分享方式:


啟用 Azure Private Link 做為標準部署

本文說明如何使用 Azure Private Link ,在使用者與其 Databricks 工作區之間啟用私人連線,以及在傳統計算平面上的叢集與 Databricks 工作區基礎結構內控制平面的核心服務之間啟用私人連線。

注意

標準部署中的前端連線簡介

若要針對沒有公用因特網連線的用戶端支援 Azure Databricks Web 應用程式的私人前端連線,您必須新增瀏覽器驗證私人端點,以支援對 Azure Databricks Web 應用程式的單一登錄 (SSO) 登入回呼。 一般而言,這些使用者聯機會透過處理內部部署網路和 VPN 連線的 VNet,這稱為傳輸 VNet。

提示

如果您只實作後端 Private Link 連線,則不需要傳輸 VNet 或瀏覽器驗證私人端點,而且可以略過本節的其餘部分。

瀏覽器驗證私人端點是具有子資源類型的 browser_authentication私人連線。 它會從傳輸 VNet 裝載私人連線,允許Microsoft Entra 標識碼在登入正確的 Azure Databricks 控制平面實例之後重新導向使用者。

  • 如果您打算允許從使用者用戶端傳輸網路到公用因特網的連線,建議 新增瀏覽器驗證私人端點,但並非必要
  • 如果您打算不允許從用戶端傳輸網路到公用因特網的連線,則需要新增瀏覽器驗證私人端點。

瀏覽器驗證私人端點會在共用相同私人 DNS 區域的區域的所有工作區之間共用。 另請注意,某些公司 DNS 解決方案會有效地將您限製為一個區域私人端點來進行瀏覽器驗證。

重要

若要裝載 Web 驗證專用網設定,Databricks 強烈建議為每個區域建立稱為 私人 Web 驗證工作區的工作區 。 這可解決刪除工作區可能會影響該區域中其他工作區的問題。 如需更多內容和詳細數據,請參閱 步驟 4:建立私人端點以支援 SSO 以進行網頁瀏覽器存取

網路流程和網路物件圖表

下圖顯示私人連結標準部署一般實作中的網路流程:

Azure Private Link 網路流程。

下圖顯示網路物件架構:

Azure Private Link 網路對象架構。

若要將此與 Private Link 簡化部署進行比較,請參閱 網路流程和網路物件圖表

步驟 1:建立資源群組

  1. 在 [Azure 入口網站] 中,移至 [資源群組] 刀鋒視窗。
  2. 按兩下 [ 建立資源群組 ],為您的工作區建立資源群組。 設定 Azure 訂用帳戶、區域和資源群組的名稱。 按一下 [檢閱和建立],然後按一下 [建立]
  3. 重複上一個步驟,為您的 Private Link 資源建立資源群組,例如您的 Private Link 端點和區域。 區域不需要符合工作區區域。 使用符合您計劃用於傳輸 VNet 之區域的 Azure 區域。 如果工作區區域和傳輸 VNet 區域不相符,則區域之間傳輸數據需要額外的成本。

步驟 2:建立或準備工作區 VNet

您可能已經有將使用的 VNet,也可以特別針對 Azure Databricks 建立新的 VNet。

如需 VNet 的 IP 範圍需求和工作區的兩個必要子網,請參閱在 Azure 虛擬網路中部署 Azure Databricks 一文(VNet 插入)。

您用於 Azure Databricks 的 VNet 和子網 IP 範圍會定義一次可以使用的叢集節點數目上限。 請仔細選擇這些值,以符合您自己組織的網路需求,以及您預期一次搭配 Azure Databricks 使用的叢集節點上限。 請參閱 位址空間和叢集節點上限。

例如,您可以使用下列值來建立 VNet:

  • IP 範圍:請先移除預設 IP 範圍,然後新增 IP 範圍 10.28.0.0/23
  • 使用範圍 10.28.0.0/25建立子網public-subnet
  • 使用範圍 10.28.0.128/25建立子網private-subnet
  • 使用範圍 10.28.1.0/27建立子網private-link

步驟 3:布建 Azure Databricks 工作區和私人端點

使用下列設定部署新的 Azure Databricks 工作區:

若要使用這些設定來部署工作區,您有幾個選項,包括 Azure 入口網站 中的使用者介面、自定義範本(您可以在 UI 中套用、使用 Azure CLI 或 PowerShell),或 Terraform。 若要使用自定義範本來建立已啟用 Private Link 的工作區, 請使用此範本

