uzun süreli arşivleme için)
    • Event Hub (dış sistemlere akış için)
  6. Kaydet'e tıklayın.

İpucu

Tanılama günlükleri, NSP kurallarıyla ve kaynak güvenlik duvarı kurallarıyla eşleşen erişim girişimlerini gösterir. Bu, Zorlanan moda geçmeden önce yapılandırmanızı doğrulamanıza yardımcı olur. Geçiş modunda günlükler, her isteğe bir NSP kuralı tarafından izin verilip verilmediğini veya kaynak güvenlik duvarına geri dönüp dönmediğini gösterir.

Zorlanan moda geçme (isteğe bağlı)

NSP yapılandırmanızı Geçiş modunda kapsamlı bir şekilde test ettikten ve beklenen tüm erişim düzenlerinin düzgün çalıştığını onayladıktan sonra, daha sıkı güvenlik için isteğe bağlı olarak Zorunlu moda geçebilirsiniz.

  1. Azure portalında ağ güvenlik çevrenize gidin.
  2. Ayarlar>Kaynakları'na gidin.
  3. Listeden kaynağınızı seçin.
  4. Erişim Modu seçeneğini Geçiş'ten Zorunlu'ya değiştirin.
  5. Kaydet'e tıklayın.

Uyarı

Zorlanan mod yalnızca NSP kurallarını zorunlu kılar. Kaynağın güvenlik duvarı kuralları izin verse bile NSP kuralıyla eşleşmeyen erişim girişimleri reddedilir. Geçiş modunda tüm gerekli erişim düzenlerinin düzgün çalıştığını onayladıktan sonra yalnızca Zorlanan moda geçin. Geçerli trafiğin engellenmediğinden emin olmak için tanılama günlüklerinizi gözden geçirin.

Sonraki Adımlar

  • Last updated on