Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawiono konfiguracje sieci na potrzeby wdrażania kont i obszarów roboczych usługi Azure Databricks oraz zarządzania nimi.
Uwaga / Notatka
Azure Databricks nalicza koszty sieciowe, gdy praca bezserwerowa łączy się z zasobami klienta. Zobacz Omówienie kosztów sieci bezserwerowych usługi Databricks.
Omówienie architektury usługi Azure Databricks
Usługa Azure Databricks działa poza płaszczyzną sterowania i płaszczyzną obliczeniową.
- Płaszczyzna sterowania obejmuje usługi zaplecza zarządzane przez usługę Azure Databricks na koncie usługi Azure Databricks. Aplikacja internetowa znajduje się na płaszczyźnie sterowania.
- To na płaszczyźnie obliczeniowej przetwarzane są twoje dane. Istnieją dwa typy płaszczyzn obliczeniowych w zależności od używanych zasobów obliczeniowych.
- W przypadku klasycznych zasobów obliczeniowych usługi Azure Databricks zasoby obliczeniowe znajdują się w subskrypcji platformy Azure w tak zwanej klasycznej płaszczyźnie obliczeniowej. Dotyczy to sieci w ramach subskrypcji platformy Azure i jej zasobów. Klasyczne zasoby płaszczyzny obliczeniowej znajdują się w regionie, w którym znajduje się obszar roboczy.
- W przypadku bezserwerowych zasobów obliczeniowych zasoby te działają na bezserwerowej płaszczyźnie obliczeniowej na koncie usługi Azure Databricks. Zasoby bezserwerowej płaszczyzny obliczeniowej znajdują się w tym samym regionie chmury co klasyczna płaszczyzna obliczeniowa obszaru roboczego. Ten region należy wybrać podczas tworzenia obszaru roboczego.
Aby dowiedzieć się więcej o klasycznych obliczeniach i bezserwerowych obliczeniach, zobacz Obliczenia. Aby uzyskać dodatkowe informacje o architekturze, zobacz Architektura wysokiego poziomu.
Zabezpieczanie łączności sieciowej
Usługa Azure Databricks domyślnie zapewnia bezpieczne środowisko sieciowe, ale jeśli organizacja ma dodatkowe potrzeby, możesz skonfigurować funkcje łączności sieciowej między różnymi połączeniami sieciowymi przedstawionymi na poniższym diagramie.
- Użytkownicy i aplikacje w usłudze Azure Databricks: możesz skonfigurować funkcje w celu kontrolowania dostępu i zapewniania prywatnej łączności między użytkownikami a obszarami roboczymi usługi Azure Databricks. Zobacz Użytkownicy w sieci usługi Azure Databricks.
- Płaszczyzna sterowania i klasyczna płaszczyzna obliczeniowa: klasyczne zasoby obliczeniowe, takie jak klastry, są wdrażane w ramach subskrypcji platformy Azure i łączą się z płaszczyzną sterowania. Możesz użyć klasycznych funkcji łączności sieciowej, aby wdrożyć klasyczne zasoby płaszczyzny obliczeniowej we własnych sieciach wirtualnych i włączyć prywatną łączność z klastrów do płaszczyzny sterowania. Zobacz Klasyczne sieci płaszczyzny obliczeniowej.
- Bezserwerowa płaszczyzna obliczeniowa i magazyn: Można skonfigurować prywatne i dedykowane połączenia z bezserwerowej płaszczyzny obliczeniowej do magazynu. Zobacz Sieciowanie bezserwerowej warstwy obliczeniowej.
Możesz skonfigurować funkcje sieciowe usługi Azure Storage, takie jak prywatne punkty końcowe, aby zabezpieczyć połączenie między klasyczną płaszczyzną obliczeniową a zasobami platformy Azure. Zobacz przyznanie dostępu swojemu środowisku Azure Databricks do Azure Data Lake Storage oraz rekomendacje sieciowe dla Lakehouse Federation.
Możesz również włączyć obsługę zapory sieciowej, aby ograniczyć dostęp do konta magazynu danych przestrzeni roboczej z autoryzowanych sieci i połączeń. Zobacz Włącz obsługę zapory dla konta magazynu twojego obszaru roboczego.
Łączność między płaszczyzną sterowania a bezserwerową płaszczyzną obliczeniową jest zawsze za pośrednictwem sieci szkieletowej platformy Azure, a nie publicznego Internetu.
Wprowadzenie
Zapoznaj się z architekturą sieci usługi Databricks i zapoznaj się z kluczowymi pojęciami.
| Temat | Description |
|---|---|
| Omówienie architektury usługi Databricks | Dowiedz się więcej o architekturze płaszczyzny sterowania i płaszczyzny obliczeniowej, która stanowi podstawę sieci usługi Databricks. |
| Link prywatny platformy Azure | Ustanów połączenia prywatne między siecią a usługą Databricks przy użyciu usługi Azure Private Link w celu zapewnienia zwiększonych zabezpieczeń. |
| Omówienie kosztów transferu danych i łączności | Dowiedz się więcej na temat cen transferu danych i optymalizowania kosztów funkcji łączności sieciowej. |
Connectivity
Skonfiguruj bezpieczne połączenia sieciowe na potrzeby dostępu przychodzącego do obszarów roboczych i łączności wychodzącej z zasobów obliczeniowych.