無論您選擇哪種方法,在建立新的工作區時設定這些值:

  • 公用網路存取(適用於前端 Private Link)(在範本中為 publicNetworkAccess):控制私人連結前端使用案例的設定。
    • 如果您將此設定為 Enabled (預設值),則公用因特網上的使用者和 REST API 用戶端可以存取 Azure Databricks,不過您可以使用設定 工作區的 IP 存取清單,限制從核准的來源網路存取特定 IP 範圍。
    • 如果您將此設定為 Disabled,則不允許從公用因特網存取使用者。 如果設定為 [已停用],則只能使用 Private Link 連線來存取前端連線,而不是從公用因特網存取。 IP 存取清單在 Private Link 連線上無效。
    • 如果您要只使用後端 Private Link(沒有前端 Private Link),則必須將公用網路存取設定為 Enabled
  • 必要的 NSG 規則 (適用於後端 Private Link) (在範本中為 requiredNsgRules): 可能的值:
    • 所有規則 (預設值):此值在樣本中為 AllRules。 這表示您的工作區計算平面需要包含 Azure Databricks 規則的網路安全組,以允許從計算平面到控制平面的公用因特網連線。 如果您未使用後端 Private Link,請使用此設定。
    • 無 Azure Databricks 規則:此值在範本中為 NoAzureDatabricksRules:如果您使用後端 Private Link,請使用此值,這表示您的工作區計算平面不需要網路安全組規則來聯機到 Azure Databricks 控制平面。 如果您使用後端 Private Link,請使用此設定。
  • 啟用安全的叢集叢集連線能力(無公用IP)(在範本中為 ): 一律設定為 Disable Public Ip[是] (true),以啟用 安全的叢集連線

公用網路存取設定的組合(在範本publicNetworkAccess中)和必要的NSG規則(在範本requiredNsgRules中)會定義支援的 Private Link 類型。

下表顯示兩個主要 Private Link 使用案例的支援案例,這些案例為前端和後端。

案例 將公用網路存取設定為此值 將 [必要的 NSG 規則] 設定為此值 建立這些端點
前端或後端沒有 Private Link 已啟用 所有規則 n/a
建議的設定: 前端和後端 Private Link。 前端連線已鎖定,以要求 Private Link。 已停用 NoAzureDatabricksRules 一個用於後端(必要)。 一個用於前端(必要)。 此外,每個區域有一個瀏覽器驗證私人端點。
前端和後端 Private Link。 混合式前端連線允許 Private Link 或公用因特網,通常使用 設定工作區的 IP 存取清單。 如果您使用 Private Link 進行內部部署使用者存取,但需要允許特定的因特網 CIDR 範圍,請使用這個混合式方法。 其他範圍可用於 SCIM 或 Azure 機器學習 等 Azure 服務,或提供 JDBC、雲端自動化或管理工具的外部存取。 已啟用 NoAzureDatabricksRules 一個用於後端(必要)。 前端的一個端點(選擇性)。 此外,每個區域有一個瀏覽器驗證私人端點。
僅限前端 Private Link。 前端連線已鎖定,以要求 Private Link(已停用公用網路存取)。 後端沒有 Private Link。 這是不支援的案例。 這是不支援的案例。 這是不支援的案例。
僅限前端 Private Link。 混合式前端連線允許 Private Link 或公用因特網,或許使用 設定工作區的 IP 存取清單。 後端沒有 Private Link。 已啟用 所有規則 前端的一個端點(選擇性)。 此外,每個區域有一個瀏覽器驗證私人端點。
僅限後端 Private Link。 前端會使用公用因特網,或許使用 設定工作區的IP存取清單。 前端沒有 Private Link。 已啟用 NoAzureDatabricksRules 後端的一個端點(必要)。

設定這些工作區組態設定:

  • 將 [定價層] 設定[進階] (在範本中,此值為 premium
  • 如果您要啟用任何後端連線,請將 [停用公用IP(安全叢集連線] 設定[是] (在範本中,此值為 true)。
  • 將您自己 虛擬網絡 中的 [網络部署 Azure Databricks] 工作區設定為 [是] (在範本中,此值為 true)>

注意

一般而言,當您建立新的工作區時,您需要啟用 Private Link。 不過,如果您有從未擁有 Private Link 前端或後端存取的現有工作區,或者如果您使用公用網路存取的預設值(已啟用)和必要的 NSG 規則(所有規則),您可以選擇稍後新增前端 Private Link。 不過, 公用網路存取 仍會保持啟用,因此只有部分組態選項可供您使用。

