Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo presenta configuraciones de seguridad de red para la implementación y administración de cuentas y áreas de trabajo de Azure Databricks.
Nota:
Azure Databricks cobra los costos de red cuando las cargas de trabajo sin servidor se conectan a los recursos del cliente. Consulte Descripción de los costos de red sin servidor de Databricks.
Introducción a la arquitectura de Azure Databricks
Azure Databricks funciona desde un plano de control y un plano de proceso.
- El plano de controlincluye los servicios de backend que administra Azure Databricks administra en su cuenta de Azure Databricks. La aplicación web está en el plano de control.
- El plano de procesoes donde se procesan los datos. Hay dos tipos de planos de proceso en función del proceso que use.
- Para el proceso clásico de cálculos de Azure Databricks, los recursos informáticos se encuentran en su suscripción de Azure en lo que se llama el plano de proceso clásico. Esto hace referencia a la red de la suscripción de Azure y sus recursos. Los recursos del plano de computación clásico están en la región en la que se encuentra el área de trabajo.
- Para el proceso sin servidor, los recursos de proceso sin servidor se ejecutan en un plano de proceso sin servidor en la cuenta de Azure Databricks. Los recursos del plano de proceso sin servidor se encuentran en la misma región de nube que el plano de proceso clásico del área de trabajo. Seleccione esta región al crear un área de trabajo.
Para más información sobre el proceso clásico y el proceso sin servidor, consulte Proceso. Para obtener información adicional sobre la arquitectura, consulte Arquitectura de alto nivel.
Conectividad de red segura
Azure Databricks proporciona un entorno de red seguro de forma predeterminada, pero si su organización tiene necesidades adicionales, puede configurar características de conectividad de red entre las distintas conexiones de red que se muestran en el diagrama siguiente.
- Usuarios y aplicaciones en Azure Databricks: puede configurar características para controlar el acceso y proporcionar conectividad privada entre los usuarios y sus áreas de trabajo de Azure Databricks. Consulte Usuarios a redes de Azure Databricks.
- El plano de control y el plano de proceso clásico: los recursos de proceso clásicos, como los clústeres, se implementan en la suscripción de Azure y se conectan al plano de control. Puede usar características de conectividad de red clásicas para implementar recursos de plano de proceso clásicos en sus propias redes virtuales y habilitar la conectividad privada desde los clústeres al plano de control. Consulte Redes clásicas del plano de proceso.
- El plano de proceso sin servidor y el almacenamiento: puede configurar conexiones privadas y dedicadas desde el proceso sin servidor al almacenamiento. Consulte Redes de plano de proceso sin servidor.
Puede configurar las características de red de Azure Storage, como puntos de conexión privados para proteger la conexión entre el plano de proceso clásico y sus recursos de Azure. Consulte Otorga acceso a tu área de trabajo de Azure Databricks a Azure Data Lake Storage y recomendaciones de redes para Lakehouse Federation.
También puede habilitar la compatibilidad con firewall para la cuenta de almacenamiento del área de trabajo para limitar el acceso a la cuenta desde redes y conexiones autorizadas. Consulte Habilitación de la compatibilidad con el firewall para la cuenta de almacenamiento del área de trabajo.
La conectividad entre el plano de control y el plano de proceso sin servidor siempre se realiza a través de la red troncal de Azure y no de la red pública de Internet.
Comienza
Comprenda la arquitectura de red de Databricks y explore los conceptos clave.
| Tema | Description |
|---|---|
| Introducción a la arquitectura de Databricks | Obtenga información sobre la arquitectura del plano de control y del plano de proceso que forma la base de las redes de Databricks. |
| Azure Private Link | Establezca conexiones privadas entre la red y Databricks mediante Azure Private Link para mejorar la seguridad. |
| Descripción de los costos de transferencia de datos y conectividad | Obtenga información sobre los precios de transferencia de datos y optimice los costos de las características de conectividad de red. |
Connectivity
Configure conexiones de red seguras para el acceso entrante a las áreas de trabajo y la conectividad saliente de los recursos de cómputo.
