Aracılığıyla paylaş


Çalışma alanı depolama hesabınız için güvenlik duvarı desteğini etkinleştirme

Her Azure Databricks çalışma alanında, çalışma alanı depolama hesabı olarak bilinen yönetilen bir kaynak grubunda ilişkili bir Azure depolama hesabı vardır. Çalışma alanı depolama hesabı çalışma alanı sistem verilerini (iş çıktısı, sistem ayarları ve günlükler), DBFS kökünü ve bazı durumlarda Unity Kataloğu çalışma alanı kataloğunu içerir. Bu makalede, bir ARM (Azure Resource Manager) şablonu kullanarak yalnızca yetkili kaynaklardan ve ağlardan çalışma alanı depolama hesabınıza erişimi sınırlama açıklanmaktadır.

Çalışma alanı depolama hesabınız için güvenlik duvarı desteği nedir?

Varsayılan olarak, çalışma alanı depolama hesabınızın Azure depolama hesabı tüm ağlardan kimliği doğrulanmış bağlantıları kabul eder. Çalışma alanı depolama hesabınız için güvenlik duvarı desteğini etkinleştirerek bu erişimi sınırlayabilirsiniz. Bu, genel ağ erişimine izin verilmemesini ve çalışma alanı depolama hesabına yetkisiz ağlardan erişilmemesini sağlar. Kuruluşunuzda depolama hesaplarının özel olduğundan emin olan Azure ilkeleri varsa bunu yapılandırmak isteyebilirsiniz.

Çalışma alanı depolama hesabınız için güvenlik duvarı desteği etkinleştirildiğinde Azure Databricks dışındaki hizmetlerden gelen tüm erişimler Özel Bağlantı ile onaylı özel uç noktaları kullanmalıdır. Azure Databricks, Azure yönetilen kimliği kullanarak depolamaya bağlanmak için bir erişim bağlayıcısı oluşturur. Azure Databricks sunucusuz işlemden erişim, hizmet uç noktalarını veya özel uç noktaları kullanmalıdır.

Gereksinimler

  • Çalışma alanınız, klasik işlem düzleminden gelen bağlantılar için sanal ağ ekleme özelliğini etkinleştirmelidir.

  • Çalışma alanınız, klasik işlem düzleminden gelen bağlantılar için güvenli küme bağlantısını (Genel IP / NPIP Yok) etkinleştirmelidir.

  • Çalışma alanınız Premium planda olmalıdır.

  • Depolama hesabı için özel uç noktalar için ayrı bir alt ağınız olmalıdır. Bu, temel Azure Databricks işlevselliği için ana iki alt ağa ek olarak sağlanır.

    Alt ağ, çalışma alanıyla aynı sanal ağda veya çalışma alanının erişebileceği ayrı bir sanal ağda olmalıdır. CIDR gösteriminde en düşük boyutu /28 kullanın.

  • Microsoft Fabric Power BI hizmeti ile Cloud Fetch kullanıyorsanız, çalışma alanı depolama hesabına özel erişim için her zaman bir ağ geçidi kullanmanız veya Cloud Fetch'i devre dışı bırakmanız gerekir. Bkz . 2. Adım (Önerilen): Bulut Getirme istemci sanal ağları için özel uç noktaları yapılandırma.

Yeni bir çalışma alanı oluşturmak için 5. Adım: Gerekli ARM şablonunu dağıtma bölümünde ARM şablonunu da kullanabilirsiniz. Bu durumda, 1 ile 4 arasında adımları izlemeden önce çalışma alanınızdaki tüm işlemlerinizi kapatın.

1. Adım: Depolama hesabında özel uç noktalar oluşturma

Hedef alt kaynak değerleri için sanal ağ ekleme için kullandığınız sanal ağınızdan çalışma alanı depolama hesabınıza iki özel uç nokta oluşturun: dfs ve blob.

  1. Azure portalında çalışma alanınıza gidin.

  2. Temel Bileşenler'in altında Yönetilen Kaynak Grubu'nun adına tıklayın.

  3. Kaynaklar'ın altında, ile dbstoragebaşlayan bir ada sahip depolama hesabı türündeki kaynağa tıklayın.

  4. Kenar çubuğunda Ağ'a tıklayın.

  5. Özel uç nokta bağlantıları'nı tıklatın.