有兩種方式可以建立工作區:

在 Azure 入口網站 UI 中建立工作區和私人端點

建立新的 Azure Databricks 工作區時,Azure 入口網站 會自動包含兩個 Private Link 字段(公用網路存取必要的 NSG 規則)。

  1. 若要使用您自己的 VNet 建立工作區(VNet 插入)。 若要設定和調整子網大小,請遵循在 Azure 虛擬網路中部署 Azure Databricks 中的 工作區程式(VNet 插入式), 但尚未按 [建立]。

    設定下列欄位:

    1. 將 [定價層] 設定premium ,否則您將看不到UI中的 [私人連結] 字段。
    2. 將 [使用>安全叢集連線能力部署 Azure Databricks 工作區] 設定[是]。
    3. 將您自己 虛擬網絡 中的 [部署 > Azure Databricks] 工作區設定[是]。
    4. 根據您在上一個步驟中建立的 VNet 來設定子網。 如需詳細資訊,請參閱 VNet 插入的文章
    5. 根據步驟 3:布建 Azure Databricks 工作區和私人端點中的案例數據表,設定 Private Link 工作區字段公用網路存取和必要的 Nsg 規則。

    下列螢幕快照顯示 Private Link 連線的四個最重要字段。

    Azure 入口網站 工作區的UI。

  2. 建立後端連線的私人端點:

    1. 尋找上一個螢幕快照所示字段下方的 [私人端點] 區段。 如果您沒有看到它們,您可能未將 定價層 設定為 進階

      私人端點 Azure 入口網站 清單,顯示為空白。

    2. 按一下 [+ 新增]

      Azure 入口網站 顯示在建立工作區內建立私人端點刀鋒視窗。

      用於建立私人端點的 [Azure 入口網站] 刀鋒視窗

      當您從工作區內建立私人端點時,不會顯示此物件類型的某些 Azure 字段,因為它們會自動填入且無法編輯。 某些欄位是可見的,但不需要編輯:

      • Azure Databricks 子資源 欄位是可見的,並會自動填入值 databricks_ui_api。 該子資源值代表工作區目前的 Azure Databricks 控制平面。 此子資源名稱值用於後端和前端連線的私人端點。

      • 設定資源群組、VNet 和子網之後,如果您使用 Azure 建立的內建 DNS 而不是自定義 DNS,私用 DNS 區域會自動填入值。

        重要

        Azure 可能不會自動選擇您想要使用的 私用 DNS 區域。 檢視 [私用 DNS 區域] 字段的值,並視需要加以修改。

    3. 設定 [ 位置 ] 以符合您的工作區區域。 請注意,對於後端私人端點區域和工作區區域必須相符,即使針對前端私人端點連線,區域也不需要相符。

    4. 虛擬網路 設定為工作區 VNet。

    5. 將子網設定為工作區中的 Private Link 特定子網。 如需相關信息,請參閱 網路需求

    6. 針對搭配內建 Azure DNS 的一般使用,請將 [與私人 DNS 區域整合] 設定為 []。 其餘的指示假設您選擇 [ ]。

      如果您的組織維護自己的自定義 DNS,您可能想要將此 設定為 [否],但在繼續之前,請先檢閱 此Microsoft關於 DNS 設定的文章。 如果您有問題,請連絡您的 Azure Databricks 帳戶小組。

    7. 按兩下 [ 確定 ] 以建立私人端點,並返回工作區建立刀鋒視窗。

    8. 只有一個私人端點可以直接從工作區建立流程內建立。 若要從傳輸 VNet 建立個別的前端私人端點,您需要建立額外的私人端點,但必須在部署工作區之後執行此動作。

      若要完成工作區的建立,請按兩下 [ 檢閱 + 建立 ],然後按兩下 [ 建立]。

      等候工作區部署完成,然後按兩下 [移至資源]。 這是 Azure Databricks 工作區 Azure 入口網站 物件。 請考慮將此資源釘選到您的 Azure 儀錶板,以便輕鬆存取。

  3. 建立額外的前端私人端點,將您的傳輸 VNet 連線到 Azure Databricks 控制平面:

