Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Ta funkcja jest dostępna w publicznej wersji testowej.
Na tej stronie wyjaśniono, jak używać zasad punktu końcowego usługi sieci wirtualnej platformy Azure do filtrowania ruchu wychodzącego z klasycznej płaszczyzny obliczeniowej, zapewniając połączenia tylko do określonych kont usługi Azure Storage.
Co to są punkty końcowe usługi i zasady punktu końcowego usługi?
Punkty końcowe usługi i polityki współpracują ze sobą w celu utworzenia wzajemnie zatwierdzonego połączenia prywatnego.
- Punkty końcowe usługi sieci wirtualnej platformy Azure: aby zabezpieczyć ruch do usługi Azure Storage, włącz punkt końcowy usługi w podsieci sieci wirtualnej. Spowoduje to utworzenie bezpiecznego, bezpośredniego połączenia z usługą Azure Storage poprzez sieć szkieletową Azure, co zapewnia, że ruch nie trafia do publicznego Internetu.
- Zasady punktu końcowego usługi sieci wirtualnej platformy Azure: zasady punktu końcowego usługi są stosowane do tej samej podsieci co punkt końcowy usługi. Te zasady działają jako filtr w górnej części punktu końcowego, co pozwala ograniczyć połączenia tylko do określonych zdefiniowanych kont usługi Azure Storage. Ta kombinacja uniemożliwia eksfiltrację danych do nieautoryzowanych kont magazynowych.
Jak działają?
Na poniższej ilustracji przedstawiono omówienie sposobu konfigurowania punktów końcowych usługi i zasad punktu końcowego usługi:
- Tworzenie zasad usługi sieci wirtualnej platformy Azure. Zobacz Krok 1. Tworzenie zasad punktu końcowego usługi.
- Dodaj konta magazynu, do których potrzebujesz dostępu, do swojej polityki. Na przykład domyślne konta obszaru roboczego i konta magazynowania Unity Catalog. Konta przechowywania korzystające z prywatnych punktów końcowych nie muszą być dodawane do zasad.
- Dołącz zasady usługi do podsieci obszaru roboczego. Zobacz Krok 2. Dołączanie zasad do podsieci obszaru roboczego.
- Połącz punkt końcowy usługi sieci wirtualnej platformy
Microsoft.StorageAzure z podsiecią obszaru roboczego. Zasady punktu końcowego usługi dla podsieci są stosowane do punktu końcowego usługi. - Nie można uzyskać dostępu do niedozwolonego magazynu, ponieważ nie jest on dozwolony przez politykę.
Punkt końcowy usługi kieruje cały ruch sieciowy z obszaru roboczego usługi Azure Databricks, umożliwiając nawiązywanie połączeń z kontami magazynu zdefiniowanymi w zasadach i blokowanie wszystkich nieautoryzowanych prób.
Zalety punktów końcowych usługi
- Priorytet trasy i zabezpieczenia: punkty końcowe usługi tworzą ścieżkę routingu o wysokim priorytecie i bezpośrednią ścieżkę routingu do usług platformy Azure za pośrednictwem sieci szkieletowej platformy Azure. Ta zoptymalizowana trasa zastępuje większość tras zdefiniowanych przez użytkownika (UDR), pomagając zapobiegać przypadkowemu kierowaniu ruchu przez sieciowe urządzenie wirtualne (NVA) lub do internetu. To zachowanie zwiększa stan zabezpieczeń i pomaga zapobiegać eksfiltracji danych.
- Optymalizacja kosztów: ze względu na to, że ruch do usług platformy Azure pozostaje w sieci szkieletowej platformy Azure, unikasz opłat związanych z wyjściem za pośrednictwem bramy translatora adresów sieciowych lub wirtualnego urządzenia sieciowego.
Aby uzyskać więcej informacji, zobacz Punkty końcowe usługi sieci wirtualnej platformy Azure i Zasady punktu końcowego usługi sieci wirtualnej dla usługi Azure Storage .
Zalety zasad punktu końcowego usługi
- Zasięg globalny: Chociaż zasady punktu końcowego usługi są zasobem regionalnym, reguły w nim mogą być przeznaczone dla kont usługi Azure Storage w dowolnym regionie, subskrypcji lub dzierżawie. Dzięki temu polityka regionalna może zarządzać dostępem do globalnego przechowywania.
- Polityki addytywne: można skojarzyć wiele polityk z jedną podsiecią. Przypisania zasad mają charakter sumujący, co oznacza, że podsieć uzyskuje dostęp do sumowanego zestawu wszystkich dozwolonych kont magazynowych z wszystkich powiązanych zasad. Jest to przydatne w przypadku modelowania różnych wymagań dostępu.
Najlepsze rozwiązania
Dla każdego obszaru roboczego usługi Azure Databricks skonfiguruj zasady punktu końcowego usługi, które dotyczą konta magazynu głównego DBFS i wszystkich skojarzonych lokalizacji zewnętrznych katalogu Unity. Należy również dodać /services/Azure/Databricks alias usługi do tych zasad, aby zezwolić na dostęp do magazynu podstawowego usługi Azure Databricks. Aby zastosować różne zestawy reguł, można utworzyć dodatkowe zasady dla określonych środowisk, takich jak programowanie i produkcja.
