設定供無伺服器計算存取的防火牆

2025-05-01

此頁面說明如何使用 Azure Databricks 帳戶主控台 UI 設定無伺服器計算的 Azure 記憶體防火牆。您也可以使用網路連線設定 API。

若要設定無伺服器計算存取的私人端點，請參閱設定 Azure 資源的私人連線。

重要

自 2024 年 12 月 4 日起，Azure Databricks 開始針對與客戶資源連線的無伺服器工作負載收取相關網路費用。您目前被收取每小時私人端點資源的費用。私人連結連線數據處理的費用將被無限期免除。會逐步推出其他網路成本的計費，包括：

公眾連線到您的資源，例如，透過NAT閘道。
數據傳輸費用，例如無伺服器計算和目標資源位於不同區域時。

費用不會回溯計算。

請參閱瞭解 Databricks 無伺服器網路成本。

為無伺服器計算啟用防火牆概觀

透過網路連線設定 (NCC) 來管理無伺服器網路連線。帳戶管理員會在帳戶控制台中建立 NCC，而 NCC 可以連結至一或多個工作區。 NCC 是帳戶層級的區域建構，可用來大規模管理私人端點建立和防火牆啟用。

NCC 會將 Azure 資源的網路身分識別定義為預設規則。當 NCC 連結至工作區時，該工作區中的無伺服器計算會使用其中一個網路來連線到 Azure 資源。您可以在 Azure 資源防火牆中允許列出這些網路。針對非記憶體 Azure 資源防火牆，請連絡您的帳戶小組以瞭解如何使用穩定的 NAT IP。

無伺服器 SQL 倉儲、作業、筆記本、Lakeflow 宣告式管線，以及模型服務端點均支援 NCC 防火牆的啟用。

您也可以限制工作區儲存帳戶的存取權限至授權網路，包括無伺服器計算。連接 NCC 時，其網路規則會自動新增至工作區儲存體帳戶。請參閱為您的工作區儲存體帳戶啟用防火牆支援。

如需 NCC 的詳細資訊，請參閱什麼是網路連線設定 (NCC)？。

跨區域儲存體存取的成本影響

只有在 Azure 資源位於與 Azure Databricks 工作區相同的區域時，才會套用防火牆。對於來自 Azure Databricks 無伺服器計算的跨區域流量 (例如，工作區位於美國東部區域，ADLS 儲存體位於西歐)，Azure Databricks 會透過 Azure NAT Gateway 服務來路由傳送流量。

需求

您的工作區必須列在進階版方案中。

您必須是 Azure Databricks 帳戶管理員。
每個 NCC 最多可連結至 50 個工作區。

每個 Azure Databricks 帳戶在每個區域最多可以有 10 個 NCC。 NCC 提供共用穩定的IP CIDR 區塊，而不是每個組態的相異IP區塊，而且這些IP範圍是區域特定的。如需支援的區域清單，請參閱 Azure Databricks 區域。
您必須能夠 WRITE 存取 Azure 記憶體帳戶的網路規則。

步驟 1：建立網路連線設定並複製子網路識別碼

Databricks 建議在同一業務單位的工作區以及共用相同區域和連線屬性的工作區之間共用 NCC。例如，如果部分工作區使用儲存體防火牆，而其他工作區使用私人連結的替代方法，請針對這些使用案例使用單獨的 NCC。

網路設定

身為帳戶管理員，請前往帳戶主控台。
在側邊欄中按一下 [雲端資源]。
按一下 [網路連線設定]。
按一下 [新增網路連線設定]。
輸入 NCC 的名稱。
選擇區域必須與您的工作區所在區域相符。
按一下新增。
在 NCC 清單中，點擊您的新 NCC。
在 [網路身分識別] 底下的 [預設規則] 中，按一下 [檢視全部]。
在對話方塊中，按一下 [複製子網路] 按鈕。

步驟 2：將 NCC 連結至工作區

您可以將 NCC 連結至與 NCC 位於相同區域的最多 50 個工作區。

若要使用 API 將 NCC 連結至工作區，請參閱帳戶工作區 API。

在帳戶主控台的側邊欄中，按一下 [工作區]。
點擊工作區的名稱。
按下 [更新工作區]。
在 [網络連線設定] 欄位中，選取您的 NCC。如果看不到，請確認您已針對工作區和 NCC 選取相同的區域。
點選 「更新」。
請等候 10 分鐘，讓變更生效。
重新啟動工作區中任何正在執行的無伺服器計算資源。

如果您使用這項功能來連線到工作區儲存體帳戶，則您的設定已完成。網路規則會自動新增到工作區儲存帳戶。若有額外儲存帳戶，請繼續至下一步。

步驟 3：鎖定您的儲存體帳戶

如果您尚未將 Azure 記憶體帳戶的存取限制為僅允許列出的網路，請立即這麼做。您不需要針對工作區儲存體帳戶執行此步驟。

建立儲存體防火牆後，也會影響傳統計算平面與資源的連線。您還必須新增網路規則，以從傳統計算資源連線到儲存體帳戶。

前往 Azure 入口網站。
請瀏覽到用於資料來源的儲存帳戶。
在左側導覽列中，按一下 [網路]。
在 [公用網路存取] 欄位中，檢查該值。根據預設，此值為 [已從所有網路啟用]。將此值變更為 [從選取的虛擬網路和 IP 位址中啟用]。

步驟 4：新增 Azure 儲存體帳戶網路規則

您不需要針對工作區儲存體帳戶執行此步驟。

在文本編輯器中，複製並貼上下列腳本，並以 Azure 帳戶的值取代參數：

# Define parameters

$subscription = `<YOUR_SUBSCRIPTION_ID>` # Replace with your Azure subscription ID or name
$resourceGroup = `<YOUR_RESOURCE_GROUP>` # Replace with your Azure resource group name
$accountName = `<YOUR_STORAGE_ACCOUNT_NAME>` # Replace with your Azure storage account name
$subnets = `<SUBNET_NAME_1>` # Replace with your actual subnet names

# Add network rules for each subnet
foreach ($subnet in $subnets) {
   az storage account network-rule add --subscription $subscription `
      --resource-group $resourceGroup `
      --account-name $accountName `
      --subnet $subnet
}

啟動 Azure Cloud Shell。
在 Azure Cloud Shell 中，使用編輯器建立以擴展名結尾 .ps1 的新檔案：
```
vi ncc.ps1
```
將步驟 1 中的文稿貼到編輯器中，然後按 Esc、輸入 :wq，然後按 Enter。
執行下列命令以執行您的文稿：
```
./ncc.ps1
```
執行所有命令之後，您可以使用 Azure 入口網站來檢視您的儲存體帳戶，並確認 虛擬網路 表格中有代表新子網的項目。
提示
- 新增儲存體帳戶網路規則時，請使用網路連線 API 來擷取最新的子網路。
- 請避免在本機儲存 NCC 資訊。
- 請忽略端點狀態數據行或網路清單下方警告中「許可權不足」的提及。它們只會指出您沒有讀取 Azure Databricks 子網路的權限，但不會干擾該 Azure Databricks 無伺服器子網路連絡 Azure 儲存體的能力。
若要確認您的儲存體帳戶會在 Azure 入口網站中使用這些設定，請瀏覽至儲存體帳戶中的 [網路]。確認 [公用網路存取] 設定為 [從選取的虛擬網路和 IP 位址啟用]，且允許的網路列在 [虛擬網路] 區段中。

共用方式為