Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Private Link maakt een persoonlijke, beveiligde verbinding met uw Azure Databricks-werkruimte, zodat uw netwerkverkeer niet zichtbaar is voor het openbare internet.
Er zijn drie typen Private Link-verbindingen:
- Front-end (gebruiker-naar-werkruimte): Beveiligt de verbinding van gebruikers en hun hulpprogramma's, zoals de web-app, API's of BI-hulpprogramma's, naar uw Azure Databricks-werkruimte.
- Back-end (reken-naar-besturingsvlak): Beveiligt de verbinding van uw Azure Databricks-clusters met de belangrijkste Azure Databricks-services die ze nodig hebben om te functioneren.
- Webverificatie: Hiermee kunnen gebruikers zich aanmelden bij de web-app via eenmalige aanmelding (SSO) wanneer ze een particulier netwerk gebruiken. Er wordt een speciaal privé-eindpunt gemaakt voor het afhandelen van callbacks voor verificatie van Microsoft Entra-id, die anders mislukken in een privéomgeving. Webverificatie is alleen nodig met front-end privéconnectiviteit.
Notitie
Implementeer voor maximale beveiliging zowel front-end- als back-endverbindingen om alle openbare netwerktoegang tot uw werkruimte te blokkeren.
Overzicht van architectuur
De architectuur die in dit document wordt beschreven, vertegenwoordigt een standaard implementatiepatroon voor Azure Private Link. Het is bedoeld als basisframework, niet als universele oplossing, omdat de optimale configuratie volledig afhankelijk is van uw netwerktopologie. Belangrijke factoren waarvoor u dit model mogelijk moet aanpassen, zijn onder andere:
- Bestaande hub-and-spoke- of transit-VNet-ontwerpen.
- Aangepast DNS-beleid voor doorsturen en oplossen.
- Specifieke regels voor firewall en netwerkbeveiligingsgroep (NSG).
- Vereisten voor connectiviteit tussen regio's of meerdere clouds.
Vereiste VNets
Privéconnectiviteit maakt gebruik van twee afzonderlijke virtuele netwerken.
- Transit VNet: dit virtuele netwerk fungeert als een centrale hub voor gebruikersconnectiviteit. Het bevat de front-end privé-eindpunten die vereist zijn voor clienttoegang tot workspaces en voor browser-gebaseerde Single Sign-On (SSO) authenticatie.
- VNet voor werkruimte: dit is een virtueel netwerk dat u specifiek maakt om uw Azure Databricks-werkruimte en privé-eindpunt van de back-end te hosten.
Subnettoewijzing en -grootte
Plan subnetten in elk VNet ter ondersteuning van privéconnectiviteit en implementaties.
VNet-subnetten doorvoeren:
- Subnet van privé-eindpunt: wijst IP-adressen toe voor alle front-end privé-eindpunten.
- Subnetten voor browserverificatiewerkruimten: Twee toegewezen subnetten, een host of openbaar subnet en een container of een privésubnet, worden aanbevolen voor het implementeren van de werkruimte voor browserverificatie.
VNet-subnetten voor werkruimte:
- Werkruimtesubnetten: twee subnetten, een host of een openbaar subnet en een container of een privésubnet, zijn vereist voor de implementatie van de Azure Databricks-werkruimte zelf. Zie de richtlijnen voor adresruimte voor informatie over de grootte van subnetten van de werkruimte.
- Subnet van privé-eindpunt back-end: Er is een extra subnet vereist voor het hosten van het privé-eindpunt voor privé-connectiviteit met de back-end.
De grootte is afhankelijk van uw individuele implementatiebehoeften, maar u kunt het volgende als richtlijn gebruiken:
| VNet | Doel van de subnet | Aanbevolen CIDR-bereik |
|---|---|---|
| Transit | Subnet privé-eindpunt | /26 to /25 |
| Transit | Werkruimte voor browserverificatie |
/28 of /27 |
| Workspace | Backend privé-eindpunt-subnet | /27 |
Privé-eindpunten van Azure Databricks
Azure Databricks maakt gebruik van twee verschillende typen privé-eindpunten om verkeer volledig te privatiseringen. Begrijp hun verschillende rollen om ze correct te implementeren.
-
Werkruimte-eindpunt (
databricks_ui_api): dit is het primaire privé-eindpunt voor het beveiligen van kernverkeer naar en van uw werkruimte. Het verwerkt verbindingen voor zowel de front-end als de back-end. -
Eindpunt voor webverificatie (
browser_authentication): dit is een speciaal, extra eindpunt dat alleen nodig is om eenmalige Sign-On aanmelding (SSO) voor webbrowseraanmelding via een privéverbinding te laten werken. Dit is vereist voor front-end- en end-to-end-connectiviteit.