    1. 從 Azure 入口網站 的工作區物件中,按兩下 [網络]。
    2. 按兩下 [ 私人端點連線 ] 索引標籤。
    3. 按兩下 [+ 私人端點]。
    4. 將資源群組設定為前端連線的資源群組。
    5. 針對區域,前端私人端點必須位於與傳輸 VNet 相同的區域中,但可以位於與工作區或控制平面不同的區域中。

使用自定義範本建立工作區,並選擇性地新增前端私人端點

如果您不想使用標準 Azure 入口網站 UI 來建立工作區,您可以使用範本來部署工作區。 範本可搭配以下內容使用:

Private Link 的全方位部署 ARM 範本會建立下列資源:

  • 網路安全性群組

  • 資源群組

  • VNet 包括工作區的子網(標準兩個子網)和 Private Link(其他子網)

  • Azure Databricks 工作區

  • 具有私人 DNS 區域的後端 Private Link 端點

    注意

    範本不會從傳輸 VNet 建立前端端點。 建立工作區之後,您可以手動新增該端點。

  1. 您可以直接從 範本的主頁面部署範本

  2. 若要直接部署它,請按兩下 [在 Azure 上部署]。 若要檢視來源,請按兩下 GitHub 上的 [流覽]。

    在這兩種情況下,請為範本設定下列參數值:

    • pricingTier 設定為 premium。 如果您將此保留為 standard,Azure 入口網站 會隱藏 Private Link 專屬的組態字段。
    • 將 [停用公用IP] 設定 enableNoPublicIptrue
    • 設定 publicNetworkAccessrequiredNsgRules 根據步驟 3:布建 Azure Databricks 工作區和私人端點中的 數據表
    • networkSecurityGroup將設定為工作區 NSG 的識別碼。
  3. 等候工作區部署。

  4. 流覽至代表工作區的新 **Azure Databricks 服務資源。 這是 Azure Databricks 工作區 Azure 入口網站 物件。 請考慮將此資源釘選到您的 Azure 儀錶板,以便輕鬆存取。

  5. (僅限前端 Private Link)建立傳輸 VNet 的前端連線:

    1. 在左側導覽中,按兩下 [設定>網络]。
    2. 按兩下 [ 私人端點連線 ] 索引標籤。
    3. 按兩下 [+ 私人端點]。
    4. 將資源群組設定為前端連線的資源群組。
    5. 針對區域,您的前端私人端點必須位於與傳輸 VNet 相同的區域中,但可以位於與工作區或控制平面不同的區域中。

步驟 4:建立私人端點以支援網頁瀏覽器存取的 SSO

重要

如果您未實作前端 Private Link,請略過此步驟。 此外,如果區域中的所有工作區都支援 Private Link 前端連線和用戶端網路 ( 傳輸 VNet) 允許公用因特網存取,則建議使用此步驟所描述 的設定,但選擇性

Azure Databricks Web 應用程式的用戶驗證會使用 OAuth 作為Microsoft Entra ID SSO 實作的一部分。 在驗證期間,用戶瀏覽器會連線到 Azure Databricks 控制平面。 此外,OAuth 流程需要來自Microsoft Entra標識碼的網路回呼重新導向。 如果您已設定前端 Private Link,但不需要其他設定,SSO 網路重新導向就會失敗。 這表示傳輸 VNet 中的使用者將無法向 Azure Databricks 進行驗證。 請注意,此問題適用於使用者透過前端連線登入 Web 應用程式 UI,但不適用於 REST API 連線,因為 REST API 驗證不會使用 SSO 回呼。

若要支援網頁瀏覽器驗證,如果您的用戶端網路 ( 傳輸 VNet不允許存取公用因特網,您必須建立瀏覽器驗證私人端點,以支援單一登錄 (SSO) 驗證回呼。 瀏覽器驗證私人端點是名為的子資源 browser_authentication的私人端點。 建立瀏覽器驗證私人端點會導致 Azure Databricks 在 SSO 登入期間,從 Microsoft Entra ID 自動設定回呼的 DNS 記錄。 DNS 變更預設會在與工作區 VNet 相關聯的私人 DNS 區域中進行。

對於具有多個工作區的組織,請務必瞭解正確設定的網路設定,對於每個私人 DNS 區域,每個 Azure Databricks 區域來說,都是一個瀏覽器驗證私人端點。 瀏覽器驗證私人端點會為共用相同私人 DNS 區域之區域中的所有 Private Link 工作區設定私人 Web 驗證。