| Temat | Description |
|---|---|
| Sieć front-endowa | Skonfiguruj mechanizmy kontroli dostępu do sieci dla użytkowników łączących się z obszarami roboczymi usługi Databricks za pośrednictwem interfejsu internetowego i interfejsów API. |
| Front-end Private Link | Włącz łączność prywatną z sieci firmowej do obszarów roboczych usługi Databricks przy użyciu usługi Azure Private Link. |
| Sieć bezserwerowej płaszczyzny obliczeniowej | Skonfiguruj bezpieczny dostęp sieciowy między bezserwerowymi zasobami obliczeniowymi a źródłami danych i usługami. |
| Prywatna łączność z zasobami platformy Azure | Ustanawianie połączeń prywatnych z zasobów obliczeniowych bezserwerowych do usług Azure Storage, SQL Database i innych usług platformy Azure. |
| Prywatna łączność z zasobami w sieci wirtualnej | Łączenie bezserwerowych zasobów obliczeniowych z zasobami działającymi we własnej sieci wirtualnej przy użyciu prywatnych punktów końcowych. |
| Zarządzanie regułami prywatnego punktu końcowego | Konfigurowanie reguł prywatnych punktów końcowych i zarządzanie nimi na potrzeby bezserwerowej łączności obliczeniowej. |
| Klasyczna sieć płaszczyzn obliczeniowych | Dowiedz się więcej o opcjach sieci dla klasycznych zasobów obliczeniowych wdrożonych w sieci wirtualnej. |
| Wdrażanie usługi Azure Databricks w sieci wirtualnej | Hostowanie klastrów usługi Databricks we własnej sieci wirtualnej platformy Azure na potrzeby rozszerzonej kontroli sieci (iniekcja sieci wirtualnej). |
| Równorzędne sieci wirtualne | Połącz sieć wirtualną usługi Databricks z innymi sieciami wirtualnymi w subskrypcji platformy Azure, aby uzyskać dostęp do dodatkowych zasobów. |
| Łączenie obszaru roboczego z siecią lokalną | Rozszerz sieć firmową na usługę Databricks przy użyciu sieci VPN lub usługi Azure ExpressRoute. |
| Połączenie prywatne na zapleczu | Ustanów prywatne połączenie między klasycznymi zasobami obliczeniowymi a płaszczyzną sterowania Databricks. |
| Ustawienia trasy zdefiniowane przez użytkownika | Skonfiguruj trasy zdefiniowane przez użytkownika (UDR), aby kontrolować przepływ ruchu wychodzącego z klastrów usługi Databricks. |
| Aktualizowanie konfiguracji sieci obszaru roboczego | Modyfikowanie konfiguracji sieci dla istniejących obszarów roboczych. |
| Bezpieczna łączność klastra | Umożliwiaj wyłącznie łączność ruchu wychodzącego z klastrów do płaszczyzny sterowania, bez żadnych otwartych portów przychodzących. |
Bezpieczeństwo sieci
Zaimplementuj mechanizmy kontroli zabezpieczeń, aby ograniczyć i monitorować dostęp do sieci.
| Temat | Description |
|---|---|
| Co to jest kontrola ruchu wychodzącego w architekturze bezserwerowej? | Ogranicz wychodzące połączenia sieciowe z bezserwerowych zasobów obliczeniowych, aby zapobiec eksfiltracji danych i wymuszać zgodność. |
| Zarządzanie zasadami sieciowymi w celu kontroli bezserwerowego ruchu wychodzącego | Tworzenie zasad sieciowych definiujących dozwolone połączenia wychodzące z bezserwerowych obliczeń i zarządzanie nimi. |
| Omówienie list dostępu do adresów IP | Dowiedz się, jak używać list dostępu do adresów IP, aby kontrolować, które adresy IP mogą uzyskiwać dostęp do obszarów roboczych usługi Databricks. |
| Listy dostępu do adresów IP dla obszarów roboczych | Skonfiguruj mechanizmy kontroli dostępu ip na poziomie obszaru roboczego, aby ograniczyć dostęp z zatwierdzonych sieci. |
| Listy dostępu do adresów IP dla konsoli konta | Ustaw ograniczenia adresów IP na poziomie konta, które mają zastosowanie w wielu obszarach roboczych na potrzeby scentralizowanego zarządzania zabezpieczeniami. |
| Konfigurowanie zasad punktu końcowego usługi na potrzeby dostępu do magazynu | Użyj punktów końcowych usługi platformy Azure, aby zabezpieczyć łączność między usługą Databricks i kontami usługi Azure Storage. |
| Włączanie obsługi zapory dla konta magazynu obszaru roboczego | Skonfiguruj reguły zapory usługi Azure Storage, aby zezwolić na dostęp z klasycznych zasobów obliczeniowych usługi Databricks. |
| Konfigurowanie zapory usługi Azure Storage pod kątem bezserwerowego dostępu obliczeniowego | Użyj stabilnych tagów usługi, aby skonfigurować reguły zapory usługi Azure Storage dla bezserwerowej łączności obliczeniowej. |
| Reguły zapory nazw domen | Skonfiguruj reguły zapory oparte na domenie, aby zezwalać na usługi Databricks za pośrednictwem mechanizmów kontroli zabezpieczeń sieci. |
| Szablon ARM do konfiguracji zapory | Użyj szablonów Azure Resource Manager, aby zautomatyzować konfigurację zapory sieciowej dla kont magazynowych w obszarze roboczym. |