共用方式為

設定 Databricks Apps 的網路功能

Databricks Apps 支援更細緻的網路控制,協助您保護及管理應用程式與因特網和內部資源通訊的方式。 您可以使用 IP 存取清單、前端專用連線和網路原則的組合來設定輸入 (傳入) 和輸出 (傳出) 流量規則。

網路架構

Azure Databricks 會在無伺服器計算平面上部署應用程式,並直接接收流量。 這類似於其他路由最佳化服務,例如模型服務和向量搜尋。

連接過程的運作方式如下:

  1. 對 Azure Databricks 應用程式的初始使用者要求,會藉由控制層啟動 OAuth 驗證,以驗證工作階段並授權存取該應用程式。
  2. 驗證成功後,所有後續請求都會直接路由到無伺服器計算平面,而無需遍歷控制平面。

針對無伺服器計算平面設定的網路安全性原則會套用至 Databricks Apps 流量。 這包括 IP 存取清單和前端專用連線設定。

進入控制

使用下列功能來限制從公用因特網存取 Azure Databricks 工作區和應用程式。

  • IP存取清單: 在工作區層級啟用 IP 存取清單,將工作區和應用程式存取限制為已知且受信任的 IP 範圍。 只允許來自已設定IP範圍的流量。 如需詳細資訊,請參閱 設定工作區的IP存取清單

  • 前端私有連線: 透過 Azure Private Link 連線路由傳送輸入流量,以安全地透過 VNet 存取應用程式。

    您必須為網域設定 databricksapps.com 條件式 DNS 轉送,以確保透過私人連線正確的名稱解析。 否則,應用程式網域的 DNS 查詢可能會解析為公用 IP 位址,而不是私人端點。 關於設定說明,請參見 「配置入站專用連結」。

    Databricks Apps 不支援舊有區域 URL,因為它們不支援 OAuth,而 OAuth 是應用程式認證的必要條件。 詳情請參閱 Legacy 區域網址

出口控制

若要控制來自您應用程式的輸出流量,請建立網路連線設定 (NCC),並將網路原則套用至裝載應用程式的工作區。

網路連線設定

使用 網路連線設定 ,將應用程式安全地連線到 Azure 服務。 NCC 提供穩定的子網路識別碼,您可以將其新增至儲存體帳戶防火牆,以明確允許從應用程式和其他無伺服器計算存取。

若要進一步限制私人目的地的輸出流量,請設定 Azure 資源的無伺服器私人端點,或透過 VNet 中的 Azure 負載平衡器路由傳送流量。

網路原則

使用 網路原則 對 Databricks 應用程式和其他無伺服器工作負載強制執行輸出限制。 當您需要符合控制輸出連線的組織或合規性需求時,這會很有用。

備註

網路原則僅適用於進階層。

如果您的應用程式需要套用網路政策:

  • 必須限制對一組特定已核准外部網域的存取
  • 需要防止意外的數據外流
  • 必須遵守限制輸出因特網流量的安全性或合規性標準

設定網路原則的最佳做法

請遵循下列指導方針,以避免意外中斷,並確保您的應用程式可以存取所需的資源:

  • 只允許必要的目的地。 為您的應用程式需要的公用或私人資源新增完整網域名稱(FQDN)。
  • 視需要包含套件存放庫。 如果您的應用程式安裝公用的 Python 或 Node.js 套件,您可能需要允許 Python 套件的網域,例如 pypi.org,或 Node 套件的網域,例如 registry.npmjs.org。 您的應用程式可能需要其他或不同的網域,視您的特定相依性而定。 沒有這些存放庫,依賴 requirements.txtpackage.json 的應用程式組建可能會失敗。
  • 使用乾跑模式來驗證您的網路原則。 此模式會模擬原則強制執行,而不會封鎖流量。
  • 檢閱使用 system.access.outbound_network 數據表的拒絕連線嘗試。 這可協助您識別可能需要允許的網域。 請參閱 檢查拒絕記錄
  • 新增任何必要的外部網域,例如未在 Unity 目錄中註冊的受信任 API 或 Azure 記憶體帳戶。

加密和流量路由

Databricks Apps 會使用專用路由路徑和多個加密層來保護網路通訊並保護資料。

流量路由

Azure Databricks 控制平面、計算平面、其他 Azure Databricks 資源和雲端服務之間的流量會透過雲端提供者的全域網路傳輸,而且不會周遊公用因特網。

使用者與 databricksapps.com 之間的流量可能會通過公用網際網路,這取決於使用者的網路位置。 若要避免公用網際網路路由,請設定前端私人連線。

傳輸中的加密

與應用程式之間的所有網路通訊都經過加密:

  • 用戶流量: 用戶之間以及 databricksapps.com 的通訊使用傳輸層安全性(TLS)1.3 加密。
  • 控制平面流量: Azure Databricks 控制平面與計算平面之間的通訊會使用雙向 TLS (mTLS) 進行管理作業,包括應用程式建立、更新和刪除。

靜態加密

Databricks Apps 會使用下列方法加密儲存的資料:

  • 申請代碼: Azure Databricks 會將應用程式程式碼儲存在工作區檔案中,並使用與筆記本和其他工作區檔案相同的加密。
  • 運算儲存: 應用程式會使用使用 AES-256 加密的暫時主機作業系統磁碟和雲端供應商的預設加密實作。
  • Last updated on