傳統計算平面網路
本文介紹自定義 Azure Databricks 控制平面與傳統計算平面之間的網路存取功能。 控制平面與無伺服器計算平面之間的連線一律會透過雲端網路骨幹,而不是公用因特網。
若要深入瞭解控制平面和計算平面,請參閱 Azure Databricks 架構概觀。
若要深入瞭解傳統計算和無伺服器計算,請參閱 計算類型。
本節中的功能著重於建立和保護 Azure Databricks 控制平面與傳統計算平面之間的連線。 此連線標示為下圖 2:
如需設定 Azure Databricks 與 Azure 記憶體之間 Azure 網路功能的詳細資訊,請參閱 將 Azure Databricks 工作區存取權授與 Azure Data Lake Storage Gen2。
啟用安全的叢集連線能力
Databricks 建議您在 Azure Databricks 工作區上啟用安全的叢集連線。 啟用安全叢集連線時,傳統計算平面中的計算資源會透過轉寄連接到控制平面。 這表示客戶虛擬網路沒有開放埠,計算平面資源沒有公用IP位址。 這可藉由移除在安全組或網路對等互連上設定埠的需求,來簡化網路管理。 若要深入瞭解如何部署具有安全叢集連線的工作區,請參閱 保護叢集連線。
在您自己的虛擬網路中部署工作區
根據預設,每個 Azure Databricks 部署都會在您的 Azure 訂用帳戶中建立鎖定的虛擬網路 (VNet)。 傳統計算資源會在該虛擬網路中建立。 您可以選擇改為在您自己的客戶管理的虛擬網路中建立新的工作區(也稱為 VNet 插入),讓您能夠:
- 使用服務端點或私人端點保護從 Azure Databricks 到 Azure 記憶體的連線。 請參閱 授與 Azure Databricks 工作區對 Azure Data Lake Storage Gen2 的存取權。
- 使用網路安全組規則限制來自虛擬網路的輸出流量。
- 從 Azure Databricks 保護內部部署網路的連線,並利用使用者定義的路由。 請參閱 將 Azure Databricks 工作區連線到內部部署網路 和 Azure Databricks 的使用者定義路由設定。
若要在您自己的虛擬網路中部署工作區,請參閱在 Azure 虛擬網路中部署 Azure Databricks (VNet 插入式)。 您也可以將 Azure Databricks 虛擬網路與其他 Azure 虛擬網路對等互連,請參閱 對等虛擬網路。
啟用從控制平面到傳統計算平面的私人連線
Azure Private Link 提供從 Azure VNet 和內部部署網路到 Azure 服務的私人連線,而不會將流量公開至公用網路。 您可以啟用 Azure Private Link,在控制平面中啟用從傳統計算平面到 Azure Databricks 工作區核心服務的私人連線。
如需詳細資訊,請參閱 啟用 Azure Private Link 後端和前端連線。