Let op het volgende voor het eindpunt voor webverificatie:
- SSO-callbackvereiste: wanneer u Private Link gebruikt voor clienttoegang, is dit eindpunt verplicht voor aanmelding via het web van gebruikers. Het verwerkt veilig de callbacks voor eenmalige aanmelding van Microsoft Entra-id die anders worden geblokkeerd in een particulier netwerk. Azure Databricks configureert automatisch de benodigde privé-DNS-records wanneer u dit eindpunt maakt. Dit proces heeft geen invloed op REST API-verificatie.
-
Implementatieregel: er kan slechts één
browser_authenticationeindpunt bestaan per Azure-regio en privé-DNS-zone. Dit ene eindpunt dient alle werkruimten in die regio die dezelfde DNS-configuratie delen. - Best practice voor productie: als u storingen wilt voorkomen, maakt u een toegewezen privéwerkruimte voor webverificatie in elke productieregio. Het enige doel is om dit kritieke eindpunt te hosten. Schakel openbare netwerktoegang voor deze werkruimte uit en controleer of er geen andere privé-eindpunten voor de front-end zijn gemaakt. Als deze hostwerkruimte wordt verwijderd, mislukt de webaanmelding voor alle andere werkruimten in de regio.
- Alternatieve configuratie: Voor eenvoudigere implementaties kunt u het eindpunt hosten in een bestaande werkruimte in plaats van een toegewezen werkruimte te maken. Dit is geschikt voor niet-productieomgevingen of als u zeker weet dat u slechts één werkruimte in de regio hebt. Houd er echter rekening mee dat als u de hostwerkruimte verwijdert, de verificatie onmiddellijk wordt verbroken voor andere werkruimten die hiervan afhankelijk zijn.
Privéconnectiviteit aan de front-end
In het volgende diagram ziet u de netwerkstroom voor privéconnectiviteit aan de front-end. Front-endconnectiviteit maakt gebruik van een databricks_ui_api privé-eindpunt en een browser_authentication privé-eindpunt via het transit-VNet om de verbinding van gebruikers en hun hulpprogramma's naar hun Azure Databricks-werkruimte te beveiligen.
Zie Front-end Private Link configureren.
Privé back-end connectiviteit
In het volgende diagram ziet u de netwerkstroom voor privé-back-endconnectiviteit. Back-end-privéconnectiviteit maakt gebruik van een databricks_ui_api privé-eindpunt via het werkruimte-VNet om de verbinding van uw Azure Databricks-clusters te beveiligen met de azure Databricks-kernservices die ze nodig hebben om te functioneren.
Zie Privéconnectiviteit van back-end configureren met Azure Databricks.
Belangrijke overwegingen
Voordat u privéconnectiviteit configureert, moet u rekening houden met het volgende:
- Als u een beleid voor netwerkbeveiligingsgroepen hebt ingeschakeld op het privé-eindpunt, moet u poort 443, 6666, 3306 en 8443-8451 toestaan voor binnenkomende beveiligingsregels in de netwerkbeveiligingsgroep in het subnet waarin het privé-eindpunt wordt geïmplementeerd.
- Als u een verbinding wilt maken tussen uw netwerk en Azure Portal en de bijbehorende services, moet u mogelijk URL's van Azure Portal toevoegen aan uw acceptatielijst. Zie De URL's van de Azure-portal op uw firewall of proxyserver toestaan.
De juiste Private Link-implementatie kiezen
Gebruik deze handleiding om te bepalen welke implementatie het beste bij uw behoeften past.
| Overweging | Hybride front-end | Alleen voor de back-end | End-to-end veilig |
|---|---|---|---|
| Primair beveiligingsdoel | Gebruikerstoegang beveiligen | Clusterverkeer beveiligen | Maximale isolatie (alles beveiligen) |
| Gebruikersconnectiviteit | Openbaar of privé | Openbaar (internet) | Alleen privé |
| Clusterconnectiviteit met besturingsvlak | Openbaar (standaard beveiligd pad) | Privé (vereist) | Privé (vereist) |
| Prerequisites | Premium-abonnement, VNet-injectie, SCC | Premium-abonnement, VNet-injectie, SCC | Premium-abonnement, VNet-injectie, SCC |
| Instelling voor netwerktoegang voor werkruimte | Openbare toegang ingeschakeld | Openbare toegang ingeschakeld | Openbare toegang uitgeschakeld |
| Vereiste NSG-regels | AlleRegels | NoAzureDatabricksRules | NoAzureDatabricksRules |
| Vereiste privé-eindpunten | Front-end (databricks_ui_api), browserverificatie | Back-end (databricks_ui_api) | Alle drie (front-end, back-end, browserauthenticatie) |
| Relatieve kosten | Kosten per eindpunt en gegevensoverdracht | Kosten per eindpunt en gegevensoverdracht | Hoogste kosten (meerdere eindpunten en gegevensoverdracht) |