Compartilhar via

Configurar a rede para aplicativos do Databricks

Os Aplicativos do Databricks dão suporte a um controle de rede refinado para ajudá-lo a proteger e gerenciar como seu aplicativo se comunica com a Internet e os recursos internos. Você pode configurar regras de tráfego de entrada (entrada) e saída (saída) usando uma combinação de listas de acesso IP, conectividade privada front-end e políticas de rede.

Arquitetura de rede

O Azure Databricks implanta aplicativos no plano de computação sem servidor, no qual eles recebem tráfego diretamente. Isso é semelhante a outros serviços com otimização de rota, como Model Serving e Vector Search.

O processo de conexão funciona da seguinte maneira:

  1. As solicitações iniciais do usuário para um aplicativo do Azure Databricks iniciam a autenticação OAuth com o painel de controle para validar a sessão e autorizar o acesso ao aplicativo.
  2. Após a autenticação bem-sucedida, todas as solicitações subsequentes são roteados diretamente para o plano de computação sem servidor sem atravessar o plano de controle.

As políticas de segurança de rede configuradas para o plano de computação sem servidor se aplicam ao tráfego do Databricks Apps. Isso inclui listas de acesso IP e configurações de conectividade privada de front-end.

Controles de entrada

Use os recursos a seguir para limitar o acesso ao workspace do Azure Databricks e aos aplicativos da Internet pública.

  • Listas de acesso a IP: Restrinja o acesso do workspace e do aplicativo a intervalos de IP conhecidos e confiáveis habilitando listas de acesso IP no nível do workspace. Somente o tráfego dos intervalos de IP configurados é permitido. Para obter detalhes, consulte Configurar listas de acesso IP para workspaces.

  • Conectividade privada front-end: Rotear o tráfego de entrada por meio de uma conexão do Link Privado do Azure para acessar aplicativos com segurança pela VNet.

    Você deve configurar o encaminhamento de DNS condicional para o databricksapps.com domínio para garantir a resolução de nomes adequada por meio de sua conexão privada. Caso contrário, as consultas DNS para o domínio do aplicativo podem se resolver em endereços IP públicos em vez do ponto de extremidade privado. Para obter instruções de instalação, consulte Configurar o Link Privado front-end.

Controles de saída

Para controlar o tráfego de saída de seu aplicativo, crie uma NCC (configuração de conectividade de rede) e aplique políticas de rede ao workspace que hospeda o aplicativo.

Configurações de conectividade de rede

Use uma configuração de conectividade de rede para conectar seu aplicativo com segurança aos serviços do Azure. Os NCCs fornecem IDs de sub-rede estáveis que você pode adicionar a um firewall de conta de armazenamento para permitir explicitamente o acesso de seu aplicativo e de outra computação sem servidor.

Para restringir ainda mais o tráfego de saída para destinos privados, configure pontos de extremidade privados sem servidor para recursos do Azure ou rote o tráfego por meio de um balanceador de carga do Azure em sua VNet.

Políticas de rede

Use políticas de rede para impor restrições de saída em aplicativos do Databricks e outras cargas de trabalho sem servidor. Isso é útil quando você precisa atender aos requisitos organizacionais ou de conformidade para controlar a conectividade de saída.

Observação

As políticas de rede só estão disponíveis na camada Premium.

Aplique uma política de rede se o seu aplicativo:

  • Deve limitar o acesso a um conjunto específico de domínios externos aprovados
  • Precisa evitar a exfiltração acidental de dados
  • Deve estar em conformidade com os padrões de segurança ou conformidade que restringem o tráfego de saída da Internet

Práticas recomendadas para configurar políticas de rede

Siga estas diretrizes para evitar interrupções não intencionais e garantir que seus aplicativos possam acessar os recursos necessários:

  • Permitir apenas destinos necessários. Adicione FQDNs (nomes de domínio totalmente qualificados) para recursos públicos ou privados de que seu aplicativo precisa.
  • Inclua repositórios de pacotes conforme necessário. Se seu aplicativo instalar pacotes públicos de Python ou Node.js, você poderá permitir domínios como pypi.org para Python ou registry.npmjs.org para Node. Seu aplicativo pode exigir domínios adicionais ou diferentes, dependendo de suas dependências específicas. Sem esses repositórios, as compilações de aplicativos que dependam de requirements.txt ou package.json podem falhar.
  • Use o modo de execução seca para validar sua política de rede. Esse modo simula a imposição da política sem bloquear o tráfego.
  • Examine as tentativas de conexão negadas usando a system.access.outbound_network tabela. Isso ajuda a identificar domínios que talvez seja necessário permitir. Consulte Verificar logs de negação.
  • Adicione todos os domínios externos necessários, como APIs confiáveis ou contas de armazenamento do Azure não registradas no Catálogo do Unity.

Criptografia e roteamento de tráfego

Os Aplicativos do Databricks usam caminhos de roteamento dedicados e várias camadas de criptografia para proteger as comunicações de rede e proteger os dados.

Roteamento de tráfego

O tráfego entre o plano de controle do Azure Databricks, o plano de computação, outros recursos do Azure Databricks e os serviços de nuvem viaja pela rede global do provedor de nuvem e não atravessa a Internet pública.

O tráfego entre os usuários e databricksapps.com pode passar pela Internet pública dependendo do local de rede do usuário. Para evitar o roteamento da Internet pública, configure a conectividade privada de front-end.

Criptografia em trânsito

Todas as comunicações de rede de e para aplicativos são criptografadas:

  • Tráfego do usuário: A comunicação entre os usuários e databricksapps.com usa a criptografia TLS (Transport Layer Security) 1.3.
  • Controlar o tráfego do avião: A comunicação entre o plano de controle do Azure Databricks e o plano de computação usa o TLS mútuo (mTLS) para operações de gerenciamento, incluindo criação, atualizações e exclusão de aplicativos.

Criptografia em repouso

O Databricks Apps criptografa dados armazenados usando os seguintes métodos:

  • Código do aplicativo: O Azure Databricks armazena o código do aplicativo em arquivos de workspace e usa a mesma criptografia que notebooks e outros arquivos de workspace.
  • Armazenamento de computação: Os aplicativos usam discos do sistema operacional de host efêmero criptografados com o AES-256 e a implementação de criptografia padrão do provedor de nuvem.
  • Last updated on