Configuración de la conectividad privada a los recursos de la red virtual

En esta página se explica cómo usar la consola de la cuenta de Azure Databricks para configurar conexiones de Private Link desde el cálculo sin servidor a los recursos de la red virtual (VNet) a través de un balanceador de carga de Azure.

La configuración de la conectividad privada para el proceso sin servidor proporciona:

• Una conexión privada y dedicada: El punto de conexión privado está exclusivamente vinculado a su cuenta de Azure Databricks, lo que garantiza que el acceso a los recursos de la red virtual está restringido solo a áreas de trabajo autorizadas. Esto crea un canal de comunicación seguro y dedicado.
• Mitigación mejorada de la filtración de datos: Aunque Azure Databricks Serverless con Unity Catalog ofrece protección de filtración de datos integrada, Private Link proporciona una capa adicional de defensa de red. Al colocar los recursos de red virtual en una subred privada y controlar el acceso a través de puntos de conexión privados dedicados, se reduce significativamente el riesgo de movimiento de datos no autorizado fuera del entorno de red controlado.

Requisitos

• La cuenta y el área de trabajo deben estar en el plan Enterprise.
• Es el administrador de su cuenta de Azure Databricks.
• Tiene al menos un área de trabajo sin servidor activa implementada en una región con conectividad privada habilitada. Para ver las regiones admitidas, consulte Disponibilidad sin servidor.
• El equilibrador de carga tiene una red virtual y una subred, y el recurso se encuentra en esta subred.
• Cada cuenta de Azure Databricks puede tener hasta 10 NCC por región.
• Cada región puede tener 100 puntos de conexión privados, distribuidos según sea necesario en 1-10 NCC.
• Cada NCC se puede asociar a un máximo de 50 áreas de trabajo.
• Cada regla de punto de conexión privado para la conectividad privada a los recursos de la red virtual admite hasta 10 nombres de dominio.
• No se admite la búsqueda de DNS y la redirección de DNS. Todos los nombres de dominio deben resolverse directamente en los recursos de back-end.

Paso 1: Creación de un equilibrador de carga de Azure

Cree una instancia de Azure Load Balancer que actúe como front-end para los recursos de red virtual. Este equilibrador de carga está vinculado al servicio Private Link.

Para crear un equilibrador de carga, siga las instrucciones del inicio rápido: Creación de un equilibrador de carga interno para equilibrar la carga de las máquinas virtuales mediante Azure Portal. Complete lo siguiente:

1. Cree un recurso de equilibrador de carga.
2. Agregue una configuración de IP de front-end: Este es el punto de entrada del servicio Private Link.
3. Agregue un grupo de back-end: Este grupo contiene las direcciones IP de los recursos de red virtual.
4. Cree un sondeo de estado: Configure un sondeo de estado para supervisar la disponibilidad de los recursos de back-end.
5. Agregar reglas de equilibrio de carga: defina reglas para distribuir el tráfico entrante al pool de back-end.

Paso 2: Creación de un servicio Private Link

Debe crear un servicio Private Link para exponer de forma segura el equilibrador de carga al punto de conexión privado. Compruebe que el servicio Private Link se crea en la misma región que el equilibrador de carga.

Para obtener instrucciones, consulte la documentación de Azure: Creación de un servicio Private Link mediante Azure Portal.

Paso 3: Crear o usar un objeto de configuración de conectividad de red (NCC) existente

El objeto NCC de Azure Databricks define la configuración de conectividad privada para las áreas de trabajo. Omita este paso si ya existe un NCC. Para crear un objeto NCC:

1. Como administrador de la cuenta, vaya a la consola de la cuenta.
2. En la barra lateral, haga clic en Seguridad.
3. Haga clic en Configuraciones de conectividad de red.
4. Haga clic en Agregar configuración de red.
5. Escriba el nombre de la NCC.
6. Elija la región. Debe coincidir con la región del área de trabajo.
7. Haga clic en Agregar.

