为Azure资源配置Azure网络安全外围

本页介绍如何使用 Azure 门户配置Azure网络安全外围(NSP),以控制从无服务器计算到Azure资源的访问。

Azure资源的网络安全外围概述

Azure网络安全外围(NSP)是一项Azure本机功能,可为 PaaS 资源创建逻辑隔离边界。 通过将存储帐户或数据库等资源与 NSP 相关联,可以使用简化的规则集集中管理网络访问。 这取代了手动管理单个 IP 地址或子网 ID 的复杂列表的需求。

NSP 支持从无服务器 SQL 仓库、作业、笔记本、Lakeflow Spark 声明性管道和模型服务终结点进行访问。

主要优势

使用 NSP 技术处理 Azure Databricks 的无服务器出站流量,可以提高您的安全防护,同时显著减少运维开销。

益处 Description
成本节约 通过服务终结点发送的流量保留在Azure主干上,不会产生数据处理费用。
简化管理 AzureDatabricksServerless 服务标记是全局的,涵盖所有Azure Databricks区域。 它包括表示服务终结点的特殊 IP 和Azure Databricks NAT IP。 Azure Databricks与Azure资源之间的所有通信都通过Azure主干路由。 若要限制对特定区域中 IP 的访问,请将区域名称追加到服务标记,例如 AzureDatabricksServerless.EastUS2。 有关受支持的Azure区域的完整列表,请参阅 Azure Databricks 区域
集中式访问控制 在单个 NSP 配置文件中管理多个资源类型(包括存储、密钥保管库和数据库)的安全策略。

支持的Azure服务

支持将 AzureDatabricksServerless 服务标记用于以下Azure服务的 NSP 入站访问规则:

  • Azure Storage(包括 ADLS Gen2)
  • Azure SQL 数据库
  • Azure Cosmos DB
  • Azure Key Vault

要求

  • 必须是Azure Databricks帐户管理员。
  • 必须对要配置的Azure资源具有“参与者”或“所有者”权限。
  • 必须有权在Azure订阅中创建网络安全外围资源。
  • Azure Databricks工作区和Azure资源应位于同一Azure区域中,以实现最佳性能,并避免跨区域数据传输费用。

步骤 1:创建网络安全边界并记下配置文件标识符

  1. 登录到 Azure 门户

  2. 在顶部的搜索框中,键入 网络安全外围 并从结果中选择它。

  3. 单击 + 创建

  4. “基本信息 ”选项卡上,输入以下信息:

    • Subscription:选择Azure订阅。
    • 资源组:选择现有资源组或创建新资源组。
    • 名称:输入 NSP 的名称(例如 databricks-nsp)。
    • 区域:选择 NSP 的区域。 这应与 Azure Databricks 工作区的区域和你的 Azure 资源所在的区域相匹配。
    • 配置文件名称:输入配置文件名称(例如 databricks-profile)。

  5. 单击“查看 + 创建”,然后单击“创建”

  6. 创建 NSP 后,进入 Azure portal 页面。

  7. 在左侧边栏中,转到 “设置>配置文件”。

  8. 创建或选择个人资料(例如 databricks-profile)。

  9. 复制资源 ID以获取配置文件。 如果计划以编程方式关联资源,则需要此 ID。

    小窍门

    将配置文件 ID 保存在安全位置。 如果想要使用 Azure CLI 或 API(而不是Azure Portal)关联资源,则稍后需要用到它。

步骤 2:在转换模式下将资源与 NSP 相关联

必须将您希望从 Azure Databricks 无服务器计算访问的每个 Azure 资源与 NSP 配置文件关联。 此示例演示如何关联Azure Storage帐户,但相同的步骤也适用于其他Azure资源。

  1. 请在 Azure 门户中访问您的网络安全防护边界。
  2. 在左侧边栏中,转到“设置”下的“资源”。
  3. 单击“ + 添加>将资源与现有配置文件关联”。
  4. 选择您在步骤 1 创建的配置文件(例如databricks-profile)。
  5. 单击关联
  6. 在资源选择窗格中,按资源类型进行筛选。 例如,若要关联Azure Data Lake Storage Gen2帐户,请按 Microsoft.Storage/storageAccounts 进行筛选。
  7. 从列表中选择你的资源。
  8. 单击窗格底部的 “关联 ”。

