Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Op deze pagina wordt beschreven hoe u IP-toegangslijsten configureert voor Azure Databricks-werkruimten. In dit artikel worden de meest voorkomende taken besproken die u kunt uitvoeren met behulp van de Databricks CLI.
U kunt ook de API IP-toegangslijsten gebruiken.
Opmerking
Toegangslijsten voor IP-adressen van werkruimten en op context gebaseerd toegangsbeheer van inkomend verkeer op accountniveau worden gezamenlijk afgedwongen. Een aanvraag moet door beide controles worden toegestaan om succesvol te zijn.
Besturingselementen voor inkomend verkeer op basis van context bieden een nauwkeurigere beveiliging door identiteit, aanvraagtype en netwerkbronvoorwaarden te combineren. Het is geconfigureerd op accountniveau en één beleid kan meerdere werkruimten beheren, waardoor consistente afdwinging binnen uw organisatie mogelijk is. Databricks raadt aan om toegangsbeheer op basis van context te gebruiken als uw primaire methode voor het beheren van toegang. Zie toegangsbeheer op basis van context.
IP-toegangslijsten voor werkruimten kunnen nog steeds worden gebruikt om alleen een extra beperkingslaag toe te voegen op basis van IP-adres, maar ze kunnen de toegang niet uitbreiden buiten de contextgebaseerde toegang.
Vereisten
- Voor deze functie is het Premium-abonnement vereist.
- IP-toegangslijsten ondersteunen alleen IPv4-adressen (Internet Protocol versie 4).
Als u beveiligde clusterconnectiviteit inschakelt in een werkruimte, moeten openbare IP-adressen die het rekenvlak gebruikt voor toegang tot het besturingsvlak worden toegevoegd aan een acceptatielijst of moet u back-end Private Link configureren. Anders kunnen klassieke rekenresources niet worden gestart.
Als u bijvoorbeeld beveiligde clusterconnectiviteit inschakelt in een werkruimte die gebruikmaakt van VNet-injectie, raadt Databricks aan dat uw werkruimte een stabiel openbaar IP-adres voor uitgaand verkeer heeft. Dat openbare IP-adres en andere ip-adressen moeten aanwezig zijn in een acceptatielijst. Zie Azure Databricks implementeren in uw virtuele Azure-netwerk (VNet-injectie). Als u een door Azure Databricks beheerd VNet gebruikt en u de beheerde NAT-gateway configureert voor toegang tot openbare IP-adressen, moeten deze IP-adressen aanwezig zijn in een acceptatielijst. Zie de Databricks Community-post voor meer informatie.
Controleer of voor uw werkruimte de functie IP-toegangslijst is ingeschakeld
Als u wilt controleren of voor uw werkruimte de functie IP-toegangslijst is ingeschakeld:
databricks workspace-conf get-status enableIpAccessLists
De functie IP-toegangslijst voor een werkruimte in- of uitschakelen
Geef enableIpAccessLists in een hoofdtekst van een JSON-aanvraag op als true (ingeschakeld) of false (uitgeschakeld).
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
Een IP-toegangslijst toevoegen
Wanneer de functie IP-toegangslijsten is ingeschakeld en er geen acceptatielijsten of bloklijsten voor de werkruimte zijn, zijn alle IP-adressen toegestaan. Als u IP-adressen toevoegt aan de acceptatielijst, worden alle IP-adressen geblokkeerd die niet in de lijst staan. Bekijk de wijzigingen zorgvuldig om onbedoelde toegangsbeperkingen te voorkomen.
Alle openbare IP-adressen die door het rekenvlak worden gebruikt voor toegang tot het besturingsvlak, moeten worden toegevoegd aan een acceptatielijst.
IP-toegangslijsten hebben een label, een naam voor de lijst en een lijsttype. Het lijsttype is ALLOW (acceptatielijst) of BLOCK (een blokkeringslijst, wat betekent dat items worden uitgesloten, zelfs als ze op de acceptatielijst staan).
Als u bijvoorbeeld een acceptatielijst wilt toevoegen:
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
IP-toegangslijsten weergeven
databricks ip-access-lists list
Een IP-toegangslijst bijwerken
Geef ten minste een van de volgende waarden op die u wilt bijwerken:
-
label- Label voor deze lijst. -
list_type:ALLOW(toegestane lijst) ofBLOCK(zwarte lijst, wat betekent dat deze worden uitgesloten, zelfs als ze op de toegestane lijst staan). -
ip_addresses: een JSON-matrix met IP-adressen en CIDR-bereiken, als tekenreekswaarden. -
enabled— Hiermee geeft u op of deze lijst is ingeschakeld. Doorgeventrueoffalse.
Het antwoord is een kopie van het object dat u hebt doorgegeven met extra velden voor de id en wijzigingsdatums.
Als u bijvoorbeeld een lijst wilt uitschakelen:
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
Een IP-toegangslijst verwijderen
Een IP-toegang verwijderen:
databricks ip-access-lists delete <list-id>
Volgende stappen
- IP-toegangslijsten configureren voor de accountconsole: STEL IP-beperkingen in voor toegang tot de accountconsole om te bepalen welke netwerken toegang hebben tot instellingen en API's op accountniveau. Zie IP-toegangslijsten configureren voor de accountconsole.
- Privéconnectiviteit configureren: Gebruik Private Link om beveiligde en geïsoleerde toegang tot Azure-services vanuit uw virtuele netwerk tot stand te brengen, waarbij het openbare internet wordt overgeslagen. Zie concepten van Azure Private Link.
- VNet-injectie configureren: VNet-injectie instellen met stabiel openbaar IP-adres voor uitgaand verkeer voor verbeterde netwerkbeveiliging. Zie Azure Databricks implementeren in uw virtuele Azure-netwerk (VNet-injectie).