Partager via

Configurer la connectivité privée aux ressources dans votre réseau virtuel

Remarque

Azure Databricks facture les coûts de mise en réseau lorsque les charges de travail serverless se connectent aux ressources client. Consultez Comprendre les coûts de mise en réseau sans serveur de Databricks.

Cette page explique comment utiliser la console de compte Azure Databricks pour configurer des connexions Private Link de calcul sans serveur aux ressources de votre réseau virtuel via un équilibreur de charge Azure.

Connectivité privée aux ressources de votre VPC.

La configuration de la connectivité privée pour le calcul sans serveur offre :

  • Une connexion dédiée et privée : Votre point de terminaison privé est exclusivement lié à votre compte Azure Databricks, ce qui garantit que l’accès à vos ressources de réseau virtuel est limité aux espaces de travail autorisés uniquement. Cela crée un canal de communication sécurisé et dédié.
  • Atténuation améliorée de l’exfiltration des données : Bien qu’Azure Databricks Serverless avec Unity Catalog offre une protection intégrée de l’exfiltration des données, Private Link fournit une couche supplémentaire de défense réseau. En plaçant vos ressources de réseau virtuel dans un sous-réseau privé et en contrôlant l’accès via des points de terminaison privés dédiés, vous réduisez considérablement le risque de déplacement de données non autorisé en dehors de votre environnement réseau contrôlé.

Spécifications

  • Votre compte et votre espace de travail doivent se trouver dans le plan Entreprise.
  • Vous êtes l’administrateur de compte de votre compte Azure Databricks.
  • Vous avez au moins un espace de travail serverless actif déployé dans une région avec une connectivité privée activée. Pour les régions prises en charge, voir la disponibilité sans serveur.
  • Votre équilibreur de charge dispose d’un réseau virtuel et d’un sous-réseau, et votre ressource se trouve dans ce sous-réseau.
  • Chaque compte Azure Databricks peut avoir jusqu’à 10 NCC (configuration de connectivité réseau) par région.
  • Chaque région peut avoir 100 points de terminaison privés, répartis selon les besoins entre 1 et 10 NCC.
  • Chaque NCC peut être associé à jusqu'à 50 espaces de travail.
  • Chaque règle de point de terminaison privé pour la connectivité privée aux ressources de votre réseau virtuel prend en charge jusqu’à 10 noms de domaine.
  • La recherche DNS et la redirection DNS ne sont pas prises en charge. Tous les noms de domaine doivent être résolus directement sur les ressources de back-end.

Étape 1 : Créer un équilibreur de charge Azure

Créez un équilibreur de charge Azure qui sert de serveur frontal pour vos ressources de réseau virtuel. Cet équilibreur de charge est lié à votre service Private Link.

Pour créer un équilibreur de charge, suivez les instructions du guide de démarrage rapide : Créez un équilibreur de charge interne pour équilibrer la charge des machines virtuelles à l’aide du portail Azure. Effectuez les opérations suivantes :

  1. Créez une ressource d’équilibreur de charge.
  2. Ajoutez une configuration IP frontale : Il s’agit du point d’entrée de votre service Private Link.
  3. Ajoutez un pool principal : Ce pool contient les adresses IP de vos ressources de réseau virtuel.
  4. Créer une sonde d’intégrité : Configurez une sonde d’intégrité pour surveiller la disponibilité de vos ressources back-end.
  5. Ajouter des règles d’équilibrage de charge : Définissez des règles pour distribuer le trafic entrant vers votre pool principal.

Vous devez créer un service Private Link pour exposer en toute sécurité votre équilibreur de charge à votre point de terminaison privé. Vérifiez que le service Private Link est créé dans la même région que votre équilibreur de charge.

Pour obtenir des instructions, reportez-vous à la documentation Azure : Créer un service Private Link à l’aide du portail Azure.

Étape 3 : Créer ou utiliser un objet de configuration de connectivité réseau (CCN) existant

L’objet CCN dans Azure Databricks définit les paramètres de connectivité privée pour vos espaces de travail. Ignorez cette étape si une CCN existe déjà. Pour créer un objet NCC :

  1. En tant qu’administrateur de compte, accédez à la console de compte.
  2. Dans la barre latérale, cliquez sur Sécurité.
  3. Cliquez sur Configurations de connectivité réseau.
  4. Cliquez sur Ajouter une configuration réseau.
  5. Entrez un nom pour la NCC (configuration de connectivité réseau)
  6. Choisissez la région. Cela doit correspondre à votre région d’espace de travail.
  7. Cliquez sur Ajouter.

