Databricks 預設提供安全的網路環境。 你可以設定額外的網路功能來控制工作區的存取、確保控制平面與計算平面之間的連結,並保護與資料來源的連線。 關於網路架構的概述,請參見 網路安全架構。
備註
當無伺服器工作負載連接到客戶資源時,Azure Databricks 會收取網絡使用費用。 請參閱 瞭解 Databricks 無伺服器網路成本。
開始
瞭解 Databricks 網路架構並探索關鍵概念。
| 主題 | Description |
|---|---|
| 網路安全架構 | 瞭解構成 Databricks 網路基礎的控制平面和計算平面架構。 |
| Azure Private Link | 使用 Azure Private Link 在您的網路與 Databricks 之間建立私人連線,以增強安全性。 |
| 了解資料傳輸和連線成本 | 瞭解資料傳輸定價,並最佳化網路連線功能的成本。 |
Connectivity
設定安全網路連線,為工作區提供入站存取,以及為運算資源提供出站連接。
| 主題 | Description |
|---|---|
| 前端網路 | 為透過 Web 介面和 API 連線到 Databricks 工作區的使用者設定網路存取控制。 |
| 前端私人連結 | 使用 Azure Private Link 啟用從公司網路到 Databricks 工作區的私人連線。 |
| 無伺服器計算平面網路 | 在無伺服器運算資源與資料來源和服務之間設定安全網路存取。 |
| Azure 資源的私密連線 | 建立從無伺服器計算到 Azure 儲存體、SQL 資料庫和其他 Azure 服務的私人連線。 |
| VNet 資源的私密連接 | 使用私人端點,將無伺服器計算連線到您自己的 VNet 中執行的資源。 |
| 管理私人端點規則 | 設定和管理無伺服器計算連線的私人端點規則。 |
| 傳統運算平面網路 | 瞭解部署在虛擬網路中的傳統計算資源的網路選項。 |
| 在 VNet 中部署 Azure Databricks | 在您自己的 Azure VNet 中裝載 Databricks 叢集,以增強網路控制 (VNet 插入式)。 |
| 對等虛擬網路 | 將您的 Databricks VNet 連線到 Azure 訂用帳戶中的其他 VNet,以存取其他資源。 |
| 將工作區連線到內部部署網路 | 使用 VPN 或 Azure ExpressRoute 將您的公司網路延伸至 Databricks。 |
| 後端私人連結 | 在傳統計算資源與 Databricks 控制平面之間建立私人連線。 |
| 使用者定義的佈線設定 | 設定使用者定義路由 (UDR) 以控制來自 Databricks 叢集的流量。 |
| 更新工作區網路設定 | 修改現有工作區的網路組態。 |
| 安全的叢集連線 | 啟用從叢集到控制平面的僅限輸出連線,且沒有開啟的輸入連接埠。 |
網路安全性
實施安全控制以限制和監控網路存取。
| 主題 | Description |
|---|---|
| 什麼是無伺服器輸出控制? | 限制來自無伺服器運算資源的輸出網路連線,以防止資料外流並強制執行合規性。 |
| 管理無伺服器輸出控制的網路原則 | 建立和管理網路原則,以定義允許從無伺服器計算輸出連線。 |
| IP 存取清單概觀 | 瞭解如何使用 IP 存取清單來控制哪些 IP 位址可以存取您的 Databricks 工作區。 |
| 工作區的 IP 存取清單 | 設定工作區層級 IP 存取控制,以限制來自核准網路的存取。 |
| 帳戶主控台的 IP 存取清單 | 設定適用於多個工作區的帳戶層級 IP 限制,以進行集中式安全性管理。 |
| 設定儲存體存取的服務端點原則 | 使用 Azure 服務端點來保護 Databricks 與 Azure 儲存體帳戶之間的連線。 |
| 啟用工作區儲存體帳戶的防火牆支援 | 設定 Azure 儲存體防火牆規則,以允許從 Databricks 傳統計算資源存取。 |
| 設定 Azure 儲存體防火牆以進行無伺服器計算存取 | 使用穩定的服務標籤來設定無伺服器計算連線的 Azure 儲存體防火牆規則。 |
| 網域名稱防火牆規則 | 設定網域型防火牆規則,以允許 Databricks 服務透過您的網路安全性控制。 |
| 防火牆支援的 ARM 範本 | 使用 Azure Resource Manager 範本,將工作區儲存體帳戶的防火牆設定自動化。 |