Konfigurowanie prywatnej łączności z zasobami platformy Azure

W tym artykule opisano sposób konfigurowania łączności prywatnej z zasobów obliczeniowych bezserwerowych przy użyciu interfejsu użytkownika konsoli konta usługi Azure Databricks. Możesz również użyć interfejsu API konfiguracji łączności sieciowej.

Jeśli skonfigurujesz zasób platformy Azure tak, aby akceptował tylko połączenia z prywatnych punktów końcowych, każde połączenie z zasobem z klasycznych zasobów obliczeniowych usługi Databricks musi również używać prywatnych punktów końcowych.

Aby skonfigurować zaporę usługi Azure Storage umożliwiającą bezserwerowy dostęp do zasobów obliczeniowych przy użyciu podsieci, zamiast tego przejdź do Konfigurowanie zapory dla dostępu bezserwerowego do zasobów obliczeniowych. Aby zarządzać istniejącymi regułami prywatnego punktu końcowego, zobacz Zarządzanie regułami prywatnego punktu końcowego.

Omówienie łączności prywatnej dla obliczeń bezserwerowych

Bezserwerowa łączność sieciowa jest zarządzana przy użyciu konfiguracji łączności sieciowej (NCC). Administratorzy konta tworzą NCC w konsoli konta, a NCC może być przypisane do jednej lub więcej przestrzeni roboczych.

Po dodaniu prywatnego punktu końcowego w NCC, usługa Azure Databricks tworzy żądanie prywatnego punktu końcowego dla zasobu platformy Azure. Po zaakceptowaniu żądania po stronie zasobu prywatny punkt końcowy jest używany do uzyskiwania dostępu do zasobów z bezserwerowej płaszczyzny obliczeniowej. Prywatny punkt końcowy jest przeznaczony dla konta usługi Azure Databricks i dostępny tylko z autoryzowanych obszarów roboczych.

Prywatne punkty końcowe NCC są obsługiwane przez magazyny SQL, zadania, notesy, deklaratywne potoki Lakeflow Spark oraz punkty końcowe służące do obsługi modeli.

Aby uzyskać więcej informacji na temat kontrolerów sieci, zobacz Co to jest konfiguracja łączności sieciowej (NCC)?.

Demonstracja wideo

Ten film wideo zawiera szczegółowe omówienie konfiguracji łączności sieciowej (7 minut).

Wymagania

• Twoje konto i obszar roboczy muszą znajdować się w planie Premium.
• Musisz być administratorem konta usługi Azure Databricks.
• Każde konto usługi Azure Databricks może mieć maksymalnie 10 NCC na region.
• Każdy region może mieć 100 prywatnych punktów końcowych, rozmieszczonych według potrzeb w 1–10 NCC.
• Każde NCC może być dołączone do maksymalnie 50 obszarów roboczych.

Krok 1. Tworzenie konfiguracji łączności sieciowej

Usługa Databricks zaleca udostępnianie NCC między obszarami roboczymi w ramach tej samej jednostki biznesowej i tymi, które współużytkują te same właściwości regionalnej łączności. Jeśli na przykład niektóre obszary robocze używają usługi Private Link, a inne obszary robocze używają włączania funkcji zapory, użyj oddzielnych NCC dla tych przypadków użycia.

1. Jako administrator konta przejdź do konsoli konta.
2. Na pasku bocznym kliknij pozycję Zabezpieczenia.
3. Kliknij pozycję Konfiguracje łączności sieciowej.
4. Kliknij pozycję Dodaj konfigurację sieci.
5. Wpisz nazwę dla NCC.
6. Wybierz region. Musi to być zgodne z regionem obszaru roboczego.
7. Kliknij przycisk Dodaj.

