本页介绍用于保护 Azure Databricks 无服务器计算平面中计算资源与客户资源之间的网络访问的工具。 若要详细了解控制平面和无服务器计算平面,请参阅 网络安全体系结构。
若要详细了解经典计算和无服务器计算,请参阅 “计算”。
注意
当无服务器负载连接到客户资源时,Azure Databricks 会对网络成本进行收费。 请参阅 了解 Databricks 无服务器网络成本。
无服务器计算平面网络概述
无服务器计算资源在由 Azure Databricks 管理的无服务器计算平面中运行。 帐户管理员可以在无服务器计算平面与其资源之间配置安全连接。 下图中将此网络连接标记为 2:
控制平面与无服务器计算平面之间的连接始终通过云网络主干而不是公共 Internet。 如需更多关于图中其他网络连接的安全功能配置的信息,请参阅网络。
什么是网络连接配置 (NCC)?
无服务器网络连接是使用网络连接配置 (NCC) 来管理的。 NCC 是用于大规模管理专用终结点创建和防火墙启用的帐户级区域构造。
帐户管理员在帐户控制台中创建 NCC,一个 NCC 可以附加到一个或多个工作区。 NCC 可启用防火墙和专用终结点:
-
按子网启用资源防火墙:NCC 支持 Azure Databricks 托管的稳定 Azure 服务子网,以便将服务终结点添加到资源防火墙,以便从无服务器工作负荷安全地访问 Azure 资源。 当 NCC 附加到工作区时,该工作区中的无服务器计算将使用其中一个网络通过服务终结点来连接 Azure 资源。 你可以在你的 Azure 资源防火墙上将这些网络加入允许列表。 网络规则会自动添加到工作区存储帐户。 请参阅为无服务器计算访问配置防火墙。 从 2026 年 4 月 7 日起,若要使用服务终结点连接到资源,必须允许为所有区域列出
AzureDatabricksServerless服务标记。 - 专用终结点:当你在 NCC 中添加专用终结点时,Azure Databricks 会创建对 Azure 资源的专用终结点请求。 在资源端接受请求后,将使用专用终结点从无服务器计算平面访问 Azure 资源。 请参阅 配置与 Azure 资源的专用连接。
注意
Azure Databricks 使用服务终结点、专用 IP 和公共 IP 根据资源的位置和类型连接到资源。 除非另有明确说明,否则这些连接方法普遍可用。