Konfiguracja Front-end Private Link

Ta strona zawiera instrukcje dotyczące konfigurowania łączności prywatnej frontonu, która zabezpiecza połączenie między użytkownikami i obszarami roboczymi usługi Azure Databricks.

• Aby włączyć prywatną łączność zaplecza z usługą Azure Databricks, zobacz Pojęcia dotyczące usługi Azure Private Link.
• Aby nawiązać połączenie z bezserwerowej płaszczyzny obliczeniowej z zasobami platformy Azure, zobacz Konfigurowanie łączności prywatnej z zasobami platformy Azure.

Dlaczego warto wybrać połączenie front-end?

Bez względu na to, czy używasz bezserwerowych, czy klasycznych obliczeń, użytkownicy muszą łączyć się z usługą Azure Databricks. Organizacje decydują się na nawiązanie połączenia z usługą Azure Databricks z kilku powodów, w tym z następujących powodów:

• Zwiększone zabezpieczenia: Ograniczając cały dostęp do prywatnych punktów końcowych i wyłączając dostęp publiczny, można zminimalizować obszar ataków i sprawdzić, czy wszystkie interakcje użytkowników z usługą Azure Databricks występują w bezpiecznej sieci prywatnej.
• Wymagania dotyczące zgodności: Wiele organizacji ma ścisłe uprawnienia do zgodności, które wymagają, aby cały ruch na płaszczyźnie danych i zarządzania pozostał w granicach sieci prywatnej, nawet w przypadku usług SaaS, takich jak Azure Databricks.
• Uproszczona architektura sieci (w określonych przypadkach użycia): Jeśli korzystasz tylko z przetwarzania bezserwerowego lub podstawową interakcją z usługą Azure Databricks jest użycie internetowego interfejsu użytkownika lub interfejsów API REST i nie potrzebujesz natychmiastowej łączności prywatnej ze źródłami danych z usługi Azure Databricks (co wymaga połączenia zaplecza), konfiguracja tylko frontonu upraszcza ogólny projekt sieci.
• Zapobieganie eksfiltracji danych: Uniemożliwiając dostęp publiczny i wymuszając cały ruch za pośrednictwem prywatnych punktów końcowych, zmniejszasz ryzyko eksfiltracji danych, zapewniając dostęp do ruchu tylko z uwierzytelnionych środowisk sieciowych.

Model łączności

Łączność prywatną można skonfigurować na jeden z dwóch sposobów:

• Brak dostępu publicznego: ta konfiguracja wyłącza cały publiczny dostęp do obszaru roboczego. Cały ruch użytkowników musi pochodzić z sieci wirtualnej połączonej za pośrednictwem prywatnego punktu końcowego. Ten model jest wymagany do pełnej prywatyzacji ruchu. W przypadku pełnej prywatyzacji ruchu potrzebne jest również połączenie usługi Private Link zaplecza. Zobacz Pojęcia dotyczące usługi Azure Private Link.
• Dostęp hybrydowy: usługa Private Link jest aktywna, ale dostęp publiczny pozostaje włączony z kontrolami wejścia opartymi na kontekście i listami dostępu do adresów IP. Kontrolki dostępu oparte na kontekście umożliwiają ograniczenie dostępu na podstawie tożsamości, typu zapytania i źródła sieci. Dzięki temu można bezpiecznie zezwolić na dostęp z zaufanych źródeł publicznych (na przykład statycznych firmowych adresów IP), a jednocześnie używać usługi Private Link do łączności prywatnej.

W tym przewodniku wyjaśniono, jak zaimplementować model dostępu hybrydowego . Osiągamy to przy użyciu standardowej topologii sieci piasty i szprych.

Przegląd architektury

Ten model używa tranzytowej sieci wirtualnej:

• Tranzytowa sieć wirtualna: jest to centralna sieć wirtualna zawierająca wszystkie prywatne punkty końcowe wymagane do dostępu klienta do obszarów roboczych i uwierzytelniania przeglądarki. Obszar roboczy uwierzytelniania przeglądarki jest również połączony z tą siecią wirtualną.

