Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Esta característica está en versión preliminar pública.
En esta página se explica cómo usar directivas de punto de conexión de servicio de red virtual de Azure para filtrar el tráfico saliente desde el plano de proceso clásico, lo que garantiza que las conexiones solo se realicen a cuentas específicas de Azure Storage.
¿Qué son los extremos de servicio y las políticas de extremos de servicio?
Los puntos de conexión de servicio y las directivas funcionan conjuntamente para crear una conexión privada aprobada mutuamente.
- Puntos de conexión de servicio de red virtual de Azure: para proteger el tráfico a Azure Storage, habilite un punto de conexión de servicio en la subred de la red virtual. Esto crea una conexión directa y segura al servicio Azure Storage a través de la red troncal de Azure, lo que mantiene el tráfico fuera de la red pública de Internet.
- Directivas de políticas de punto de conexión del servicio de red virtual de Azure: Aplicas una política de punto de conexión del servicio a la misma subred que el punto de conexión del servicio. Esta directiva actúa como filtro sobre el punto de conexión, lo que le permite restringir las conexiones solo a las cuentas de Azure Storage específicas que defina. Esta combinación impide la filtración de datos a cuentas de almacenamiento no autorizadas.
¿Cómo funcionan?
En la imagen siguiente se muestra información general sobre cómo configurar puntos de conexión de servicio y directivas de punto de conexión de servicio:
- Cree una directiva de servicio de red virtual de Azure. Consulte Paso 1: Creación de una directiva de punto de conexión de servicio.
- Agregue las cuentas de almacenamiento que necesite acceder a su directiva. Por ejemplo, el área de trabajo predeterminada y las cuentas de almacenamiento del catálogo de Unity. Las cuentas de almacenamiento que usan puntos de conexión privados no necesitan agregarse a la directiva.
- Adjunte su política de servicio a la subred del área de trabajo. Consulte Paso 2: Asignar la política a la subred del espacio de trabajo.
- Conecte el
Microsoft.Storagepunto de conexión de servicio de red virtual de Azure a la subred del área de trabajo. La política del punto final de servicio de la subred es aplicada al punto final de servicio. - No se puede acceder al almacenamiento no autorizado porque la directiva no permite.
El punto de conexión de servicio enruta todo el tráfico de red desde el área de trabajo de Azure Databricks, lo que permite conexiones a cuentas de almacenamiento definidas en la directiva y bloquea todos los intentos no autorizados.
Ventajas de los puntos de conexión de servicio
- Prioridad de ruta y seguridad: los puntos de conexión de servicio crean una ruta de enrutamiento directa y de alta prioridad a los servicios de Azure a través de la red troncal de Azure. Esta ruta optimizada invalida la mayoría de las rutas definidas por el usuario (UDR), lo que ayuda a evitar que el tráfico se vea forzado involuntariamente a través de una aplicación virtual de red (NVA) o a Internet. Este comportamiento refuerza la posición de seguridad y ayuda a evitar la filtración de datos.
- Optimización de costos: dado que el tráfico a los servicios de Azure permanece en la red troncal de Azure, se evitan cargos asociados a la salida a través de una puerta de enlace NAT o una aplicación virtual de red.
Consulte Puntos de conexión de servicio de red virtual de Azure y directivas de punto de conexión de servicio de red virtual para Azure Storage para más información.
Ventajas de las directivas de punto de conexión de servicio
- Alcance global: aunque una directiva de punto de conexión de servicio es un recurso regional, las reglas de ella pueden tener como destino las cuentas de Azure Storage en cualquier región, suscripción o inquilino. Esto permite que una directiva regional administre el acceso al almacenamiento global.
- Directivas de adición: puede asociar varias directivas a una sola subred. Las asignaciones de políticas son aditivas, lo que significa que la subred tiene acceso al conjunto combinado de todas las cuentas de almacenamiento permitidas de todas las políticas adjuntas. Esto es útil para modelar diferentes requisitos de acceso.
procedimientos recomendados
Para cada área de trabajo de Azure Databricks, configure una directiva de punto de conexión de servicio que tenga como destino su cuenta de almacenamiento dbFS raíz y las ubicaciones externas del catálogo de Unity asociadas. También debe agregar el alias de /services/Azure/Databricks servicio a esta directiva para permitir el acceso al almacenamiento esencial de Azure Databricks. Para aplicar diferentes conjuntos de reglas, puede crear directivas adicionales para entornos específicos, como desarrollo y producción.
Importante
Se recomienda revisar la configuración de ruta definida por el usuario (UDR) para comprobar que funciona con los puntos de conexión de servicio configurados en la subred. Las UDR pueden influir en el enrutamiento, como etiquetas de servicio de almacenamiento, y pueden omitir los puntos de conexión de servicio si están mal configurados. Las directivas de punto de conexión de servicio controlan qué cuentas de almacenamiento se permiten; Las UDR no interactúan directamente con las directivas.
Requisitos
Nota:
Las áreas de trabajo creadas el 14 de julio de 2025 o después de esa fecha admiten, de forma predeterminada, la creación de directivas de punto de conexión de servicio. En el caso de las áreas de trabajo creadas antes de esta fecha, póngase en contacto con el equipo de la cuenta de Databricks para solicitar acceso.
El área de trabajo de Azure Databricks debe cumplir los siguientes requisitos:
- Puede implementarse en su propia red virtual de Azure (VNet), también conocida como inyección de VNet. Consulte Implementación de Azure Databricks en una red virtual de Azure (inserción en red virtual).
- Use la conectividad segura del clúster (SCC). Consulte Habilitación de la conectividad segura del clúster.
- El grupo de recursos del área de trabajo está desbloqueado y la red virtual no tiene configuraciones ni directivas personalizadas que bloquean esta característica.
Configuración de una directiva de punto de conexión de servicio
Antes de adjuntar una directiva de punto de conexión de servicio a la subred pública del área de trabajo, cree reglas de directiva para todas las cuentas de almacenamiento a las que acceden los recursos de proceso clásicos mediante puntos de conexión de servicio. Se bloquea cualquier cuenta de almacenamiento sin una regla de directiva correspondiente.
Paso 1: Creación de una directiva de punto de conexión de servicio
En el Portal de Azure, busque Directiva de servicio de punto de conexión y seleccione Crear una directiva de servicio de punto de conexión.
En la pestaña Aspectos básicos:
- Seleccione la suscripción y la región que coincidan con la red virtual del área de trabajo.
- Escriba un nombre descriptivo para la directiva, como
databricks-workspace-prod-westus. - Haga clic en Siguiente: Definiciones de directiva.
En la pestaña Definiciones de directiva, agregue el almacenamiento administrado de Azure Databricks:
- Haga clic en + Agregar un alias.
- Seleccione
/services/Azure/Databricks. - Haga clic en Agregar.
Nota:
El
/services/Azure/Databricksalias solo permite el acceso a las cuentas de almacenamiento necesarias que Administra Databricks. No concede acceso a todas las cuentas de almacenamiento de la región.Agregue sus propias cuentas de almacenamiento:
- Haga clic en + Agregar un recurso.
- En Ámbito, seleccione Cuenta única.
- Agregue la cuenta de almacenamiento DBFS predeterminada del área de trabajo, las cuentas de almacenamiento del catálogo de Unity y cualquier otra cuenta de almacenamiento necesaria una por una.
- Puede agregar o quitar cuentas de almacenamiento de la política en cualquier momento.
Haga clic en Revisar y crear y, a continuación, en Crear.
Paso 2: Adjuntar la directiva a la subred del área de trabajo
Una directiva de punto de conexión de servicio se puede asociar a las subredes públicas y privadas del área de trabajo, pero solo la subred pública se comunica con el almacenamiento.
- En Azure Portal, vaya a la red virtual del área de trabajo.
- En la barra lateral de Configuración, haga clic en Subredes.
- Seleccione la subred pública.
- En la configuración de subred, desplácese hasta la sección Puntos de conexión de servicio .
- En el menú desplegable Servicios , seleccione
Microsoft.Storage. - Desplácese hasta la sección Directivas de punto de conexión de servicio .
- En el menú desplegable Directivas , seleccione la directiva que creó anteriormente.
- Haz clic en Guardar.
Validation
Para validar la configuración:
- Inicie un clúster de Azure Databricks en el área de trabajo.
- Ejecute una carga de trabajo que lea o escriba en una cuenta de almacenamiento incluida en su política. La operación se realizará correctamente.
- Intente acceder a una cuenta de almacenamiento que no esté incluida en la directiva. Cualquier solicitud a una cuenta de almacenamiento no definida en la directiva producirá un error de autorización.