本页介绍用于自定义 Azure Databricks 控制平面与经典计算平面之间的网络访问的功能。 控制平面与经典计算平面之间的连接始终通过云网络主干而不是公共 Internet。
若要详细了解控制平面和计算平面,请参阅 网络安全体系结构。
若要详细了解经典计算和无服务器计算,请参阅 “计算”。
本部分中的功能侧重于建立和保护 Azure Databricks 控制平面与经典计算平面之间的连接。 此连接在下图中标记为 2:
启用安全群集连接
Databricks 建议在 Azure Databricks 工作区上启用安全群集连接。 启用安全群集连接后,经典计算平面中的计算资源将通过中继连接到控制平面。 这意味着客户虚拟网络没有开放端口,并且计算平面资源没有公共 IP 地址。 这样,无需配置安全组中的端口或网络对等互连,从而简化网络管理。 若要详细了解如何部署具有安全群集连接的工作区,请参阅 启用安全群集连接。
在你自己的虚拟网络中部署工作区
默认情况下,每个 Azure Databricks 部署都会在 Azure 订阅中创建一个锁定的虚拟网络 (VNet)。 经典计算资源是在该虚拟网络中创建的。 你可以改为在自己的客户管理的虚拟网络中创建新的工作区(也称为 VNet 注入),这样就可以:
- 使用服务终结点或专用终结点保护从 Azure Databricks 到 Azure 存储的连接。 请参阅授予 Azure Databricks 工作区对 Azure Data Lake Storage 的访问权限。
- 使用网络安全组规则限制来自虚拟网络的出站流量。
- 利用由用户定义的路由,保护从 Azure Databricks 到本地网络的连接。 请参阅将 Azure Databricks 工作区连接到本地网络和用户定义的 Azure Databricks 路由设置。
要在自己的虚拟网络中部署工作区,请参阅在 Azure 虚拟网络中部署 Azure Databricks(VNet 注入)。 还可以将 Azure Databricks 虚拟网络与其他 Azure 虚拟网络对等互连,请参阅将虚拟网络对等互连。
启用从控制平面到经典计算平面的专用连接
Azure 专用链接可提供从 Azure VNet 和本地网络到 Azure 服务的专用连接,而无需公开流向公用网络的流量。 通过启用 Azure 专用链接在控制平面中启用从经典计算平面到 Azure Databricks 工作区核心服务的专用连接。
有关详细信息,请参阅 Azure 专用链接概念。