例如,如果您在共用相同私人 DNS 區域的美國西部區域中有 10 個生產工作區,您將有一個瀏覽器驗證私人端點來支持這些工作區。

重要

  • 如果有人刪除裝載該區域瀏覽器驗證私人端點的工作區,它會中斷該區域中任何其他工作區的使用者 Web 驗證,而該工作區依賴該瀏覽器驗證私人端點,以及 SSO 回呼的相關 DNS 組態。
  • 為了降低工作區刪除的風險,並鼓勵生產工作區的標準工作區設定,Databricks 強烈建議您為每個區域建立 私人Web驗證工作區
  • 針對非生產環境部署,您可以省略其他私人 Web 驗證工作區來簡化實作。 在此情況下,您的 Web 驗證端點會連線到該區域中的其中一個其他工作區。

私人 Web 驗證工作區是您在與 Azure Databricks 工作區相同的區域中建立的工作區,其唯一目的是裝載瀏覽器驗證私人端點連線,從特定傳輸 VNet 到該區域的實際生產 Azure Databricks 工作區。 在其他所有方面,私人 Web 驗證工作區不會用於任何專案,例如,請勿將它用於執行作業或其他工作負載。 它不需要瀏覽器驗證私人端點以外的任何實際用戶數據或連入網路連線。 您可以將它設定為沒有使用者存取權。 藉由將工作區設定[已停用] 的 [公用網络存取],而且不會對工作區建立任何前端私人端點,使用者就不能存取使用者登入工作區。

若要可視化私人 Web 驗證工作區如何與其他物件搭配 Private Link 連線,請參閱 本文稍早的圖表。

私人 Web 驗證工作區可作為登入期間使用者 SSO 區域中所有工作區的回呼服務。 登入您的一般工作區完成之後,私人 Web 驗證工作區會一直未使用,直到下一次登入為止。

無論您是否選擇建立私人 Web 驗證工作區,您都必須在將裝載瀏覽器驗證私人端點目的地的區域中選擇一個工作區。 在 Azure 入口網站 中,選擇一個包含瀏覽器驗證私人端點的 Azure Databricks 工作區物件。 在運行時間,實際的網路存取權是從傳輸 VNet 到 Microsoft Entra 識別碼。 使用 Microsoft Entra 識別元成功登入之後,使用者的網頁瀏覽器會重新導向至正確的控制平面實例。

提示

如果您有多個共用私人 DNS 設定的工作區,Databricks 強烈建議您使用私人 Web 驗證工作區設定。 您可以選擇省略下列任何條件的私人 Web 驗證工作區:

  • 您區域中只有一個工作區,而且您確信稍後不會新增更多工作區。
  • 您確信不需要刪除任何工作區。
  • 非生產部署。

在這些情況下,請省略私人 Web 驗證工作區,而改為選擇其中一個生產工作區來裝載瀏覽器驗證私人端點。 不過,請注意最終刪除該工作區的風險,將會立即防止使用前端 Private Link 支援之區域中其他工作區的用戶驗證。

若要建立私人端點以支援 SSO:

  1. 建議但選擇性的步驟:建立私人 Web 驗證工作區來裝載 Web 驗證服務。

    1. 建立資源群組以裝載私人 Web 驗證工作區。 針對您已部署 Azure Databricks 工作區的每個區域建立一個。

    2. 針對您已部署 Azure Databricks 工作區的每個區域建立一個私人 Web 驗證工作區。

      • 您可以使用 Azure 入口網站、Azure CLI、Powershell 或 Terraform 來建立新的 Azure Databricks 工作區。
      • 將階層設定為 Premium。
      • 將工作區名稱設定為 WEB_AUTH_DO_NOT_DELETE_<region> ,以確保不會刪除它。
      • 將 [必要的 NSG 規則] 設定requiredNsgRules為 值NoAzureDatabricksRules
      • 將 [安全叢集連線能力] [NPIP]disablePublicIp) 設定為 [已啟用]。
      • 在與其他生產工作區相同的區域中建立工作區。
      • 使用 VNet 插入。 建立或使用不同於您用於主要工作區 VNet 之 VNet 的 VNet。
      • 將 [公用網络存取]publicNetworkAccess 設定為 [已停用]。
      • 請勿在此工作區上放置任何 Azure Databricks 工作負載。
      • 請勿新增瀏覽器驗證私人端點以外的任何私人端點。 例如,請勿使用databricks_ui_api子資源建立任何私人端點,這會啟用工作區的前端或後端連線,這是不需要的。

