配置一個 Azure 網路安全邊界以適用於 Azure 資源

本頁說明如何設定 Azure 網路安全邊界（NSP），以控制無伺服器運算對 Azure 資源的存取，透過 Azure 入口網站。

Azure 資源網絡安全邊界概覽

Azure 網路安全邊界（NSP）是 Azure 原生的功能，能為您的 PaaS 資源建立邏輯隔離邊界。 透過將儲存帳號或資料庫等資源與 NSP 關聯，你可以用簡化的規則集集中管理網路存取。 這取代了手動管理複雜單一 IP 位址或子網路 ID 清單的需求。

NSP 支援從無伺服器 SQL 倉庫、工作、筆記本、Lakeflow Spark 宣告式管線及模型服務端點存取。

主要優點

使用 Azure Azure Databricks 無伺服器外撥流量的 NSP 能提升您的安全態勢，同時大幅降低營運負擔：

優點	Description
節省成本	透過服務端點傳送的流量會保留在 Azure 骨幹網，且不會產生資料處理費用。
簡化管理	使用 AzureDatabricksServerless 服務標籤來管理全局存取。 若要限制特定 Azure 區域內對無伺服器運算的存取，請在服務標籤後加上區域名稱，例如。 AzureDatabricksServerless.EastUS2 欲了解完整的支援 Azure 區域清單，請參見 Azure Databricks 區域。
集中式存取控制	在單一 NSP 設定檔中管理跨多種資源類型的安全政策——包括儲存、金鑰庫與資料庫。

擴大服務支援

安全地將無伺服器運算連接到各種 Azure 服務：

• 資料與分析：Azure 儲存（含 ADLS Gen2）、Azure SQL 資料庫、Synapse Analytics、Cosmos DB 及 MariaDB
• 安全性與應用程式：金鑰庫、應用程式服務與認知服務
• 訊息傳遞與 DevOps：事件中心、服務匯流排與容器登錄檔

需求

• 您必須是 Azure Databricks 帳戶管理員。
• 你必須對你想設定的 Azure 資源擁有貢獻者或擁有者權限。
• 你必須有權限在 Azure 訂閱中建立網路安全邊界資源。
• 為了達到最佳效能，你的 Azure Databricks 工作空間和 Azure 資源應該位於同一 Azure 區域，並避免跨區域的資料傳輸費用。

步驟 1：建立網路安全邊界並記錄 Profile ID

1. 登入 Azure 入口網站。

2. 在上方的搜尋框輸入「 網路安全邊界」 ，從結果中選擇。

3. 單擊 + 建立。

4. 在基本標籤上，輸入下列資訊：

   • 訂閱：選取您的 Azure 訂閱。
   • 資源群組：選取現有的資源群組或建立新的資源群組。
   • 姓名：輸入你的 NSP 名稱（例如）。 databricks-nsp
   • 地區：選擇你的 NSP 地區。 這應該會符合你的 Azure Databricks 工作區區域和 Azure 資源的區域。
   • 個人資料名稱：輸入個人資料名稱（例如， databricks-profile）。

5. 按一下 [檢閱 + 建立]，然後按一下 [建立]。

6. NSP 建立後，在 Azure 入口網站中導航到它。

7. 在左側邊欄，前往 設定>設定檔。

8. 建立或選擇您的個人檔案（例如， databricks-profile）。

9. 請複製設定檔的資源 ID。 如果你打算用程式化方式關聯資源，這個 ID 會很重要。

   小提示

   將個人檔案ID儲存在安全位置。 如果你想用 Azure CLI 或 API 而不是透過 Azure Portal 來關聯資源，之後會需要這個資訊。

步驟二：將您的資源與 NSP 的過渡模式關聯

你必須將每個你想從 Azure Databricks 伺服器無運算存取的 Azure 資源，與你的 NSP 設定檔關聯起來。 這個範例展示了如何關聯 Azure Storage 帳號，但同樣的步驟也適用於其他 Azure 資源。

1. 在 Azure 入口網站中導航到你的網路安全邊界。
2. 在左側側邊欄，點到設定下的資源。
3. 點擊 + 新增>資源與現有個人檔案關聯。
4. 選擇你在步驟 1 建立的個人檔案（例如， databricks-profile）。
5. 按一下 [關聯]。
6. 在資源選擇面板中，依資源類型篩選。 例如，要關聯 Azure Data Lake Storage Gen2 帳戶，請依Microsoft.Storage/storageAccounts進行篩選。
7. 從列表中選擇你的資源。
8. 在窗格底部點選 「關聯」 按鈕。