Zanim rozpoczniesz

Zapoznaj się z następującymi wymaganiami wstępnymi i zaleceniami:

Requirements

• Obszar roboczy znajduje się w planie Premium.
• Masz obszar roboczy usługi Azure Databricks wdrożony z użyciem iniekcji VNet. Zobacz Wdrażanie usługi Azure Databricks w sieci wirtualnej platformy Azure (iniekcja sieci wirtualnej)
• Musisz mieć uprawnienia platformy Azure do tworzenia prywatnych punktów końcowych i zarządzania rekordami DNS.

Konfiguracja sieci

• Tranzytowa sieć wirtualna skonfigurowana dla następujących elementów:
  • Pełni rolę podstawowego punktu tranzytowego dla całego ruchu użytkownika/klienta łączącego się z siecią platformy Azure.
  • Zapewnia scentralizowaną łączność dla sieci lokalnych lub innych sieci zewnętrznych.
  • Zarządza usługami udostępnionymi i zawiera podstawową trasę dla wychodzącego ruchu internetowego (ruch wychodzący).
• Prywatne strefy DNS są zarządzane przez usługę Azure DNS.

Najlepsze rozwiązania

Usługa Azure Databricks zaleca następujące czynności w przypadku odpornej konfiguracji i zarządzania nią:

• Architektura: Sieć musi być zgodna z zalecaną przez firmę Microsoft architekturą piasty i szprych. Zobacz Topologia sieci hub-szprych w Azure.
• Obszar roboczy uwierzytelniania izolowanego: aby zwiększyć odporność, utwórz oddzielny obszar roboczy uwierzytelniania przeglądarki wewnątrz tranzytowej sieci wirtualnej. Ten dedykowany obszar roboczy powinien hostować prywatny punkt końcowy uwierzytelniania przeglądarki, uniemożliwiając pojedynczy punkt awarii, jeśli inne obszary robocze zostaną usunięte. Zobacz Krok 3. Tworzenie obszaru roboczegobrowser_authentication.

Konfigurowanie łączności prywatnej dla istniejącego obszaru roboczego

Przed rozpoczęciem należy zatrzymać wszystkie zasoby obliczeniowe, takie jak klastry, pule lub klasyczne magazyny SQL. Nie można uruchomić zasobów obliczeniowych obszaru roboczego lub próba uaktualnienia nie powiedzie się. Usługa Azure Databricks zaleca zaplanowanie czasu uaktualnienia na czas przestoju.

1. Na stronie Obszary robocze wybierz Zasoby obliczeniowe.
2. Wybierz każdy aktywny klaster obliczeniowy i w prawym górnym rogu kliknij przycisk Zakończ.

Krok 1. Zweryfikuj obszar roboczy z wstrzykniętym VNet i włączonym dostępem publicznym

1. Przejdź do obszaru roboczego usługi Azure Databricks w witrynie Azure Portal.
2. W sekcji Przegląd obszaru roboczego sprawdź, czy obszar roboczy usługi Azure Databricks używa własnej sieci wirtualnej:
   1. W obszarze Ustawienia wybierz kartę Sieć . Potwierdź następujące ustawienia:
      1. Bezpieczna łączność klastra (brak publicznego adresu IP) jest włączona.
      2. Pozycja Zezwalaj na dostęp do sieci publicznej jest włączona.