Étape 4 : Créer un point de terminaison privé

Cette étape lie votre service Private Link à votre CCN Azure Databricks. Pour créer un point de terminaison privé :

  1. Dans la console de compte, cliquez sur Sécurité.
  2. Cliquez sur Configurations de connectivité réseau.
  3. Sélectionnez l’objet NCC que vous avez créé à l’étape 3.
  4. Sous l’onglet Règles de point de terminaison privé , cliquez sur Ajouter une règle de point de terminaison privé.
  5. Dans le champ ID de ressource Azure , collez l’ID de ressource complet de votre service Private Link. Recherchez cet ID dans le portail Azure sur la page Vue d’ensemble de votre service Private Link. Exemple d’ID : /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
  6. Dans le champ Noms de domaine, ajoutez les noms de domaine personnalisés que vos ressources de réseau virtuel utilisent. Ces noms de domaine doivent être mappés aux configurations IP dans le pool principal de votre équilibreur de charge.
  7. Cliquez sur Ajouter.
  8. Vérifiez que la colonne Status de votre règle de point de terminaison privé nouvellement ajoutée est PENDING.

Remarque

Les domaines ajoutés en tant qu’entrées de liaison privée sont implicitement autorisés dans les stratégies réseau.

Étape 5 : Accepter le point de terminaison privé sur votre ressource

Après avoir créé la règle de point de terminaison privé dans Databricks, vous devez approuver la demande de connexion dans le portail Azure. Pour approuver la connexion :

  1. Accédez au centre Private Link à partir du portail Azure.
  2. Sélectionnez services Private Link.
  3. Recherchez et sélectionnez le service Private Link associé à votre équilibreur de charge.
  4. Dans la barre latérale gauche, sous Paramètres, sélectionnez Connexions de point de terminaison privé.
  5. sélectionnez le point de terminaison privé en attente.
  6. Cliquez sur Approuver pour accepter la connexion.
  7. Lorsque vous y êtes invité, sélectionnez Oui.
  8. Après approbation, l’état de connexion passe à Approuvé.

La connexion peut prendre dix minutes pour que la connexion soit entièrement établie.

Étape 6 : Confirmer l’état du point de terminaison privé

Vérifiez que la connexion de point de terminaison privé depuis Azure Databricks est bien établie. Pour confirmer la connexion :

  1. Actualisez la page configurations de connectivité réseau dans la console de compte Azure Databricks.
  2. Sous l’onglet Règles de point de terminaison privé , vérifiez que la colonne État de votre nouveau point de terminaison privé est ESTABLISHED.

Étape 7 : Attacher la CCN à un ou plusieurs espaces de travail

Cette étape associe votre connectivité privée configurée à vos espaces de travail Azure Databricks. Ignorez cette étape si votre espace de travail est déjà attaché à la CCN souhaitée. Pour attacher la CCN à un espace de travail :

  1. Accédez aux espaces de travail dans la navigation de gauche.
  2. Sélectionnez un espace de travail existant.
  3. Sélectionnez Mettre à jour l’espace de travail.
  4. Sous Configurations de connectivité réseau, sélectionnez la liste déroulante et choisissez la CCN que vous avez créée.
  5. Répétez cette opération pour tous les espaces de travail auquel vous souhaitez que la CCN s’applique.

Remarque

Les NCCs sont des objets régionaux qui ne peuvent être attachés qu'à des espaces de travail situés dans la même région.

Étapes suivantes

  • Configurer la connectivité privée aux ressources Azure : utilisez Private Link pour établir un accès sécurisé et isolé aux services Azure à partir de votre réseau virtuel, en contournant l’Internet public. Consultez Configurer la connectivité privée aux ressources Azure.
  • Gérer les règles de point de terminaison privé : contrôlez le trafic réseau vers et depuis vos points de terminaison privés Azure en définissant des règles spécifiques qui autorisent ou refusent les connexions. Voir Gérer les règles de point de terminaison privé.
  • Configurez un pare-feu pour l’accès au calcul serverless : implémentez un pare-feu pour restreindre et sécuriser les connexions réseau entrantes et sortantes pour vos environnements de calcul serverless. Voir Configurer un pare-feu pour l'accès à l'informatique sans serveur.
  • Comprendre les coûts de transfert et de connectivité des données : transfert de données et connectivité font référence au déplacement de données vers et hors des environnements serverless Azure Databricks. Les frais de mise en réseau pour les produits serverless s’appliquent uniquement aux clients utilisant le calcul serverless Azure Databricks. Consultez Comprendre les coûts de mise en réseau sans serveur de Databricks.
  • Last updated on