Ważne
Zalecamy przejrzenie konfiguracji trasy zdefiniowanej przez użytkownika w celu sprawdzenia, czy działa ona z punktami końcowymi usługi skonfigurowanymi w podsieci. Trasy zdefiniowane przez użytkownika (UDRs) mogą wpływać na routing, na przykład na tagi usług magazynowania, i mogą pomijać punkty końcowe usług, jeśli są nieprawidłowo skonfigurowane. Polityki punktów końcowych serwisów kontrolują, które konta magazynu mają dostęp; Trasy zdefiniowane przez użytkownika nie mają bezpośredniego wpływu na te polityki.
Requirements
Uwaga / Notatka
Obszary robocze utworzone 14 lipca 2025 r. lub później domyślnie obsługują tworzenie zasad punktu końcowego usługi. W przypadku obszarów roboczych utworzonych przed tą datą skontaktuj się z zespołem konta usługi Databricks, aby zażądać dostępu.
Obszar roboczy usługi Azure Databricks musi spełniać następujące wymagania:
- Można wdrożyć we własnej sieci wirtualnej platformy Azure (VNet), znanej również jako iniekcja VNet. Zobacz Wdrażanie usługi Azure Databricks w sieci wirtualnej platformy Azure (iniekcja sieci wirtualnej).
- Użyj bezpiecznej łączności klastra (SCC). Zobacz Włączanie bezpiecznej łączności klastra.
- Grupa zasobów obszaru roboczego jest odblokowana, a sieć wirtualna nie ma niestandardowych konfiguracji ani zasad blokujących tę funkcję.
Konfigurowanie zasad punktu końcowego usługi
Przed dołączeniem polityki punktu końcowego usługi do publicznej podsieci obszaru roboczego, utwórz reguły polityki dla wszystkich kont magazynowych, do których klasyczne zasoby obliczeniowe uzyskują dostęp za pomocą punktów końcowych usługi. Wszystkie konta magazynu bez odpowiedniej reguły zasad są blokowane.
Krok 1. Tworzenie zasad punktu końcowego usługi
W witrynie Azure Portal wyszukaj pozycję Zasady punktu końcowego usługi i wybierz pozycję Utwórz zasady punktu końcowego usługi.
Na karcie Ustawienia podstawowe:
- Wybierz subskrypcję i region , który jest zgodny z siecią wirtualną obszaru roboczego.
- Wprowadź opisową nazwę zasad, na przykład
databricks-workspace-prod-westus. - Kliknij przycisk Dalej: definicje zasad.
Na karcie Definicje zasad dodaj magazyn zarządzany usługi Azure Databricks:
- Kliknij + Dodaj alias.
- Wybierz opcję
/services/Azure/Databricks. - Kliknij przycisk Dodaj.
Uwaga / Notatka
Alias
/services/Azure/Databrickszezwala tylko na dostęp do wymaganych kont magazynu zarządzanych przez usługę Databricks. Nie udziela dostępu do wszystkich kont pamięci masowej w regionie.Dodaj własne konta przechowywania:
- Kliknij + Dodaj, aby dodać zasób.
- W obszarze Zakres wybierz pozycję Pojedyncze konto.
- Dodaj domyślne konto magazynu DBFS obszaru roboczego, konta magazynu Unity Catalog oraz inne wymagane konta magazynu po kolei.
- Możesz w dowolnym momencie dodawać lub usuwać konta magazynu z polityki.
Kliknij pozycję Przejrzyj i utwórz, a następnie Utwórz.
Krok 2. Dołączanie zasad do podsieci obszaru roboczego
Zasady punktu końcowego usługi można dołączyć zarówno do podsieci publicznej, jak i prywatnej obszaru roboczego, ale tylko podsieć publiczna komunikuje się z przechowywaniem.
- W witrynie Azure Portal przejdź do sieci wirtualnej obszaru roboczego.
- Na pasku bocznym w obszarze Ustawienia kliknij pozycję Podsieci.
- Wybierz swoją podsieć publiczną.
- W ustawieniach podsieci przewiń do sekcji Punkty końcowe usługi .
- Z menu rozwijanego Usługi wybierz pozycję
Microsoft.Storage. - Przewiń do sekcji Zasady punktu końcowego usługi .
- Z menu rozwijanego Zasady wybierz utworzone wcześniej zasady.
- Kliknij przycisk Zapisz.
Validation
Aby zweryfikować konfigurację:
- Uruchom klaster usługi Azure Databricks w obszarze roboczym.
- Uruchom obciążenie, które odczytuje dane z konta magazynowego lub zapisuje je na koncie magazynowym uwzględnionym w zasadach. Operacja zakończy się pomyślnie.
- Spróbuj uzyskać dostęp do konta magazynowego, które nie jest uwzględnione w twojej polityce. Każde żądanie do konta przechowywania, które nie zostało zdefiniowane w polisie, zakończy się niepowodzeniem z powodu błędu autoryzacji.