設定工作區的IP存取清單

本文說明如何設定 Azure Databricks 工作區的 IP 存取清單。 本文討論您可以使用 Databricks CLI 執行的最常見工作。 您也可以使用 IP存取清單 API。

需求

• 此功能需要 進階方案。

• IP 存取清單僅支援因特網通訊協定第 4 版 （IPv4） 位址。

• 如果您在工作區上啟用 安全的叢集連線 ，計算平面用來存取控制平面的任何公用IP都必須新增至允許清單，或者您必須設定 設定後端 Private Link。 否則，傳統計算資源無法啟動。

  例如，如果您在使用 VNet 插入的工作區上啟用安全的叢集連線，Databricks 建議您的工作區具有穩定的輸出公用 IP。 該公用IP和任何其他IP都必須出現在允許清單中。 請參閱 使用安全叢集連線時的輸出IP位址。 或者，如果您使用 Azure Databricks 管理的 VNet，並設定受控 NAT 閘道來存取公用 IP，這些 IP 必須出現在允許清單中。 如需詳細資訊，請參閱 Databricks 社群文章。

檢查您的工作區是否已啟用IP存取清單功能

若要檢查工作區是否已啟用IP存取清單功能：

databricks workspace-conf get-status enableIpAccessLists

啟用或停用工作區的IP存取清單功能

在 JSON 要求主體中，將 指定 enableIpAccessLists 為 true [已啟用] 或 false [已停用]。

databricks workspace-conf set-status --json '{
  "enableIpAccessLists": "true"
}'

新增 IP 存取清單

啟用IP存取清單功能且沒有工作區的允許清單或封鎖清單時，會允許所有IP位址。 將IP位址新增至允許清單會封鎖不在清單上的所有IP位址。 請務必將計算平面用來存取控制平面的任何公用IP新增至允許清單。 請仔細檢閱變更，以避免非預期的存取限制。

IP 存取清單具有標籤，這是清單的名稱，以及清單類型。 清單類型為 ALLOW （允許清單） 或 BLOCK （區塊清單，這表示即使在允許清單中也排除）。

例如，若要新增允許清單：

databricks  ip-access-lists create --json '{
 "label": "office",
 "list_type": "ALLOW",
 "ip_addresses": [
   "1.1.1.1"
  ]
}'

列出IP存取清單

databricks ip-access-lists list

更新IP存取清單

至少指定要更新的下列其中一個值：

• label — 此列表的標籤。
• list_typeALLOW — （允許清單） 或 BLOCK （封鎖清單，這表示即使在允許清單中也排除）。
• ip_addresses — IP 位址和 CIDR 範圍的 JSON 陣列，做為字串值。
• enabled — 指定是否啟用此清單。 傳遞 true 或 false。

回應是您傳入的物件複本，其中包含標識符和修改日期的其他字段。

例如，若要停用清單：

databricks  ip-access-lists update <list-id> --json '{
  "enabled": "false"
}'

刪除IP存取清單

若要移除 IP 存取：

databricks  ip-access-lists delete <list-id>