Krok 2. Tworzenie databricks_ui_api prywatnego punktu końcowego

1. Na karcie Sieć obszaru roboczego wybierz pozycję Połączenia prywatnego punktu końcowego.
2. Kliknij Prywatny punkt końcowy.
3. Wybierz grupę zasobów dla punktu końcowego, podaj nazwę na przykład my-workspace-fe-pe. Sprawdź, czy region jest zgodny z obszarem roboczym.
4. Kliknij przycisk Dalej: zasób.
5. Ustaw docelowy zasób podrzędny na databricks_ui_api.
6. Kliknij przycisk Dalej: Sieć wirtualna.
7. Wybierz tranzytowa sieć wirtualna. Tranzytowa sieć wirtualna to oddzielna, wstępnie istniejąca sieć wirtualna w architekturze sieci, która zarządza i zabezpiecza ruch wychodzący, często zawierając centralny firewall.
8. Wybierz podsieć, która hostuje prywatne punkty końcowe.
9. Kliknij przycisk Dalej i sprawdź, czy opcja Integracja z prywatną strefą DNS jest ustawiona na wartość Tak. Powinna ona automatycznie wybrać strefę privatelink.azuredatabricks.net .

Krok 3. Tworzenie obszaru roboczego browser_authentication

Utwórz prywatny punkt końcowy do uwierzytelniania przeglądarki internetowej, aby obsłużyć jednokrotne logowanie za pośrednictwem prywatnej ścieżki sieciowej. Usługa Azure Databricks zaleca hostowanie tego punktu końcowego w dedykowanym prywatnym obszarze roboczym uwierzytelniania w sieci Web.

Tworzenie grupy zasobów

1. W witrynie Azure Portal przejdź do strony i wybierz pozycję Grupy zasobów.
2. Kliknij pozycję + Utwórz.
3. Podaj nazwę grupy zasobów, na przykład web-auth-rg-eastus.
4. W obszarze Region wybierz ten sam region świadczenia usługi Azure, w którym wdrożono produkcyjne obszary robocze usługi Databricks.
5. Kliknij pozycję Przejrzyj i utwórz, a następnie Utwórz.

Tworzenie sieci wirtualnej

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Sieci wirtualne.
2. Kliknij pozycję + Utwórz.
3. Na karcie Podstawy wybierz właśnie utworzoną grupę zasobów i nadaj sieci wirtualnej opisową nazwę, taką jak web-auth-vnet-eastus.
4. Sprawdź, czy region jest zgodny z twoją grupą zasobów.
5. Na karcie Adresy IP zdefiniuj przestrzeń adresów IP dla sieci wirtualnej, na przykład 10.20.0.0/16. Zostanie również wyświetlony monit o utworzenie początkowej podsieci.
6. Wybierz pozycję Przejrzyj i utwórz, a następnie pozycję Utwórz.

Tworzenie i zabezpieczanie prywatnego obszaru roboczego uwierzytelniania sieci Web

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure Databricks. Kliknij pozycję + Utwórz.
2. Na karcie Podstawowe skonfiguruj następujące ustawienia:
   1. Wybierz właśnie utworzoną grupę zasobów .
   2. Nadaj obszarowi roboczemu opisową nazwę, na przykład WEB_AUTH_DO_NOT_DELETE_<region>.
   3. Wybierz ten sam region co grupa zasobów i sieć wirtualna.
3. Kliknij przycisk Dalej:Sieć i skonfiguruj następujące elementy:
   1. Wdróż obszar roboczy usługi Azure Databricks z bezpiecznym połączeniem klastra (bez publicznego adresu IP): wybierz pozycję Tak.
   2. Wdróż obszar roboczy usługi Azure Databricks we własnej sieci wirtualnej: wybierz pozycję Tak.
   3. Sieć wirtualna: wybierz właśnie utworzoną sieć wirtualną. Zostanie wyświetlony monit o zdefiniowanie zakresów podsieci.
   4. Dostęp do sieci publicznej: wybierz pozycję Wyłączone.
   5. Wymagane reguły NSG: wybierz NoAzureDatabricksRules.
4. Kliknij pozycję Przejrzyj i utwórz, a następnie Utwórz.

Po utworzeniu obszaru roboczego należy go chronić przed przypadkowym usunięciem.

