如果你的 Azure Databricks 工作區是 部署在你自己的虛擬網路(VNet),你可以使用自訂路由,亦即 使用者自定義路由(UDR),以確保網路流量能正確地路由到你的工作區。 例如,如果你連接虛擬網路到本地網路,流量可能會經過本地網路,無法抵達Azure Databricks控制平面。 使用者定義的路由可解決此問題。
您需要為 VNet 中的每一種類型的出站連接設定 UDR。 你可以同時使用 Azure 服務標籤和 IP 位址,在使用者自訂路由上定義網路存取控制。 Databricks 建議使用 Azure 服務標籤來防止因 IP 變更而導致服務中斷。
配置使用者自訂路由,使用 Azure 服務標籤
Databricks 建議你使用 Azure 服務標籤,代表特定Azure服務的一組 IP 位址前綴。 Microsoft 管理服務標籤所涵蓋的位址前綴,並隨著位址變更自動更新服務標籤。 這有助於防止由於IP變更而導致的服務中斷,並消除了定期查閱和更新路由表中這些IP的需求。 不過,如果您的組織原則不允許服務標籤,您可以選擇性地 將路由指定為IP位址。
使用服務卷標時,使用者定義的路由應該使用下列規則,並將路由表與虛擬網路的公用和私人子網產生關聯。
| 來源 | 位址首碼 | 下一個躍點類型 |
|---|---|---|
| 預設 | AzureDatabricks |
網際網路 |
| 預設 | Storage |
網際網路 |
| 預設 | EventHub |
網際網路 |
注意
你可以選擇新增 Microsoft Entra ID 服務標籤,以便從 Azure Databricks 叢集進行 Microsoft Entra ID 認證到 Azure 資源。
如果你工作空間啟用了 Azure Private Link,則不需要 Azure Databricks 服務標籤。
Azure Databricks 服務標籤代表所需的連出連接至 Azure Databricks 控制平面、安全叢集連接(SCC) 以及 Azure Databricks 網頁應用程式的 IP 位址。 你也必須在網路安全群組中開啟 3306 埠以進行出口流量,才能連接到舊有的 Hive 元數據存儲。
Azure 儲存體 服務標籤代表成品 Blob 儲存體和日誌 Blob 儲存體的 IP 位址。 Azure 事件中樞 服務標籤代表登錄到 Azure Event Hub 所需的出站連線。
某些服務標籤藉由將IP範圍限制為指定的區域,以允許更細微的控制。 例如,Azure Databricks 工作區在美國西部區域的路由表可能如下:
| 名稱 | 位址首碼 | 下一個躍點類型 |
|---|---|---|
| adb服務標籤 | AzureDatabricks | 網際網路 |
| adb儲存器 | Storage.WestUS | 網際網路 |
| adb-eventhub | EventHub.WestUS | 網際網路 |
這很重要
如果你使用區域範圍服務標籤,請注意有些區域端點可能位於與主要儲存端點不同的 Azure 區域。 例如,日本東區的工作區在日本西區設有次級文物儲存區。 在這種情況下,你必須為次要區域新增服務標籤。 要檢視你工作區區域的 FQDN,請參見 Metastore、Artifact Blob 儲存、系統資料表儲存、日誌 Blob 儲存,以及 Event Hubs 端點 IP 位址。
若要取得使用者定義路由所需的服務標籤,請參閱 虛擬網路服務標籤。
使用IP位址設定使用者定義的路由
Databricks 建議你使用 Azure 服務標籤,但如果你的組織政策不允許服務標籤,你可以使用 IP 位址來定義使用者自訂路由的網路存取控制。
詳細資料會根據工作區是否 啟用安全叢集連線能力(SCC) 而有所不同:
- 如果已啟用工作區的安全叢集連線,您需要 UDR,才能讓叢集連線到控制平面中的安全叢集連線轉寄。 請確保為您的區域包含標示為 SCC 轉送 IP 的系統。
- 如果工作區已停用安全的叢集連線,則會有來自控制平面 NAT 的輸入連線,但從技術上而言,與該連線的低階 TCP SYN-ACK 是需要 UDR 的輸出數據。 請務必包含標示為 區域控制平面 NAT IP 的系統。
用戶定義的路由應該使用下列規則,並將路由表與虛擬網路的公用和私人子網產生關聯。
| 來源 | 位址首碼 | 下一個躍點類型 |
|---|---|---|
| 預設 | 控制平面 NAT IP(如果停用 SCC) | 網際網路 |
| 預設 | SCC 轉送 IP(如果已啟用 SCC) | 網際網路 |
| 預設 | 網頁應用程式IP | 網際網路 |
| 預設 | 中繼存放區IP | 網際網路 |
| 預設 | 工件 Blob 儲存體 IP | 網際網路 |
| 預設 | 記錄 Blob 儲存體 IP | 網際網路 |
| 預設 | 工作區儲存空間 IP - Blob 儲存體端點 | 網際網路 |
| 預設 | 工作區儲存空間 IP - ADLS(dfs)端點 |
網際網路 |
| 預設 | 事件中樞IP | 網際網路 |
如果您的工作空間啟用了 Azure Private Link,您的使用者自訂路由應使用以下規則,並將路由表關聯到虛擬網路的公有與私有子網。
| 來源 | 位址首碼 | 下一個躍點類型 |
|---|---|---|
| 預設 | 中繼存放區IP | 網際網路 |
| 預設 | 工件 Blob 儲存體 IP | 網際網路 |
| 預設 | 記錄 Blob 儲存體 IP | 網際網路 |
| 預設 | 事件中樞IP | 網際網路 |
要取得使用者自訂路由所需的 IP 位址,請使用 Azure Databricks regions 的表格與指令,具體如下: