Configuración de Private Link front-end

En esta página se proporcionan instrucciones para configurar la conectividad privada de front-end, que protege la conexión entre los usuarios y sus áreas de trabajo de Azure Databricks.

• Para habilitar la conectividad privada de back-end con Azure Databricks, consulte Conceptos de Azure Private Link.
• Para conectarse desde el plano de proceso sin servidor a los recursos de Azure, consulte Configuración de la conectividad privada a los recursos de Azure.

¿Por qué elegir una conexión de front-end?

Tanto si usa un proceso sin servidor como el clásico, los usuarios deben conectarse a Azure Databricks. Las organizaciones eligen conectarse a Azure Databricks por varias razones, entre las que se incluyen las siguientes:

• Seguridad mejorada: Al restringir todo el acceso a puntos de conexión privados y deshabilitar el acceso público, se minimiza la superficie expuesta a ataques y se comprueban todas las interacciones del usuario con Azure Databricks a través de una red privada segura.
• Requisitos de cumplimiento: Muchas organizaciones tienen estrictos mandatos de cumplimiento que requieren que todo el tráfico del plano de administración y datos permanezca en sus límites de red privada, incluso para servicios SaaS como Azure Databricks.
• Arquitectura de red simplificada (para casos de uso específicos): Si solo usa un proceso sin servidor o la interacción principal con Azure Databricks es a través de la interfaz de usuario web o las API REST, y no tiene necesidad inmediata de conectividad privada con orígenes de datos de Azure Databricks (lo que requiere una conexión back-end), una configuración de solo front-end simplifica el diseño general de la red.
• Prevención de filtración de datos: Al impedir el acceso público y forzar todo el tráfico a través de puntos de conexión privados, se reduce el riesgo de filtración de datos, lo que garantiza que solo se pueda acceder al tráfico desde entornos de red autenticados.

Modelo de conectividad

Puede configurar la conectividad privada de una de estas dos maneras:

• Sin acceso público: esta configuración deshabilita todo el acceso público al área de trabajo. Todo el tráfico de usuario debe originarse desde una red virtual conectada a través de un punto de conexión privado. Este modelo es necesario para la privatización completa del tráfico. Para la privatización completa del tráfico, también necesita una conexión de Private Link back-end. Consulte Conceptos de Azure Private Link.
• Acceso híbrido: Private Link está activo, pero el acceso público permanece habilitado con controles de entrada basados en contexto y listas de acceso IP. Los controles de entrada basados en contexto permiten restringir el acceso en función de la identidad, el tipo de solicitud y el origen de red. Esto le permite permitir de forma segura el acceso desde orígenes públicos de confianza (por ejemplo, direcciones IP corporativas estáticas), mientras sigue usando Private Link para la conectividad privada.

En esta guía se explica cómo implementar el modelo de acceso híbrido . Esto se logra mediante una topología de red en estrella tipo hub-and-spoke estándar.

Introducción a la arquitectura

Este modelo utiliza la VNet de tránsito.

• Red virtual de tránsito: esta es la red virtual central que contiene todos los puntos de conexión privados necesarios para el acceso de los clientes a los espacios de trabajo y la autenticación del navegador. El área de trabajo de autenticación del explorador también está conectada a esta red virtual.

Antes de empezar

Revise los siguientes requisitos previos y recomendaciones:

Requisitos

• El área de trabajo está en el plan Premium.
• Tiene un área de trabajo de Azure Databricks implementada con inyección VNet. Consulte Implementación de Azure Databricks en la red virtual de Azure (inyección de red virtual)
• Debe tener permisos de Azure para crear puntos de conexión privados y administrar registros DNS.

Configuración de red

• Una red virtual de tránsito configurada para lo siguiente:
  • Actúa como punto de tránsito principal para todo el tráfico de usuario o cliente que se conecta a la red de Azure.
  • Proporciona conectividad centralizada para redes locales u otras redes externas.
  • Administra los servicios compartidos y contiene la ruta principal para el tráfico saliente de Internet (salida).
• Azure DNS administra las zonas DNS privadas.

procedimientos recomendados

Azure Databricks recomienda lo siguiente para una configuración resistente y manejable:

• Arquitectura: la red debe seguir la arquitectura hub-spoke recomendada por Microsoft. Consulte topología de red hub-and-spoke en Azure.
• Área de trabajo de autenticación aislada: para mejorar la resistencia, cree un área de trabajo de autenticación de explorador independiente dentro de la red virtual de tránsito. Este área de trabajo dedicada debe hospedar el punto de conexión privado de autenticación del explorador, lo que impide un único punto de error si se eliminan otras áreas de trabajo. Consulte Paso 3: Creación de un browser_authentication área de trabajo.

Configuración de la conectividad privada para un área de trabajo existente

Antes de empezar, debe detener todos los recursos de proceso, como clústeres, grupos o almacenes de SQL clásicos. No se pueden ejecutar recursos de proceso del área de trabajo o se produce un error en el intento de actualización. Azure Databricks recomienda planear el momento de la actualización teniendo en cuenta el tiempo de inactividad.

1. En la página Espacios de trabajo, seleccione Computación.
2. Seleccione cada clúster de proceso activo y, en la parte superior derecha, haga clic en Finalizar.

Paso 1: Comprobación del área de trabajo insertada con red virtual con acceso público habilitado

1. Vaya al área de trabajo de Azure Databricks en Azure Portal.
2. En la sección información general del área de trabajo, compruebe que el área de trabajo de Azure Databricks usa su propia red virtual:
   1. En Configuración, seleccione la pestaña Redes . Confirme la siguiente configuración:
      1. La conectividad segura del clúster (sin ip pública) está habilitada.
      2. Permitir el acceso a la red pública está habilitado.

Paso 2: Creación de un databricks_ui_api punto de conexión privado

1. En la pestaña Redes del área de trabajo, seleccione Conexiones de punto de conexión privado.
2. Haga clic en Punto de conexión privado.
3. Seleccione el grupo de recursos para el punto de conexión y proporcione un nombre como my-workspace-fe-pe. Compruebe que la región coincide con el área de trabajo.
4. Haga clic en Siguiente: Recurso.
5. Establezca Subrecurso de destino en databricks_ui_api.
6. Haga clic en Siguiente: Red virtual.
7. Seleccione la red virtual de tránsito. La red virtual de tránsito es una red virtual independiente y preexistente en la arquitectura de red que administra y protege el tráfico de salida, a menudo con un firewall central.
8. Seleccione la subred que hospeda los puntos de conexión privados.
9. Haga clic en Siguiente y compruebe que Integrar con la zona DNS privada esté configurada como Sí. Debe seleccionar automáticamente la privatelink.azuredatabricks.net zona.

Paso 3: Creación de un browser_authentication área de trabajo

Cree un endpoint privado para la autenticación del navegador y admita SSO a través de su ruta de acceso de red privada. Azure Databricks recomienda hospedar este punto de conexión en un área de trabajo de autenticación web privada dedicada.

Creación de un grupo de recursos

1. En Azure Portal, vaya a y seleccione Grupos de recursos.
2. Haz clic en + Crear.
3. Proporcione un nombre para el grupo de recursos, como web-auth-rg-eastus.
4. En Región, seleccione la misma región de Azure donde se implementan las áreas de trabajo de Databricks de producción.
5. Haga clic en Revisar y crear y, a continuación, en Crear.

Creación de una red virtual

1. En Azure Portal, busque y seleccione Redes virtuales.
2. Haz clic en + Crear.
3. En la pestaña Aspectos básicos , seleccione el grupo de recursos que acaba de crear y asigne a la red virtual un nombre descriptivo, como web-auth-vnet-eastus.
4. Compruebe que la región coincide con el grupo de recursos.
5. En la pestaña Direcciones IP , defina un espacio de direcciones IP para la red virtual, por ejemplo, 10.20.0.0/16. También se le pedirá que cree una subred inicial.
6. Seleccione Revisar y crear y, a continuación, Crear.

Creación y protección del área de trabajo de autenticación web privada

1. En Azure Portal, busque y seleccione Azure Databricks. Haz clic en + Crear.
2. En la pestaña Aspectos básicos , configure lo siguiente:
   1. Seleccione el grupo de recursos que acaba de crear.
   2. Asigne al área de trabajo un nombre descriptivo, como WEB_AUTH_DO_NOT_DELETE_<region>.
   3. Seleccione la misma región que el grupo de recursos y la red virtual.
3. Haga clic en Siguiente:Redes y configure lo siguiente:
   1. Implementación del área de trabajo de Azure Databricks con conectividad segura del clúster (sin dirección IP pública): seleccione Sí.
   2. Implemente el área de trabajo de Azure Databricks en su propia red virtual (VNet): seleccione Sí.
   3. Red virtual: seleccione la red virtual que acaba de crear. Se le pedirá que defina intervalos de subredes.
   4. Acceso a la red pública: seleccione Deshabilitado.
   5. Reglas de NSG necesarias: seleccione NoAzureDatabricksRules.
4. Haga clic en Revisar y crear y, a continuación, en Crear.

Una vez creado el espacio de trabajo, debe protegerlo frente a la eliminación accidental.

1. En Azure Portal, vaya al área de trabajo que acaba de crear.
2. Vaya a Configuración y seleccione Bloqueos.
3. Haga clic en + Agregar.
4. Establezca el tipo de bloqueo en Eliminar y proporcione un nombre de bloqueo descriptivo.
5. Haz clic en Aceptar.

Creación del punto de conexión privado de browser_authentication

Después de crear el área de trabajo, debe crear el browser_authentication punto de conexión privado para conectarlo a su VNet de tránsito.

1. En la pestaña Redes del área de trabajo de autenticación web, seleccione Conexiones de punto de conexión privado.
2. Haga clic en Punto de conexión privado.
3. Seleccione el grupo de recursos para el punto de conexión y proporcione un nombre como web-auth-browser-auth-pe. Compruebe que la región coincide con el área de trabajo.
4. Haga clic en Siguiente: Recurso.
5. Establezca Subrecurso de destino en browser_authentication.
6. Haga clic en Siguiente: Red virtual.
7. Seleccione la red virtual de tránsito (la misma red virtual que se usa en el paso 2 para el databricks_ui_api punto de conexión).
8. Seleccione la subred que hospeda los puntos de conexión privados.
9. Haga clic en Siguiente y compruebe que Integrar con la zona DNS privada esté configurada como Sí. Debe seleccionar automáticamente la privatelink.azuredatabricks.net zona.
10. Complete la creación del punto de conexión.

Paso 4: Configuración y comprobación de DNS

Después de implementar los puntos de conexión privados, debe comprobar que DNS resuelve correctamente las direcciones URL de Azure Databricks en sus nuevas direcciones IP privadas.

1. Compruebe los registros de la zona DNS privada:
   1. En Azure Portal, busque y vaya a la zona DNS privada denominada privatelink.azuredatabricks.net.
   2. Compruebe que existen los siguientes A registros y apunte a las direcciones IP privadas de los puntos de conexión:
      1. Registro de LA API o la interfaz de usuario del área de trabajo:
         • Nombre: el identificador de área de trabajo único, como adb-xxxxxxxxxxxxxxxx.x
         • Valor: la dirección IP privada del punto de databricks_ui_api conexión privado.
      2. Registro de autenticación del explorador:
         • Nombre: elija un nombre descriptivo como pl-auth.<your_region>.
         • Valor: la dirección IP privada del punto de browser_authentication conexión privado.

Paso 5: Comprobación del acceso a la red privada

Confirme que puede acceder al área de trabajo a través de la conexión de red privada.

Desde una red conectada

Si la red local ya está conectada a la red virtual de Azure, mediante VPN o ExpressRoute, la prueba es sencilla:

• Desde el equipo, abra un explorador web y vaya directamente a la dirección URL del área de trabajo de Azure Databricks para iniciar sesión. Un inicio de sesión correcto confirma que la conexión privada funciona.

Uso de una máquina virtual de prueba

Si no puede acceder a la red virtual del área de trabajo desde la ubicación actual, cree una máquina virtual temporal (un "jump box") para probar desde:

1. Creación de una máquina virtual: En Azure Portal, cree una máquina virtual Windows. Colóquelo en una subred con la misma red virtual de tránsito donde configuró el punto de conexión privado de front-end.
2. Conéctese a la máquina virtual: Use un cliente de Escritorio remoto para conectarse a la nueva máquina virtual.
3. Prueba desde la máquina virtual: Después de conectarse a la máquina virtual, abra un explorador web, vaya a Azure Portal y busque el área de trabajo de Azure Databricks.
4. Iniciar área de trabajo: Haga clic en Iniciar área de trabajo. Un inicio de sesión correcto confirma que el acceso desde la red virtual privada funciona correctamente.

Comprobación de DNS con nslookup

1. Conéctese a una máquina virtual dentro de la red virtual configurada o a la red local a través de VPN o Azure ExpressRoute. La máquina debe poder usar el DNS privado de Azure.
2. Abra un símbolo del sistema o un terminal y use nslookup para comprobar la resolución dns.

# Verify the workspace URL resolves to a private IP
nslookup adb-xxxxxxxxxxxxxxxx.x.azuredatabricks.net

# Expected output:
# Server:  <your-dns-server>
# Address: <your-dns-server-ip>
#
# Name:    adb-xxxxxxxxxxxxxxxx.x.privatelink.azuredatabricks.net
# Address: 10.10.1.4  <-- This should be the private IP of your 'databricks_ui_api' endpoint
# Aliases: adb-xxxxxxxxxxxxxxxx.x.azuredatabricks.net

Configuración de DNS personalizada

Al usar un punto de conexión front-end privado con su propio DNS personalizado, debe verificar que tanto la dirección URL del área de trabajo como las direcciones URL de autenticación de SSO (inicio de sesión único) se resuelvan correctamente a la dirección IP del punto de conexión privado.

Recomendado: reenvío condicional

El método más confiable es configurar el servidor DNS para reenviar las consultas de todos los dominios de Databricks al DNS interno de Azure.

1. Configure el reenvío condicional para los siguientes dominios en el servidor DNS de Azure:
   • *.azuredatabricks.net
   • *.privatelink.azuredatabricks.net
   • *.databricksapps.com
2. Compruebe que la red virtual está vinculada a la zona DNS privada de Azure.

Esto permite que Azure resuelva automáticamente todos los nombres de host necesarios, incluidas las direcciones URL de SSO y del área de trabajo, en la dirección IP del punto de conexión privado.

Alternativa: Registros A de tipo manual

Si el reenvío condicional no es una opción, debe crear manualmente registros DNS A .

1. Dirección URL del área de trabajo: Cree un registro que asigne la A dirección URL por área de trabajo, como adb-1111111111111.15.azuredatabricks.net, a la dirección IP del punto de conexión privado.
2. URL de autenticación SSO: Cree un mapeo de registro que asigne la URL de SSO regional, como , a la misma dirección IP del punto de conexión privado.

Algunas regiones de Azure utilizan varias instancias del plano de control para el inicio de sesión único. Es posible que tenga que crear varios A registros para la autenticación. Póngase en contacto con el equipo de la cuenta de Azure Databricks para obtener la lista completa de dominios de su región.

Pasos siguientes

• Configuración de la conectividad privada de back-end con Azure Databricks
• Configuración de listas de acceso IP para áreas de trabajo