      如需使用 VNet 插入部署工作區的詳細數據,請參閱在 Azure 虛擬網路中部署 Azure Databricks(VNet 插入)。

      若要建立工作區,您可以使用標準 全能 ARM 範本 ,並遵循上述工作區設定的需求。

    3. 建立私人 Web 驗證工作區之後,請設定鎖定以防止刪除工作區。 流覽至 Azure 入口網站 中的 Azure Databricks 服務實例。 在左側導覽中,按兩下 [ 鎖定]。 按一下 [+新增]。 將 [鎖定類型] 設定為 [刪除]。 提供鎖定名稱。 按一下 [確定]

      鎖定工作區。

  2. 在 Azure 入口網站 中,流覽至代表您工作區的 Azure Databricks Service 實例。

    • 如果您使用私人 Web 驗證工作區,請移至私人 Web 驗證工作區的 Azure Databricks Service 實例物件。
    • 如果您未使用私人 Web 驗證工作區,請選擇一個將裝載 Web 驗證私人端點的工作區。 請記住,刪除該工作區將會刪除使用 Private Link 前端連線之該區域中所有其他工作區所需的 DNS 記錄。 在 Azure 入口網站 中,開啟此工作區的 [Azure Databricks 服務實例] 刀鋒視窗。
  3. 移至 [設定>網络>私人端點連線]。

  4. 按兩下 [ + 新增 ] 按鈕,為此工作區建立私人端點。

  5. Azure 入口網站 會顯示建立工作區流程內的 [建立私人端點] 刀鋒視窗。

    建立私人端點。

  6. 在 [ 資源 ] 步驟中,將 [ 目標子資源 ] 字段設定為 [browser_authentication]。

    請注意,[ 資源類型 ] 和 [資源] 字段會自動參考您要編輯的 Azure Databricks Service 工作區實例。

    設定瀏覽器驗證子資源

  7. 虛擬網絡 步驟中:

    設定私人端點 VNet。

    • 將虛擬網路設定為傳輸 VNet。
    • 將子網設定為傳輸 VNet 中的 Private Link 特定子網。 此子網不得為用於 VNet 插入的標準子網之一。 如果您尚未建立該子網,請立即在另一個瀏覽器視窗中執行。 如需相關信息,請參閱 網路需求
  8. DNS 步驟中

    設定私人端點 DNS。

    • 針對搭配內建 Azure DNS 的一般使用,請將 [與私人 DNS 區域整合] 設定為 []。

      如果您的組織維護自己的自定義 DNS,您可以將 [與私人 DNS 區域整合] 設定為 [],但請先閱讀此Microsoft關於 DNS 設定的文章,再繼續進行。 如果您有問題,請連絡您的 Azure Databricks 帳戶小組。

      本文的其餘指示假設您選擇 [ ]。

    • 確認 [ 資源群組 ] 字段已設定為正確的資源群組。 它可能已預先填入到正確的資源群組,但並不保證這麼做。 將它設定為與前端私人端點相同的 VNet。

      重要

      這是設定錯誤的常見步驟,因此請仔細執行此步驟。

  9. 按兩下 [ 確定 ] 以建立私人端點。

  10. 如果您與內建 Azure DNS 整合,您現在可以確認您的 DNS 已由您所建立的瀏覽器驗證私人端點自動設定。 例如,如果您查看私人 DNS 區域,您會看到一或多個名稱結尾為 .pl-auth的新A記錄。 這些記錄代表區域中每個控制平面實例的 SSO 回呼。 如果該區域中有多個 Azure Databricks 控制平面實例,將會有一筆 A 以上的記錄。

自訂 DNS

如果您使用自定義 DNS,您必須確定已設定適當的 DNS 組態以支援 SSO 驗證回呼。 如需指引,請連絡您的 Azure Databricks 帳戶小組。

如果您使用前端私人端點,且使用者從已啟用自定義 DNS 的傳輸 VNet 存取 Azure Databricks 工作區,您必須啟用工作區的私人端點 IP 位址,才能使用工作區 URL 存取。

您可能需要設定條件式轉送至 Azure,或在自定義 DNS 中建立工作區 URL 的 DNS A 記錄(內部部署或內部 DNS)。 如需如何啟用 Private Link 啟用服務存取的詳細指示,請參閱 Azure 私人端點 DNS 設定

例如,如果您直接將資源 URL 對應至內部 DNS 中的前端私人端點 IP 位址,您需要兩個專案:

  • 一個 DNS A 記錄會將每個工作區 URL (adb-1111111111111.15.azuredatabricks.net) 對應至前端私人端點 IP 位址。

  • 一或多個 DNS A 記錄會將 Microsoft Entra ID OAuth 流程回復 URL 對應至前端私人端點 IP 位址,例如 westus.pl-auth.azuredatabricks.net。 因為一個區域可能有一個以上的控制平面實例,您可能需要新增多個 A 記錄,每個控制平面實例各一筆。

    注意

    如果您使用自定義 DNS,若要取得一組 控制平面實例網域 ,您必須用於您想要使用的區域,請連絡 Azure Databricks 帳戶小組。 某些區域有多個控制平面實例。

除了工作區私人端點存取所需的個別 A 記錄之外,您還必須為每個區域設定至少一組 OAuth (browser_authentication) DNS 記錄。 這可在區域中所有工作區的 OAuth 存取之間提供私人用戶端存取,因為 browser_authentication 控制平面的私人端點會在該區域的工作區之間共用。

或者,如果允許對公用因特網的存取,您可以允許 OAuth 流量透過公用網路輸出,而且針對所有業務單位共用單一使用者對工作區私人端點 IP 位址會因為常見的 DNS 而造成問題。

備妥這些設定之後,您應該能夠存取 Azure Databricks 工作區,並啟動工作負載的叢集。

步驟 5:對工作區測試使用者 SSO 驗證

您必須測試新工作區的驗證。 針對初始驗證嘗試,請從 Azure 入口網站 內啟動工作區。 在工作區物件上,有一個按鈕 [啟動工作區],這很重要。 當您按下它時,Azure Databricks 會嘗試登入工作區,並布建您的初始工作區管理員用戶帳戶。 請務必測試驗證,以確保您的工作區正常運作。

  1. 按兩下 [啟動工作區] 按鈕

  2. 從傳輸 VNet 或對等互連的網路位置測試網路存取。 例如,如果您的內部部署網路具有傳輸 VNet 的存取權,您可以從內部部署網路檢查使用者 SSO。 確認從測試網路到傳輸子網的網路存取。

    • 如果您已啟用前端 Private Link,您必須測試從傳輸 VNet 成功進行驗證。 如果您已經使用 ExpressRoute 或 VPN 將內部部署網路連線到傳輸 VNet,而且如果您是身為可連線到傳輸 VNet 的可路由位置的使用者,則可以從目前的網路登入來測試 Azure Databricks 驗證。

    如果您不在可存取傳輸子網的網路位置,您可以在傳輸子網或可連線的網路位置中建立虛擬機,以測試連線能力。 例如,使用 Windows 10 虛擬機:

    1. 移至 Azure 入口網站 中的 [虛擬機] 刀鋒視窗。
    2. 在測試 VNet 和子網中建立 Windows 10 虛擬機。
    3. 使用 RDP 用戶端連線到它,例如 Microsoft 遠端桌面。
  3. 從 VM 或其他測試電腦,使用網頁瀏覽器連線到 Azure 入口網站 並啟動工作區。

    1. 在 Azure 入口網站 中,尋找 Azure Databricks 工作區物件。
    2. 按兩下 [啟動工作區] 以啟動視窗索引標籤,以使用您用來登入 Azure 入口網站 的使用者識別碼,將您登入 Azure Databricks。
    3. 確認登入成功。

驗證疑難解答

錯誤:如果您看到訊息「已設定的隱私權設定不允許透過您目前網路存取工作區 <your-workspace-id> 。 如需詳細資訊,請連絡您的系統管理員。

此錯誤可能表示:

  • 您正透過公用因特網連線到工作區(不是從 Private Link 連線)。
  • 您已將工作區設定為不支援公用網路存取。

檢閱本節中的先前步驟。

錯誤:「瀏覽器失敗,錯誤碼DNS_PROBE_FINISHED_NXDOMAIN

此錯誤表示使用者登入 Azure Databricks Web 應用程式失敗,因為它找不到目標區域中 Azure Databricks 控制平面實例的適當 DNS 組態。 找不到指向名稱的 <control-plane-instance-short-name>.pl-auth DNS 記錄。 您可能設定了瀏覽器驗證私人端點錯誤。 請仔細 檢閱步驟 4:建立私人端點以支援網頁瀏覽器存取 SSO 一節。 如果您有任何問題,請連絡 Azure Databricks 帳戶小組。

