配置工作区的 IP 访问列表
本文介绍了如何配置 Azure Databricks 工作区的 IP 访问列表。 本文讨论了可以通过 Databricks CLI 执行的最常见任务。 也可以使用 IP 访问列表 API。
要求
此功能需要高级计划。
IP 访问列表仅支持 Internet 协议版本 4 (IPv4) 地址。
如果你在工作区上启用安全群集连接,则必须将计算平面用来访问控制平面的任何公共 IP 添加到允许列表,或者必须配置后端专用链接。 否则,经典计算资源无法启动。
例如,如果你在使用 VNet 注入的工作区上启用安全群集连接,则 Databricks 会建议你为工作区使用一个稳定的出口公共 IP。 该公共 IP 和任何其他 IP 都必须出现在允许列表中。 请参阅使用安全群集连接时的出口 IP 地址。 或者,如果你使用 Azure Databricks 托管的 VNet 并将托管 NAT 网关配置为访问公共 IP,则那些 IP 必须存在于允许列表中。 有关详细信息,请参阅此 Databricks Community 帖子。
检查工作区是否启用了 IP 访问列表功能
若要检查工作区是否启用了 IP 访问列表功能:
databricks workspace-conf get-status enableIpAccessLists
启用或禁用工作区的 IP 访问列表功能
在 JSON 请求正文中,将 enableIpAccessLists 指定为 true(已启用)或 false(已禁用)。
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
添加 IP 访问列表
如果启用了 IP 访问列表功能,而工作区没有允许列表或阻止列表,则允许所有 IP 地址。 如果将 IP 地址添加到允许列表,会阻止该列表中未包含的所有 IP 地址。 确保将计算平面用来访问控制平面的任何公共 IP 添加到允许列表。 请仔细查看更改,避免意外的访问限制。
IP 访问列表有一个标签,该标签是列表的名称,也是列表类型。 此列表类型是 ALLOW(允许列表)或 BLOCK(阻止列表,这意味着即使在允许列表中也要排除)。
例如,添加允许列表:
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.1"
]
}'
列出 IP 访问列表
databricks ip-access-lists list
更新 IP 访问列表
至少指定以下值之一进行更新:
label- 此列表的标签。list_type-ALLOW(允许列表)或BLOCK(阻止列表,这意味着即使在允许列表中也要排除)。ip_addresses- 一个 IP 地址和 CIDR 范围的 JSON 数组,作为字符串值。enabled- 指定是否启用了该列表。 传递true或false。
响应是你传入的对象的副本,其中包含其他的 ID 和修改日期字段。
例如,若要禁用列表,请运行:
databricks ip-access-lists update <list-id> --json '{
"enabled": "false"
}'
删除 IP 访问列表
若要删除 IP 访问权限:
databricks ip-access-lists delete <list-id>
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