Krok 2. Dołącz NCC do obszaru roboczego

1. Na pasku bocznym konsoli konta kliknij pozycję Obszary robocze.
2. Kliknij nazwę obszaru roboczego.
3. Kliknij pozycję Aktualizuj obszar roboczy.
4. W polu Konfiguracje łączności sieciowej wybierz kontroler sieci. Jeśli nie jest widoczny, upewnij się, że wybrano ten sam region Azure zarówno dla obszaru roboczego, jak i NCC.
5. Kliknij Aktualizuj.
6. Poczekaj 10 minut na zastosowanie zmiany.
7. Uruchom ponownie wszystkie uruchomione usługi bezserwerowe w obszarze roboczym.

Krok 3. Tworzenie reguł prywatnego punktu końcowego

Musisz utworzyć regułę prywatnego punktu końcowego w kontrolerze domeny dla każdego zasobu platformy Azure.

1. Pobierz listę identyfikatorów zasobów platformy Azure dla wszystkich miejsc docelowych.
   1. Na innej karcie przeglądarki użyj portalu Azure, aby przejść do usług Azure związanych ze źródłem danych.
   2. Na stronie Przegląd poszukaj w sekcji Podstawy.
   3. Kliknij link JSON Widok. Identyfikator zasobu usługi jest wyświetlany w górnej części strony.
   4. Skopiuj ten identyfikator zasobu do innej lokalizacji. Powtórz dla wszystkich miejsc docelowych. Aby uzyskać więcej informacji na temat znajdowania identyfikatora zasobu, zobacz Wartości prywatnej strefy DNS prywatnego punktu końcowego platformy Azure.
2. Przejdź z powrotem do karty przeglądarki konsoli konta.
3. Na pasku bocznym kliknij pozycję Zabezpieczenia.
4. Kliknij pozycję Konfiguracje łączności sieciowej.
5. Wybierz NCC utworzony w kroku 1.
6. W obszarze Reguły prywatnego punktu końcowego kliknij pozycję Dodaj regułę prywatnego punktu końcowego.
7. W polu Identyfikator zasobu platformy Azure wklej identyfikator dla swojego zasobu.
8. W polu Identyfikator podzasobu platformy Azure określ identyfikator docelowy i typ podzasobu. Każda reguła prywatnego punktu końcowego musi używać innego identyfikatora podsieci. Aby uzyskać listę obsługiwanych typów podźródła, zobacz Obsługiwane zasoby.
9. Kliknij przycisk Dodaj.
10. Poczekaj kilka minut, aż wszystkie reguły punktu końcowego mają stan PENDING.

Krok 4: Zatwierdź nowe prywatne punkty końcowe na swoich zasobach

Punkty końcowe nie będą obowiązywać, dopóki administrator z uprawnieniami do zasobu nie zatwierdzi nowego prywatnego punktu końcowego. Aby zatwierdzić prywatny punkt końcowy przy użyciu witryny Azure Portal, wykonaj następujące czynności:

1. W witrynie Azure Portal przejdź do zasobu.

2. Na pasku bocznym kliknij pozycję Sieć.

3. Kliknij Połączenia prywatnych punktów końcowych.

4. Kliknij kartę Dostęp prywatny.

5. W sekcji Połączenia prywatnych punktów końcowych, sprawdź listę prywatnych punktów końcowych.

6. Kliknij pole wyboru obok każdego z nich, aby zatwierdzić, a następnie kliknij przycisk Zatwierdź nad listą.

7. Wróć do swojego NCC w usłudze Azure Databricks i odśwież stronę przeglądarki, dopóki wszystkie reguły punktu końcowego nie będą miały stanu ESTABLISHED.

   

(Opcjonalnie) Krok 5. Ustawianie zasobów w celu uniemożliwiania dostępu do sieci publicznej

Jeśli nie ograniczyłeś jeszcze dostępu do swoich zasobów jedynie do sieci znajdujących się na liście dozwolonych, możesz to zrobić.