驗證轉換模式：

1. 在 NSP 中，請前往 設定>資源 （或 相關資源）。
2. 在清單中找到你的儲存帳戶。
3. 請確認 存取模式 欄位是否顯示 轉換。 這是預設模式。

備註

過渡模式會先評估 NSP 規則。 若沒有 NSP 規則與收到的請求匹配，系統會返回使用該資源原來的防火牆規則。 這讓你能在不干擾現有存取模式的情況下測試你的 NSP 配置。

步驟 3：為 Azure Databricks 無伺服器運算新增入站存取規則

你必須在 NSP 設定檔中建立一個入站存取規則，允許 Azure Databricks 無伺服器計算流量進入你的 Azure 資源。

1. 在 Azure 入口網站中導航到你的網路安全邊界。
2. 在左側邊欄，前往 設定>設定檔。
3. 選擇你的個人檔案（例如， databricks-profile）。
4. 在 設定 中點選 「入站存取規則」。
5. 按一下 [+ 新增]。
6. 設定規則：
   • 規則名稱：輸入描述性名稱（例如， allow-databricks-serverless）。
   • 來源類型：選擇 服務標籤。
   • 允許的來源：選擇 AzureDatabricksServerless。
7. 按下 新增。

小提示

AzureDatabricksServerless服務標籤會自動涵蓋所有 Azure 區域的 Azure Databricks 無伺服器運算 IP 範圍。 Azure Databricks 新增 IP 範圍時，你不需要手動管理 IP 位址或更新規則。

步驟4：驗證配置

設定 NSP 後，確認 Azure Databricks 無伺服器運算是否能存取你的 Azure 資源並監控 NSP 活動。

測試無伺服器運算的存取

1. 在 Azure 入口網站中導覽到你的 Azure 資源。

2. 請前往Security + networking>網路。

3. 確認該資源是否與你的網路安全邊界有關聯。

4. 確認狀態顯示為 轉換模式。

5. 查看與你個人檔案相關的入站規則，以確認 AzureDatabricksServerless 該規則是否被列出。

6. 在你的 Azure Databricks 工作區中，執行測試查詢以確認無伺服器運算是否能存取你的資源。 例如，要測試對 ADLS Gen2 儲存帳號的存取權限：

   SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;
   

   如果查詢成功，代表你的 NSP 設定正在正常運作。

監控 NSP 的活動

為了監控 NSP 規則允許或拒絕哪些存取嘗試：

1. 在 Azure 入口網站中導覽到你的 Azure 資源。
2. 請前往 監控>診斷設定。
3. 按下 [+ 新增診斷設定]。
4. 選擇你想監控的日誌類別。 對於 Azure Storage 帳戶，請選擇：
   • 存儲讀取
   • StorageWrite
5. 選擇目的地：
   • Log Analytics 工作空間 （推薦用於查詢與分析）
   • 儲存帳號 （用於長期存檔）
   • Event Hub （用於串流至外部系統）
6. 點選 [儲存]。

小提示

診斷日誌顯示哪些存取嘗試被 NSP 規則與資源防火牆規則匹配。 這有助於你在切換到強制模式前驗證你的設定。 在轉換模式下，日誌會顯示每個請求是否被 NSP 規則允許，或是回退到資源防火牆。

切換至強制模式（選用）

在徹底測試 NSP 設定於過渡模式並確認所有預期存取模式正常運作後，您可以選擇切換到強制模式以提升安全性。

1. 在 Azure 入口網站中導航到你的網路安全邊界。
2. 請前往 設定>資源。
3. 從清單中選擇你的資源。
4. 將 存取模式 從 過渡 模式改為 強制存取模式。
5. 點選 [儲存]。

警告

只有強制模式嚴格執行 NSP 規則。 若嘗試存取與 NSP 規則不符，即使資源防火牆規則允許，也會被拒絕。 只有在確認所有必要的存取模式在轉換模式下正常運作後，才切換到強制模式。 檢查你的診斷日誌，確保沒有合法流量被阻擋。

後續步驟

• 配置基於子網的防火牆規則：如果您偏好使用基於子網的規則而非 NSP，請參見「為無伺服器計算存取配置防火牆」。
• 設定私人端點：關於無公共端點的 Azure 資源私有連線，請參見 「設定 Azure 資源的私有連線」。
• 管理網路政策：實施網路政策，為您的無伺服器運算環境提供額外的安全控制與存取限制。 請參閱 什麼是無伺服器輸出控制項？。
• 了解資料傳輸成本：了解將資料移入與移出無伺服器環境所產生的成本。 請參閱 瞭解 Databricks 無伺服器網路成本。