验证转换模式:

  1. 在 NSP 中,转到“设置>”(或“关联资源”)。
  2. 在列表中找到存储帐户。
  3. 验证 “访问模式” 列是否显示 “转换”。 这是默认模式。

注释

转换模式首先评估 NSP 规则。 如果没有 NSP 规则与传入请求匹配,系统会回退到资源的现有防火墙规则。 这样,就可以测试 NSP 配置,而不会中断现有的访问模式。

Step 3:为Azure Databricks无服务器计算添加入站访问规则

必须在 NSP 配置文件中创建入站访问规则,以允许 Azure Databricks 无服务器计算的流量访问 Azure 资源。

  1. 请在 Azure 门户中访问您的网络安全防护边界。
  2. 在左侧边栏中,转到 “设置>配置文件”。
  3. 选择配置文件(例如 databricks-profile, )。
  4. “设置” 下,单击“ 入站访问规则”。
  5. 单击“ + 添加”。
  6. 配置规则:
    • 规则名称:输入描述性名称(例如 allow-databricks-serverless, )。
    • 源类型:选择 服务标记
    • 允许的源:选择 AzureDatabricksServerless
  7. 单击 添加

小窍门

AzureDatabricksServerless服务标记涵盖所有Azure Databricks出站 IP,包括服务终结点 IP 和 NAT IP,所有通信都通过Azure主干路由。 由于标记自动更新,因此在Azure Databricks添加新 IP 范围时,无需手动管理 IP 地址或更新规则。

步骤 4:验证配置

配置 NSP 后,验证Azure Databricks无服务器计算是否可以访问Azure资源并监视 NSP 活动。

无服务器计算中测试访问权限

  1. 请在Azure门户中找到您的Azure资源。

  2. 转到 “安全性 + 网络>网络”。

  3. 验证资源是否显示与网络安全边界的关联。

  4. 验证状态是否显示 转换模式

  5. 查看与配置文件关联的入站规则,以确认 AzureDatabricksServerless 该规则已列出。

  6. 在Azure Databricks工作区中,运行测试查询以确认无服务器计算可以访问资源。 例如,若要测试对 ADLS Gen2 存储帐户的访问:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    如果查询成功,则 NSP 配置正常工作。

监视 NSP 活动

若要监视 NSP 规则允许或拒绝哪些访问尝试:

  1. 请在Azure门户中找到您的Azure资源。
  2. 转到 “监视>诊断”设置
  3. 单击“+ 添加诊断设置”。
  4. 选择要监视的日志类别。 对于Azure Storage帐户,请选择:
    • StorageRead
    • StorageWrite
  5. 选择目标:
    • Log Analytics 工作区(建议用于查询和分析)
    • 存储帐户 (用于长期存档)
    • 事件中心 (用于流式传输到外部系统)
  6. 单击“ 保存”。

小窍门

诊断日志显示哪些访问尝试是由 NSP 规则而非资源防火墙规则进行匹配的。 这有助于在迁移到强制模式之前验证配置。 在过渡模式下,日志记录指示每个请求是被 NSP 规则允许,还是回退到资源防火墙。

了解 NSP 访问模式

NSP 支持两种访问模式: 转换模式强制模式。 对于大多数用例,Azure Databricks建议无限期地保持过渡模式。

转换模式(建议)

  • 首先评估 NSP 规则,如果没有 NSP 规则匹配,则回退到资源防火墙规则
  • 允许将 NSP 与现有网络配置一起使用
  • 与服务终结点、经典计算配置和公共访问模式兼容

强制模式(不建议大多数客户使用)

  • 绕过资源防火墙规则,阻止与 NSP 规则不匹配的所有访问。 这不仅影响Azure Databricks,还会影响通过资源防火墙允许的任何其他服务 ,这些服务必须已载入 NSP 才能继续工作。
  • 如果使用服务终结点从任何 Azure Databricks 工作区访问存储,请保持处于过渡模式。

警告

保持过渡模式,以保持与现有网络设置的兼容性,同时受益于简化的规则管理。 请参阅 网络安全外围限制

后续步骤

  • Last updated on