默认情况下,Databricks 提供安全的网络环境。 可以配置其他网络功能来控制对工作区的访问、控制平面与计算平面之间的安全连接,以及保护与数据源的连接。 有关网络体系结构的概述,请参阅 网络安全体系结构。
注释
当无服务器负载连接到客户资源时,Azure Databricks 会对网络成本进行收费。 请参阅 了解 Databricks 无服务器网络成本。
开始
了解 Databricks 网络体系结构并探索关键概念。
| 主题 | Description |
|---|---|
| 网络安全体系结构 | 了解构成 Databricks 网络基础的控制平面和计算平面体系结构。 |
| Azure 专用链接 | 使用 Azure 专用链接在网络与 Databricks 之间建立专用连接,以提高安全性。 |
| 了解数据传输和连接成本 | 了解数据传输定价并优化网络连接功能的成本。 |
Connectivity
配置安全网络连接,以便对工作区的入站访问和从计算资源的出站连接。
| 主题 | Description |
|---|---|
| 前端网络 | 为通过 Web 界面和 API 连接到 Databricks 工作区的用户配置网络访问控制。 |
| 前端专用链接 | 使用 Azure 专用链接启用从企业网络到 Databricks 工作区的专用连接。 |
| 无服务器计算平面网络 | 配置无服务器计算资源与数据源和服务之间的安全网络访问。 |
| 与 Azure 资源的专用连接 | 建立从无服务器计算到 Azure 存储、SQL 数据库和其他 Azure 服务的专用连接。 |
| 与 VNet 中的资源的专用连接 | 使用专用终结点将无服务器计算连接到自己的 VNet 中运行的资源。 |
| 管理专用终结点规则 | 为无服务器计算连接配置和管理专用终结点规则。 |
| 经典计算平面网络 | 了解虚拟网络中部署的经典计算资源的网络选项。 |
| 在 VNet 中部署 Azure Databricks | 在自己的 Azure VNet 中托管 Databricks 群集,以增强网络控制(VNet 注入)。 |
| 对等虚拟网络 | 将 Databricks VNet 连接到 Azure 订阅中的其他 VNet,以访问其他资源。 |
| 将工作区连接到本地网络 | 使用 VPN 或 Azure ExpressRoute 将企业网络扩展到 Databricks。 |
| 后端专用链接 | 在经典计算资源和 Databricks 控制平面之间建立专用连接。 |
| 用户定义的路由设置 | 配置用户定义的路由(UDR),以控制来自 Databricks 群集的流量流。 |
| 更新工作区网络配置 | 修改现有工作区的网络配置。 |
| 安全群集连接 | 启用从群集到控制平面的仅限出站连接,且没有打开的入站端口。 |
网络安全
实施安全控制来限制和监视网络访问。
| 主题 | Description |
|---|---|
| 什么是无服务器出口控件? | 限制来自无服务器计算资源的出站网络连接,以防止数据外泄并强制实施符合性。 |
| 管理无服务器出口控制的网络策略 | 创建和管理用于定义允许从无服务器计算的出口连接的网络策略。 |
| IP 访问列表概述 | 了解如何使用 IP 访问列表来控制哪些 IP 地址可以访问 Databricks 工作区。 |
| 工作区的 IP 访问列表 | 配置工作区级 IP 访问控制以限制来自已批准的网络的访问。 |
| 帐户控制台的 IP 访问列表 | 设置跨多个工作区应用的帐户级 IP 限制,以便进行集中式安全管理。 |
| 配置用于存储访问的服务终结点策略 | 使用 Azure 服务终结点来保护 Databricks 和 Azure 存储帐户之间的连接。 |
| 为工作区存储帐户启用防火墙支持 | 配置 Azure 存储防火墙规则以允许从 Databricks 经典计算资源进行访问。 |
| 为无服务器计算访问配置 Azure 存储防火墙 | 使用稳定的服务标记为无服务器计算连接配置 Azure 存储防火墙规则。 |
| 域名防火墙规则 | 配置基于域的防火墙规则,以允许 Databricks 服务通过网络安全控制。 |
| 防火墙支持的 ARM 模板 | 使用 Azure 资源管理器模板自动配置工作区存储帐户的防火墙配置。 |