| Tema | Description |
|---|---|
| Redes de interfaz | Configure controles de acceso de red para los usuarios que se conectan a áreas de trabajo de Databricks a través de la interfaz web y las API. |
| Front-end Private Link | Habilite la conectividad privada desde la red corporativa a las áreas de trabajo de Databricks mediante Azure Private Link. |
| Redes de plano de proceso sin servidor | Configura el acceso seguro a los recursos de red entre los recursos de cómputo sin servidor y tus fuentes de datos y servicios. |
| Conectividad privada con recursos de Azure | Establezca conexiones privadas desde el cómputo sin servidor hacia Azure Storage, SQL Database y otros servicios de Azure. |
| Conectividad privada a los recursos de la red virtual | Conecte el cómputo sin servidor a los recursos que se ejecutan en su propia Red Virtual (VNet) mediante puntos de conexión privados. |
| Administración de reglas de punto de conexión privado | Configure y administre las reglas de punto final privado para la conectividad de computación sin servidor. |
| Redes clásicas del plano de proceso | Obtenga información sobre las opciones de red para los recursos de proceso clásicos implementados en la red virtual. |
| Implementación de Azure Databricks en la red virtual | Hospede clústeres de Databricks en su propia red virtual de Azure para un control de red mejorado (inyección de red virtual). |
| Redes virtuales emparejadas | Conecte la red virtual de Databricks a otras redes virtuales de la suscripción de Azure para acceder a recursos adicionales. |
| Conexión de un área de trabajo a una red local | Amplíe la red corporativa a Databricks mediante VPN o Azure ExpressRoute. |
| Back-end Private Link | Establezca la conectividad privada entre los recursos de proceso clásicos y el plano de control de Databricks. |
| Configuración de ruta definida por el usuario | Configure rutas definidas por el usuario (UDR) para controlar el flujo de tráfico desde clústeres de Databricks. |
| Actualización de la configuración de red del área de trabajo | Modifique las configuraciones de red para las áreas de trabajo existentes. |
| Protección de la conectividad de clústeres | Active la conectividad exclusivamente de salida desde los clústeres al plano de control sin puertos de entrada abiertos. |
Seguridad de red
Implemente controles de seguridad para restringir y supervisar el acceso a la red.
| Tema | Description |
|---|---|
| ¿Qué es el control de salida sin servidor? | Restrinja las conexiones de red salientes de los recursos de proceso sin servidor para evitar la filtración de datos y aplicar el cumplimiento. |
| Administrar directivas de red para el control de salida sin servidor | Cree y administre políticas de red que definan las conexiones de salida permitidas desde la computación sin servidor. |
| Introducción a las listas de acceso IP | Aprenda a usar listas de acceso IP para controlar qué direcciones IP pueden acceder a las áreas de trabajo de Databricks. |
| Listas de acceso IP para áreas de trabajo | Configure los controles de acceso IP de nivel de área de trabajo para restringir el acceso de las redes aprobadas. |
| Listas de acceso IP para la consola de la cuenta | Establezca restricciones de IP de nivel de cuenta que se apliquen en varias áreas de trabajo para la administración centralizada de la seguridad. |
| Configurar políticas de punto de conexión del servicio para acceder al almacenamiento | Use puntos de conexión de servicio de Azure para proteger la conectividad entre las cuentas de Databricks y Azure Storage. |
| Habilitación de la compatibilidad del firewall con la cuenta de almacenamiento del área de trabajo | Configure las reglas de firewall de Azure Storage para permitir el acceso desde los recursos de proceso clásicos de Databricks. |
| Configuración de un firewall de Azure Storage para el acceso a proceso sin servidor | Utiliza tags de servicio estables para configurar reglas de firewall de Azure Storage para la conectividad de computación sin servidor. |
| Reglas de firewall de nombres de dominio | Configurar reglas de firewall basadas en dominio para permitir que los servicios de Databricks pasen a través de los controles de seguridad de su red. |
| Plantilla de ARM para la compatibilidad con firewalls | Use plantillas de Azure Resource Manager para automatizar la configuración del firewall para las cuentas de almacenamiento del área de trabajo. |