1. Przejdź do portalu Azure Portal.
2. Przejdź do konta magazynowego dla źródła danych.
3. Na pasku bocznym kliknij pozycję Sieć.
4. W polu Dostęp do sieci publicznej sprawdź wartość. Domyślnie wartość to włączone we wszystkich sieciach. Zmień to na Wyłączone

Konfigurowanie usługi Private Link do usługi Azure App Gateway w wersji 2

Jeśli konfigurujesz Private Link z zasobem usługi Azure App Gateway v2, musisz użyć interfejsu API REST do konfiguracji łączności sieciowej zamiast interfejsu użytkownika konsoli konta. Usługa Azure App Gateway w wersji 2 wymaga dodatkowych parametrów konfiguracji, takich jak identyfikator zasobu, identyfikator grupy i nazwy domen.

1. Użyj następującego wywołania interfejsu API, aby utworzyć regułę prywatnego punktu końcowego z konfiguracją nazwy domeny:

   curl --location 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \
   --header 'Content-Type: application/json' \
   --header 'Authorization: Bearer <TOKEN>' \
   --data '{
      "domain_names": [
         "<YOUR_DOMAIN_HERE>"
      ],
      "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>",
      "group_id": "<GROUP_ID>"
   }'
   

2. Jeśli musisz zmodyfikować nazwy domen dla istniejącej reguły prywatnego punktu końcowego, użyj następującego żądania PATCH:

   curl --location --request PATCH 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \
   --header 'Content-Type: application/json' \
   --header 'Authorization: Bearer <TOKEN>' \
   --data '{
      "domain_names": [
         "<YOUR_DOMAIN_HERE>"
      ]
   }'
   

3. Aby wypisać, wyświetlić lub usunąć reguły prywatnego punktu końcowego usługi App Gateway, użyj standardowych operacji interfejsu API konfiguracji łączności sieciowej udokumentowanych w interfejsie API konfiguracji łączności sieciowej.

Krok 7. Ponowne uruchamianie bezserwerowych zasobów płaszczyzny obliczeniowej i testowanie połączenia

1. Po poprzednim kroku poczekaj pięć dodatkowych minut na propagację zmian.
2. Uruchom ponownie wszystkie uruchomione bezserwerowe zasoby płaszczyzny obliczeniowej w obszarach roboczych, do których dołączony jest Twój NCC. Jeśli nie masz żadnych uruchomionych zasobów bezserwerowej płaszczyzny obliczeniowej, uruchom je teraz.
3. Upewnij się, że wszystkie zasoby zostały uruchomione pomyślnie.
4. Uruchom co najmniej jedno zapytanie w źródle danych, aby potwierdzić, że bezserwerowa usługa SQL Warehouse może uzyskać dostęp do źródła danych.

Dalsze kroki

• Zarządzanie regułami prywatnego punktu końcowego: kontrolowanie i modyfikowanie istniejących konfiguracji prywatnych punktów końcowych, w tym aktualizowanie identyfikatorów zasobów i zarządzanie stanem połączenia. Zobacz Zarządzanie regułami prywatnego punktu końcowego.
• Konfigurowanie zapory na potrzeby dostępu obliczeniowego bezserwerowego: skonfiguruj reguły zapory sieciowej w celu kontrolowania dostępu do usług platformy Azure przy użyciu podsieci zamiast prywatnych punktów końcowych. Zobacz Konfigurowanie zapory na potrzeby bezserwerowego dostępu obliczeniowego.
• Konfigurowanie zasad sieci: zaimplementuj dodatkowe mechanizmy zabezpieczeń sieci i zasady w celu zarządzania bezserwerową łącznością obliczeniową. Zobacz Co to jest kontrola ruchu wychodzącego w środowisku bezserwerowym?.
• Omówienie zabezpieczeń sieci bezserwerowych: poznaj szerszą architekturę zabezpieczeń sieci i opcje dostępne dla bezserwerowych środowisk obliczeniowych. Zobacz Sieciowanie bezserwerowej warstwy obliczeniowej.