  6. + Özel uç nokta'ya tıklayın.

  7. Kaynak Grubu adı alanında kaynak grubunuzu ayarlayın.

    Önemli

    Kaynak grubu, çalışma alanı depolama hesabınızın içinde olduğu yönetilen kaynak grubuyla aynı olmamalıdır.

  8. Ad alanına bu özel uç nokta için benzersiz bir ad yazın:

    • Her kaynak ağ için oluşturduğunuz ilk özel uç nokta için bir DFS uç noktası oluşturun. Databricks son eki eklemenizi önerir -dfs-pe
    • Her kaynak ağ için oluşturduğunuz ikinci özel uç nokta için bir Blob uç noktası oluşturun. Databricks son eki eklemenizi önerir -blob-pe

    Ağ Arabirimi Adı alanı otomatik olarak doldurulur.

  9. Bölge alanını çalışma alanınızın bölgesi olarak ayarlayın.

  10. İleri'ye tıklayın.

  11. Hedef alt kaynağında hedef kaynak türüne tıklayın.

    • Her kaynak ağ için oluşturduğunuz ilk özel uç nokta için bunu dfs olarak ayarlayın.
    • Her kaynak ağ için oluşturduğunuz ikinci özel uç nokta için bunu blob olarak ayarlayın.
  12. Sanal ağ alanında bir sanal ağ seçin.

  13. Alt ağ alanında, alt ağı depolama hesabının özel uç noktaları için sahip olduğunuz ayrı alt ağ olarak ayarlayın.

    Bu alan, özel uç noktalarınız için alt ağ ile otomatik olarak doldurulabilir, ancak bunu açıkça ayarlamanız gerekebilir. Genellikle ve public-subnetolarak adlandırılan private-subnet temel Azure Databricks çalışma alanı işlevselliği için kullanılan iki çalışma alanı alt ağını kullanamazsınız.

  14. İleri'ye tıklayın. DNS sekmesi, daha önce seçtiğiniz doğru aboneliğe ve kaynak grubuna otomatik olarak doldurulur. Gerekirse bunları değiştirin.

  15. İleri'ye tıklayın ve isterseniz etiketleri ekleyin.

  16. İleri'ye tıklayın ve alanları gözden geçirin.

  17. Oluştur’a tıklayın.

Çalışma alanı depolama hesabınız için güvenlik duvarı desteğini devre dışı bırakmak için yukarıdaki işlemle aynı işlemi kullanın, ancak Depolama Hesabı Güvenlik Duvarı (storageAccountFirewallşablonda) Disabled parametresini olarak ayarlayın ve alanı true olarak veya false çalışma alanınızın Unity Kataloğu çalışma alanı kataloğu kullanıp kullanmadığına bağlı olarak ayarlayınWorkspace Catalog Enabled. Bkz. Azure Databricks'te kataloglar nelerdir?.

2. Adım (Önerilen): Bulut Getirme istemci sanal ağları için özel uç noktaları yapılandırma

Cloud Fetch, ODBC ve JDBC'de verileri iş zekası araçlarına daha hızlı getirmek için bulut depolaması aracılığıyla paralel olarak veri getirmeye yönelik bir mekanizmadır. BI araçlarından 1 MB'tan büyük sorgu sonuçlarını getiriyorsanız, büyük olasılıkla Cloud Fetch kullanıyorsunuz.

Not

Azure Databricks ile Microsoft Fabric Power BI hizmeti kullanıyorsanız, bu özellik Fabric Power BI'dan çalışma alanı depolama hesabına doğrudan erişimi engellediği için Cloud Fetch'i devre dışı bırakmanız gerekir. Alternatif olarak, çalışma alanı depolama hesabına özel erişime izin vermek için bir sanal ağ veri ağ geçidi veya şirket içi veri ağ geçidi yapılandırabilirsiniz. Bu, Power BI desktop için geçerli değildir. Cloud Fetch'i devre dışı bırakmak için yapılandırmasını EnableQueryResultDownload=0kullanın.

