本頁提供逐步更新現有 Azure Databricks 工作空間虛擬網路(VNet)設定的指引。 這讓你能將工作空間從 Azure Databricks 管理的 VNet 遷移到你自己的 VNet,這個過程稱為 VNet 注入,或修改已注入 VNet 工作區的 VNet 設定。
為什麼要將工作區移轉至 VNet 插入式部署
將工作區移轉至 VNet 插入式部署可提供重要的網路自訂和安全性功能:
- 完整網路控制:定義自訂路由、防火牆規則,以及使用如 Azure ExpressRoute 等服務與本地網路的連接。
- 增強的安全性:實作進階安全性功能,例如網路安全性群組 (NSG),並根據組織的原則限制輸出流量。
- 彈性 IP 定址:控制 VNet 和子網路 IP 位址範圍,以避免公司網路內發生衝突。
影片操作指南
這支影片示範如何更新你的工作空間網路設定以使用 VNet 注入(21 分鐘)。
開始之前
- 請確認你的工作空間沒有設定 Azure 負載平衡器。 如果這適用於您的工作區,請聯絡您的客戶團隊尋求協助。
- 若要防止中斷,請終止工作區中所有執行中的叢集和工作。 您可以在更新完成後重新啟動它們。
這很重要
如果您停用已遷移工作區的公共網路存取,請分兩個步驟完成遷移:
- 設定「 允許公共網路存取 」為 啟用。
- 工作空間遷移完成並完全運作後,請關閉公共網路存取。
從被管理的 VNet 遷移至 VNet 注入
請依照以下步驟,將部署在 Azure Databricks 管理的 VNet 工作區,轉換為你自己 VNet 內注入 VNet 的工作區。
此實作方法使用具有 NAT 閘道的 ARM 範本。 若要使用 Azure 門戶介面操作的說明,請參閱 升級受管理工作區至 VNet 注入工作區。
步驟 1:建立網路安全性群組 (NSG)
在Azure入口網站中,搜尋並選擇 部署自訂模板。
按一下編輯器中的 [建立您自己的範本]。
將下列 ARM 範本貼到編輯器中,然後按一下 儲存。
{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "location": { "type": "string", "defaultValue": "[resourceGroup().location]", "metadata": { "description": "Location for all resources." } }, "NSGName": { "type": "string", "defaultValue": "databricks-nsg-01", "metadata": { "description": "The name for the Network Security Group." } } }, "resources": [ { "apiVersion": "2020-05-01", "type": "Microsoft.Network/networkSecurityGroups", "name": "[parameters('NSGName')]", "location": "[parameters('location')]" } ], "outputs": { "existingNSGId": { "type": "string", "value": "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('NSGName'))]" } } }在 [基本] 索引標籤上,設定下列參數:
- 訂閱:選取包含您工作區的訂閱。
- 資源群組:選取與工作區相同的資源群組,而不是受控資源群組。
- 位置:確保這符合您工作區的區域。
按一下檢閱 + 建立,然後按一下建立。 請記下部署輸出中的
existingNSGId。
步驟 2:建立新的 VNet
此範本部署包含私有與公有子網的 VNet,以及用於外出連接的 NAT 閘道。 你必須同時設定 VNet 參數和 NAT 閘道參數。
- 請返回部署自訂範本。
- 在範本搜尋框中,找到Azure快速入門範本
databricks-vnet-for-vnet-injection-with-nat-gateway。 - 按一下 選取範本。
- 在 [基本] 索引標籤上,設定下列參數:
- 訂閱: 選取包含工作區的訂閱。
- 資源群組: 選取與工作區相同的資源群組。
- NSG 識別碼: 貼上您在步驟 1 中建立之 NSG 的資源識別碼。
- VNet 名稱: 為您的新 VNet 提供唯一名稱。
- VNet CIDR、私人子網路 CIDR、公用子網路 CIDR:定義位址範圍。 確保它們足夠大,可以滿足您的工作空間需求。
- NAT 閘道器名稱: 請為新的 NAT 閘道器提供名稱。
- 公共 IP 名稱: 提供與 NAT 閘道相關聯的公共 IP 位址名稱。
- 按一下檢閱 + 建立,然後按一下建立。
備註
請確定 VNet 名稱 在資源群組內是唯一的。 如果名稱已存在,範本會嘗試修改現有的 VNet,而不是建立新的 VNet。
步驟 3:更新工作區
在 Azure 入口網站,前往你的 Azure Databricks 工作空間。
在左側邊欄的「自動化」下,按一下「匯出範本」。
等到範本載入完畢,然後按一下 部署。
在自訂部署頁面上,按一下 編輯範本。
在編輯器中,進行下列變更:
- 將 設定
apiVersion為2026-01-01。 - 如果有以下參數,請從該
properties區段移除:vnetAddressPrefixnatGatewayNamepublicIpName
- 將下列參數
resources.properties.parameters新增至 ,以步驟 2 中的新 VNet 和子網路名稱取代預留位置值。
{ "customPrivateSubnetName": { "value": "your-private-subnet-name" }, "customPublicSubnetName": { "value": "your-public-subnet-name" }, "customVirtualNetworkId": { "value": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group>/providers/Microsoft.Network/virtualNetworks/<your-vnet-name>" } }- 將 設定
點選 [儲存]。
備註
請參閱 「替換VNet注入工作區中的現有子網 」,以在部署後新增子網路,例如啟用私有端點。
將 VNet 插入的工作區移至新的 VNet
請遵循從 受控 VNet 移轉至 VNet 插入 中的每個步驟,將現有的 VNet 插入工作區移至新的 VNet。
備註
如果你的工作空間透過 後端 Private Link 連線 連接,那它會與舊 VNet 綁定。 遷移到新 VNet 後,舊的 Private Link 連線中斷了。 你必須手動刪除舊的私有端點及其對應的 私用 DNS 區域,才能為新的 VNet 建立新的 Private Link 連線。
替換已注入 VNet 的工作區中的現有子網路
使用下列步驟,將現有的子網路替換為已注入 VNet 的工作區中的新子網路。
步驟 1:建立新子網路
- 在 Azure 入口網站,前往你的工作區頁面,點選 VNet 連結。
- 在 [VNet] 頁面中,按一下左側邊欄中的 [子網路]。
- 按一下 + 子網路 以建立新的子網路。
- 根據您的需求更新 Name 和 IPv4 欄位。
- 按一下 [新增 ] 以建立子網路。
步驟 2:更新工作區
- 請遵循 步驟 3:更新工作區 中的指示來編輯工作區範本。
- 將 變更
apiVersion為2026-01-01。 - 使用新的子網路名稱更新下列一或兩個欄位:
customPrivateSubnetNamecustomPublicSubnetName
- 確保所有其他欄位保持不變。
- 按一下 儲存 以 套用變更。
測試驗證
完成任何工作區網路設定更新之後,請使用下列測試矩陣來確認您的工作區如預期般運作:
| Test | Steps |
|---|---|
| 新叢集如預期般運作 | 建立新的叢集並執行作業 |
| 現有叢集如預期般運作 | 使用更新之前建立的叢集執行作業 |
備註
大多數變更會在十五分鐘內生效。 請等待工作區回到 作用中 狀態,再執行驗證測試。
備註
Terraform 不支援。