如果您新增了後端 Private Link 連線,請務必測試它是否正常運作。 只要登入 Azure Databricks Web 應用程式就不會測試後端連線。

  1. 如果您尚未登入 Azure Databricks 工作區,請使用工作區 URL 再次登入,或從 Azure 入口網站 中 Azure Databricks Service 實例的 [啟動工作區] 按鈕再次登入。

  2. 在左側導覽中,按兩下 [ 計算]

  3. 按兩下 [ 建立叢集],輸入叢集名稱,然後按兩下 [ 建立叢集]。 如需建立叢集的詳細資訊,請參閱 計算組態參考

    等候叢集似乎已成功啟動。 可能需要幾分鐘的時間。 重新整理頁面以取得最新狀態。

    如果無法啟動,請在 叢集頁面上按兩下 [事件記錄檔 ],並檢閱最新的專案。 針對典型的 Private Link 設定錯誤,事件記錄檔會在等候 10-15 分鐘之後,包含類似下列的錯誤:

    Cluster terminated. Reason: Control Plane Request Failure
    

    如果您收到此錯誤,請仔細重新檢閱本文中的指示。 如果您有任何問題,請連絡 Azure Databricks 帳戶小組。

如何刪除具有私人端點的 Azure Databricks 工作區

重要

如果您使用使用私人 Web 驗證工作區的建議但選擇性部署樣式,請務必永遠不要刪除工作區或瀏覽器驗證與工作區相關聯的私人端點。 請參閱 步驟 4:建立私人端點以支援 SSO 以進行網頁瀏覽器存取

如果 Azure 有任何私人端點,Azure 會封鎖刪除 Azure Databricks 工作區。

重要

您必須先刪除私人端點,才能嘗試刪除 Azure Databricks 工作區。

  1. 在 Azure 入口網站 中,開啟代表您工作區的 Azure Databricks Service 實例。
  2. 在左側導覽中,按兩下 [設定>網络]。
  3. 按兩下 [ 私人端點連線 ] 索引標籤。
  4. 如果您未使用私人 Web 驗證工作區,請檢查您的組織是否可能使用此工作區作為 OAuth CNAME 連結,而且可能會與其他使用相同控制平面實例的工作區共用。 若是如此,在您刪除可能依賴此工作區 CNAME 的任何私人端點之前,請設定其他工作區的網路物件,以確保 CNAME 仍指向另一個工作區的有效區域 A 記錄。 請參閱 步驟 4:建立私人端點以支援 SSO 以進行網頁瀏覽器存取
  5. 針對每個私人端點,選取數據列,然後按兩下 [移除 ] 圖示。 按兩下 [ ] 以確認移除。

完成後,您可以從 Azure 入口網站 刪除工作區。

檢查擱置核准或核准擱置中的私人端點

如果為傳輸 VNet 建立私人端點的 Azure 用戶沒有工作區的擁有者/參與者許可權,則具有工作區擁有者/參與者許可權的個別用戶必須在啟用之前手動核准私人端點建立要求。

線上狀態包括:

  • 已核准:端點已核准,不需要採取進一步的動作。
  • 擱置中:端點需要具有工作區擁有者/參與者許可權的使用者核准。
  • 已中斷連線:因為已刪除此連線的相關物件,因此端點已中斷連線。
  • 拒絕:端點遭到拒絕。

若要檢查連線狀態:

  1. 在 Azure 入口網站 中,流覽至工作區,其中包含您最近建立的一或多個私人端點。

  2. 按兩下 [網络]。

  3. 按兩下 [ 私人端點連線 ] 索引標籤。

  4. 在端點清單中,查看 [ 連線狀態 ] 資料行。

    • 如果它們都有 「已核准」的值連線狀態值,就不需要採取任何動作來核准私人端點。
    • 如果任何的值為 [ 擱置],則需要獲得工作區擁有者/參與者許可權的人員核准。
  5. 如果您有工作區的擁有者/參與者許可權:

    1. 選取擱置中的一或多個端點數據列。

    2. 如果您核准連線,請按兩下 [ 核准 ] 按鈕。

      如果您不核准連線,請按兩下 [ 拒絕 ] 按鈕。

    如果您沒有工作區的擁有者/參與者許可權,請連絡工作區管理員以核准連線。