Cloud Fetch kullanıyorsanız, Cloud Fetch istemcilerinizin herhangi bir sanal ağından çalışma alanı depolama hesabına özel uç noktalar oluşturun.

Bulut Getirme istemcileri için her kaynak ağ için, iki farklı Hedef alt kaynak değeri kullanan iki özel uç nokta oluşturun: dfs ve blob. Ayrıntılı adımlar için 1. Adım: Depolama hesabında özel uç noktalar oluşturma bölümüne bakın. Bu adımlarda, özel uç noktayı oluştururken Sanal ağ alanı için her Bulut Getirme istemcisi için kaynak sanal ağınızı belirttiğinizden emin olun.

3. Adım: Uç nokta onaylarını onaylama

Depolama hesabında tüm özel uç noktalarınızı oluşturduktan sonra onaylenip onaylanmadıklarını denetleyin. Bu kişiler otomatik olarak onaylayabilir veya bunları depolama hesabında onaylamanız gerekebilir.

  1. Azure portalında çalışma alanınıza gidin.
  2. Temel Bileşenler'in altında Yönetilen Kaynak Grubu'nun adına tıklayın.
  3. Kaynaklar'ın altında, ile dbstoragebaşlayan bir ada sahip depolama hesabı türündeki kaynağa tıklayın.
  4. Kenar çubuğunda Ağ'a tıklayın.
  5. Özel uç nokta bağlantıları'nı tıklatın.
  6. Bağlantı durumunu kontrol ederek Onaylandı ifadesini onaylayın veya seçin ve Onayla'ya tıklayın.

4. Adım: Sunucusuz işlem bağlantılarını yetkilendirme

Çalışma alanınıza bir ağ bağlantısı yapılandırması (NCC) ekleyerek çalışma alanı depolama hesabınıza bağlanmak için sunucusuz işlem yetkilendirmeniz gerekir. Çalışma alanına bir NCC eklendiğinde, ağ kuralları çalışma alanı depolama hesabının Azure depolama hesabına otomatik olarak eklenir. Yönergeler için bkz . Sunucusuz işlem erişimi için güvenlik duvarı yapılandırma.

Özel uç noktaları kullanarak Azure Databricks sunucusuz işlemden erişimi etkinleştirmek istiyorsanız Azure Databricks hesap ekibinize başvurun.

5. Adım: Gerekli ARM şablonunu dağıtma

Bu adım, Azure Databricks çalışma alanını yönetmek için bir ARM şablonu kullanır. Ayrıca Terraform'u kullanarak çalışma alanınızı güncelleştirebilir veya oluşturabilirsiniz. Azurerm_databricks_workspace Terraform sağlayıcısına bakın.

  1. Azure portalında araması yapın ve öğesini seçin Deploy a custom template.

  2. Düzenleyicide Kendi şablonunuzu oluşturun'a tıklayın.

  3. Çalışma alanı depolama hesabınız için güvenlik duvarı desteği için ARM şablonundan ARM şablonunu kopyalayın ve düzenleyiciye yapıştırın.

  4. Kaydet'e tıklayın.

  5. Alanları gözden geçirin ve düzenleyin. Çalışma alanını oluşturmak için kullandığınız abonelik, bölge, çalışma alanı adı, alt ağ adları, mevcut sanal ağın kaynak kimliği gibi parametreleri kullanın.

    Alanların açıklaması için bkz . ARM şablonu alanları.

  6. Gözden Geçir ve Oluştur'a ve ardından Oluştur'a tıklayın.

Not

Çalışma alanı depolama hesabınızdaki genel ağ erişimi, özel uç noktalara gerek kalmadan sunucusuz işlem kaynaklarını desteklemek için Seçili sanal ağlardan ve IP adreslerinden etkinleştirildi ve Devre Dışı olarak ayarlanmadı. Çalışma alanı depolama hesabı yönetilen bir kaynak grubundadır ve depolama güvenlik duvarı yalnızca çalışma alanınıza sunucusuz bağlantılar için bir ağ bağlantısı yapılandırması (NCC) eklediğinizde güncelleştirilebilir. Özel uç noktaları kullanarak Azure Databricks sunucusuz işlemden erişimi etkinleştirmek istiyorsanız Azure Databricks hesap ekibinize başvurun.