Paso 4: Creación de un punto de conexión privado

En este paso se vincula el servicio Private Link a azure Databricks NCC. Para crear un punto de conexión privado:

1. En la consola de la cuenta, haga clic en Seguridad.
2. Haga clic en Configuraciones de conectividad de red.
3. Seleccione el objeto NCC que creó en el paso 3.
4. En la pestaña Reglas de punto de conexión privado , haga clic en Agregar regla de punto de conexión privado.
5. En el campo Identificador de recurso de Azure , pegue el identificador de recurso completo del servicio Private Link. Busque este identificador en Azure Portal en la página Información general del servicio Private Link. Id. de ejemplo: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
6. En el campo Nombres de dominio, agregue los nombres de dominio personalizados que usan los recursos de red virtual. Estos nombres de dominio deben asignarse a las configuraciones IP del grupo de servidores backend del equilibrador de carga.
7. Haga clic en Agregar.
8. Confirme que la columna Estado de la regla de punto de conexión privado recién agregada es PENDING.

Paso 5: Aceptar el punto de conexión privado en el recurso

Después de crear la regla de punto de conexión privado en Databricks, debe aprobar la solicitud de conexión en Azure Portal. Para aprobar la conexión:

1. Vaya a Private Link Center en Azure Portal.
2. Seleccione Servicios de Private Link.
3. Busque y seleccione el servicio Private Link asociado al equilibrador de carga.
4. En la barra lateral izquierda, en Configuración, seleccione Conexiones de punto de conexión privado.
5. Seleccione el punto de conexión privado pendiente.
6. Haga clic en Aprobar para aceptar la conexión.
7. Cuando se le solicite, seleccione Sí.
8. Después de la aprobación, el estado de conexión cambia a Aprobado.

La conexión puede tardar diez minutos en establecerse por completo.

Paso 6: Confirmar el estado del punto de conexión privado

Verifique que la conexión del endpoint privado se ha establecido correctamente por parte de Azure Databricks. Para confirmar la conexión:

1. Actualice la página Configuraciones de conectividad de red en la consola de la cuenta de Azure Databricks.
2. En la pestaña Reglas de punto de conexión privado , confirme que la columna Estado del nuevo punto de conexión privado es ESTABLISHED.

Paso 7: Asociar el NCC a una o varias áreas de trabajo

En este paso se asocia la conectividad privada configurada con las áreas de trabajo de Azure Databricks. Omita este paso si el área de trabajo ya está asociada al NCC deseado. Para asociar el NCC a un área de trabajo:

1. Vaya a Áreas de trabajo en el panel de navegación izquierdo.
2. Seleccione un área de trabajo existente.
3. Seleccione Actualizar área de trabajo.
4. En Configuraciones de conectividad de red, seleccione la lista desplegable y elija el NCC que ha creado.
5. Repita este proceso para todas las áreas de trabajo a las que desea que se aplique este NCC.

Pasos siguientes

• Configuración de la conectividad privada con recursos de Azure: use Private Link para establecer un acceso seguro y aislado a los servicios de Azure desde la red virtual, pasando la red pública de Internet. Consulte Configuración de la conectividad privada a los recursos de Azure.
• Administrar reglas de punto de conexión privado: controle el tráfico de red hacia y desde los puntos de conexión privados de Azure mediante la definición de reglas específicas que permitan o denieguen conexiones. Consulte Administración de reglas de punto de conexión privado.
• Configurar un firewall para el acceso a proceso sin servidor: implemente un firewall para restringir y proteger las conexiones de red entrantes y salientes para los entornos de proceso sin servidor. Consulte Configuración de un firewall para el acceso a procesos sin servidor.
• Descripción de los costos de transferencia de datos y conectividad: la transferencia de datos y la conectividad hacen referencia a la transferencia y salida de datos a entornos sin servidor de Azure Databricks. Los cargos de red para productos que usan computación sin servidor solo se aplican a los clientes que utilizan el cómputo sin servidor de Azure Databricks. Consulte Descripción de los costos de red sin servidor de Databricks.