1. W witrynie Azure Portal przejdź do właśnie utworzonego obszaru roboczego.
2. Przejdź do pozycji Ustawienia i wybierz pozycję Blokady.
3. Kliknij pozycję + Dodaj.
4. Ustaw wartość Typ blokady na Usuń i podaj opisową nazwę blokady.
5. Kliknij przycisk OK.

Utwórz prywatny punkt końcowy browser_authentication

Po utworzeniu obszaru roboczego należy utworzyć browser_authentication prywatny punkt końcowy, aby połączyć go z tranzytową siecią VNet.

1. Na karcie Sieć obszaru roboczego uwierzytelniania internetowego wybierz pozycję Połączenia z prywatnym punktem końcowym.
2. Kliknij Prywatny punkt końcowy.
3. Wybierz grupę zasobów dla punktu końcowego, podaj nazwę na przykład web-auth-browser-auth-pe. Sprawdź, czy region jest zgodny z obszarem roboczym.
4. Kliknij przycisk Dalej: zasób.
5. Ustaw docelowy zasób podrzędny na browser_authentication.
6. Kliknij przycisk Dalej: Sieć wirtualna.
7. Wybierz tranzytową sieć wirtualną (tę samą sieć wirtualną wykorzystaną w kroku 2 dla punktu końcowego databricks_ui_api).
8. Wybierz podsieć, która hostuje prywatne punkty końcowe.
9. Kliknij przycisk Dalej i sprawdź, czy opcja Integracja z prywatną strefą DNS jest ustawiona na wartość Tak. Powinna ona automatycznie wybrać strefę privatelink.azuredatabricks.net .
10. Ukończ tworzenie punktu końcowego.

Krok 4. Konfigurowanie i weryfikowanie systemu DNS

Po wdrożeniu prywatnych punktów końcowych należy sprawdzić, czy usługa DNS prawidłowo rozpoznaje adresy URL usługi Azure Databricks w nowych prywatnych adresach IP.

1. Sprawdź prywatne rekordy strefy DNS:
   1. W witrynie Azure Portal wyszukaj i przejdź do prywatnej strefy DNS o nazwie privatelink.azuredatabricks.net.
   2. Sprawdź, czy istnieją następujące A rekordy i wskaż prywatne adresy IP punktów końcowych:
      1. Rekord interfejsu użytkownika/interfejsu API obszaru roboczego:
         • Nazwa: Unikatowy identyfikator obszaru roboczego, na przykład adb-xxxxxxxxxxxxxxxx.x
         • Wartość: prywatny adres IP prywatnego punktu końcowego databricks_ui_api .
      2. Rekord uwierzytelniania przeglądarki:
         • Nazwa: wybierz opisową nazwę, taką jak pl-auth.<your_region>.
         • Wartość: prywatny adres IP prywatnego punktu końcowego browser_authentication .

Krok 5. Weryfikowanie dostępu do sieci prywatnej

Upewnij się, że możesz uzyskać dostęp do obszaru roboczego za pośrednictwem połączenia z siecią prywatną.

Z połączonej sieci

Jeśli sieć lokalna jest już połączona z siecią wirtualną platformy Azure, za pomocą sieci VPN lub usługi ExpressRoute, test jest prosty:

• Na komputerze otwórz przeglądarkę internetową i przejdź bezpośrednio do adresu URL obszaru roboczego usługi Azure Databricks, aby się zalogować. Pomyślne zalogowanie potwierdza, że połączenie prywatne działa.

Korzystanie z testowej maszyny wirtualnej

Jeśli nie możesz uzyskać dostępu do sieci wirtualnej obszaru roboczego z bieżącej lokalizacji, utwórz tymczasową maszynę wirtualną ("maszynę pośredniczącą") do testów.

