本文介紹 Azure Databricks 帳戶和工作區之部署和管理的網路設定。
備註
當無伺服器工作負載連線到客戶資源時,Azure Databricks 會收取網路成本的費用。 請參閱 瞭解 Databricks 無伺服器網路成本。
Azure Databricks 結構概觀
Azure Databricks 會從 控制平面 和 計算平面運作。
- 控制平面包含 Azure Databricks 在您的 Azure Databricks 帳戶中管理的後端服務。 Web應用程式在控制平面中。
-
計算平面是處理數據的位置。 根據您正在使用的計算,計算平面有兩種類型。
- 針對傳統 Azure Databricks 計算,計算資源位於 Azure 訂用帳戶中,稱為 傳統計算平面。 這是指 Azure 訂用帳戶及其資源中的網路。 傳統計算平面資源位於工作區位於的區域。
- 針對無伺服器計算,無伺服器計算資源會在 Azure Databricks 帳戶的 無伺服器計算平面 中執行。 無伺服器計算平面資源位於與工作區傳統計算平面相同的雲端區域中。 您在建立工作區時選取此區域。
若要深入瞭解傳統計算和無伺服器計算,請參閱 計算。 如需其他架構資訊,請參閱 高階架構。
保護網路連線
Azure Databricks 預設會提供安全的網路,但如果您的組織有其他需求,則可以在下方圖表所示的不同網路連線之間設定網路連線功能。
- Azure Databricks 的使用者和應用程式:您可以設定功能來控制存取,並提供使用者與其 Azure Databricks 工作區之間的私人連線。 請參閱 Azure Databricks 網路功能的使用者。
- 控制平面和傳統計算平面:傳統計算資源 (例如叢集) 會部署在您的 Azure 訂用帳戶中,並連線到控制平面。 您可以使用傳統網路連線功能,在自己的虛擬網路中部署傳統計算平面資源,並啟用從叢集到控制平面的私人連線。 請參閱 傳統計算平面網路。
- 無伺服器計算平面和記憶體:您可以設定從無伺服器計算到記憶體的私人和專用連線。 請參閱 無伺服器計算平面網路。
您可以設定 Azure 儲存體網路功能 (例如私人端點) 來以保護傳統計算平面與 Azure 資源之間的連線。 請參閱 授與 Azure Databricks 工作區對 Azure Data Lake Storage 的存取權 ,以及 Lakehouse 同盟的網路建議。
您也可以啟用工作區儲存體帳戶的防火牆支援,以限制從授權的網路和連線存取帳戶。 請參閱 啟用工作區記憶體帳戶的防火牆支援。
控制平面與無伺服器計算平面之間的連線一律會透過 Azure 網路骨幹,而不是公用網際網路。
開始
瞭解 Databricks 網路架構並探索關鍵概念。
| 主題 | Description |
|---|---|
| Databricks 架構概觀 | 瞭解構成 Databricks 網路基礎的控制平面和計算平面架構。 |
| Azure Private Link | 使用 Azure Private Link 在您的網路與 Databricks 之間建立私人連線,以增強安全性。 |
| 了解資料傳輸和連線成本 | 瞭解資料傳輸定價,並最佳化網路連線功能的成本。 |
Connectivity
設定安全網路連線,為工作區提供入站存取,以及為運算資源提供出站連接。
| 主題 | Description |
|---|---|
| 前端網路 | 為透過 Web 介面和 API 連線到 Databricks 工作區的使用者設定網路存取控制。 |
| 前端私人連結 | 使用 Azure Private Link 啟用從公司網路到 Databricks 工作區的私人連線。 |
| 無伺服器計算平面網路 | 在無伺服器運算資源與資料來源和服務之間設定安全網路存取。 |
| Azure 資源的私密連線 | 建立從無伺服器計算到 Azure 儲存體、SQL 資料庫和其他 Azure 服務的私人連線。 |
| VNet 資源的私密連接 | 使用私人端點,將無伺服器計算連線到您自己的 VNet 中執行的資源。 |
| 管理私人端點規則 | 設定和管理無伺服器計算連線的私人端點規則。 |
| 傳統運算控制平面網路設定 | 瞭解部署在虛擬網路中的傳統計算資源的網路選項。 |
| 在 VNet 中部署 Azure Databricks | 在您自己的 Azure VNet 中裝載 Databricks 叢集,以增強網路控制 (VNet 插入式)。 |
| 對等虛擬網路 | 將您的 Databricks VNet 連線到 Azure 訂用帳戶中的其他 VNet,以存取其他資源。 |
| 將工作區連線到內部部署網路 | 使用 VPN 或 Azure ExpressRoute 將您的公司網路延伸至 Databricks。 |
| 後端私人連結 | 在傳統計算資源與 Databricks 控制平面之間建立私人連線。 |
| 使用者定義的佈線設定 | 設定使用者定義路由 (UDR) 以控制來自 Databricks 叢集的流量。 |
| 更新工作區網路設定 | 修改現有工作區的網路組態。 |
| 安全的叢集連線 | 啟用從叢集到控制平面的僅限輸出連線,且沒有開啟的輸入連接埠。 |
網路安全性
實施安全控制以限制和監控網路存取。
| 主題 | Description |
|---|---|
| 什麼是無伺服器輸出控制? | 限制來自無伺服器運算資源的輸出網路連線,以防止資料外流並強制執行合規性。 |
| 管理無伺服器輸出控制的網路原則 | 建立和管理網路原則,以定義允許從無伺服器計算輸出連線。 |
| IP 存取清單概觀 | 瞭解如何使用 IP 存取清單來控制哪些 IP 位址可以存取您的 Databricks 工作區。 |
| 工作區的 IP 存取清單 | 設定工作區層級 IP 存取控制,以限制來自核准網路的存取。 |
| 帳戶主控台的 IP 存取清單 | 設定適用於多個工作區的帳戶層級 IP 限制,以進行集中式安全性管理。 |
| 設定儲存體存取的服務端點原則 | 使用 Azure 服務端點來保護 Databricks 與 Azure 儲存體帳戶之間的連線。 |
| 啟用工作區儲存體帳戶的防火牆支援 | 設定 Azure 儲存體防火牆規則,以允許從 Databricks 傳統計算資源存取。 |
| 設定 Azure 儲存體防火牆以進行無伺服器計算存取 | 使用穩定的服務標籤來設定無伺服器計算連線的 Azure 儲存體防火牆規則。 |
| 網域名稱防火牆規則 | 設定網域型防火牆規則,以允許 Databricks 服務透過您的網路安全性控制。 |
| 防火牆支援的 ARM 範本 | 使用 Azure Resource Manager 範本,將工作區儲存體帳戶的防火牆設定自動化。 |