1. Tworzenie maszyny wirtualnej: W witrynie Azure Portal utwórz maszynę wirtualną z systemem Windows. Umieść go w podsieci przy użyciu tej samej sieci wirtualnej tranzytowej (VNet), w której skonfigurowano prywatny punkt końcowy układu front-end.
2. Nawiąż połączenie z maszyną wirtualną: Użyj klienta pulpitu zdalnego, aby nawiązać połączenie z nową maszyną wirtualną.
3. Przetestuj z maszyny wirtualnej: Po nawiązaniu połączenia z maszyną wirtualną otwórz przeglądarkę internetową, przejdź do witryny Azure Portal i znajdź obszar roboczy usługi Azure Databricks.
4. Uruchom obszar roboczy: Kliknij pozycję Uruchom obszar roboczy. Pomyślne zalogowanie potwierdza, że dostęp z prywatnej sieci wirtualnej działa prawidłowo.

Weryfikowanie usługi DNS za pomocą polecenia nslookup

1. Połącz się z maszyną wirtualną w skonfigurowanej sieci wirtualnej lub z siecią lokalną za pośrednictwem sieci VPN lub usługi Azure ExpressRoute. Maszyna musi mieć możliwość korzystania z prywatnej usługi DNS platformy Azure.
2. Otwórz wiersz polecenia lub terminal i użyj polecenia nslookup , aby zweryfikować rozpoznawanie nazw DNS.

# Verify the workspace URL resolves to a private IP
nslookup adb-xxxxxxxxxxxxxxxx.x.azuredatabricks.net

# Expected output:
# Server:  <your-dns-server>
# Address: <your-dns-server-ip>
#
# Name:    adb-xxxxxxxxxxxxxxxx.x.privatelink.azuredatabricks.net
# Address: 10.10.1.4  <-- This should be the private IP of your 'databricks_ui_api' endpoint
# Aliases: adb-xxxxxxxxxxxxxxxx.x.azuredatabricks.net

Niestandardowa konfiguracja DNS

W przypadku korzystania z prywatnego punktu końcowego front-end z własnym niestandardowym systemem DNS należy sprawdzić, czy zarówno adres URL obszaru roboczego, jak i adresy URL uwierzytelniania SSO (Single Sign-On) są prawidłowo rozpoznawane jako adres IP prywatnego punktu końcowego.

Zalecane: przekazywanie warunkowe

Najbardziej niezawodną metodą jest skonfigurowanie serwera DNS do przekazywania zapytań dotyczących wszystkich domen usługi Databricks do wewnętrznego systemu DNS platformy Azure.

1. Skonfiguruj przekazywanie warunkowe dla następujących domen na serwerze Usługi Azure DNS:
   • *.azuredatabricks.net
   • *.privatelink.azuredatabricks.net
   • *.databricksapps.com
2. Sprawdź, czy sieć wirtualna jest połączona z prywatną strefą DNS platformy Azure.

To umożliwia platformie Azure automatyczne rozpoznawanie wszystkich niezbędnych nazw hostów, w tym adresów URL logowania jednokrotnego (SSO) i obszarów roboczych, na adres IP prywatnego punktu końcowego.

Alternatywa: ręczne rekordy

Jeśli przekazywanie warunkowe nie jest opcją, należy ręcznie utworzyć rekordy DNS A .

1. Adres URL obszaru roboczego: Utwórz rekord A, który mapuje adres URL swojego obszaru roboczego, taki jak adb-1111111111111.15.azuredatabricks.net, na prywatny adres IP punktu końcowego.
2. URL uwierzytelniania SSO: Utwórz rekord mapujący regionalny adres URL SSO, taki jak A, na westus.pl-auth.azuredatabricks.net prywatny adres IP punktu końcowego.

Niektóre regiony platformy Azure używają wielu wystąpień płaszczyzny sterowania dla jednokrotnego logowania. Może być konieczne utworzenie kilku A rekordów na potrzeby uwierzytelniania. Skontaktuj się z zespołem konta usługi Azure Databricks, aby uzyskać pełną listę domen dla Twojego regionu.

Dalsze kroki

• Konfigurowanie łączności prywatnej zaplecza z usługą Azure Databricks
• Konfigurowanie list dostępu do adresów IP dla obszarów roboczych