Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página explica como usar as políticas de ponto de extremidade do serviço de rede virtual do Azure para filtrar o tráfego de saída do plano de computação clássico, garantindo que as conexões sejam feitas apenas para contas específicas do Armazenamento do Azure.
O que são pontos de extremidade de serviço e políticas de ponto de extremidade de serviço?
Os pontos de extremidade de serviço e as políticas colaboram para criar uma conexão privada mutuamente aprovada.
- Pontos de extremidade do serviço de rede virtual do Azure: para proteger o tráfego para o Armazenamento do Azure, habilite um ponto de extremidade de serviço na sub-rede da sua rede virtual. Isso cria uma conexão segura e direta com o serviço de Armazenamento do Azure pela rede de backbone do Azure, mantendo o tráfego fora da Internet pública.
- Políticas de ponto de extremidade do serviço de rede virtual do Azure: o utilizador aplica uma política de ponto de extremidade de serviço à mesma sub-rede onde o ponto de extremidade de serviço está localizado. Esta política atua como um filtro sobre o ponto de extremidade, permitindo que você restrinja as conexões apenas às contas específicas do Armazenamento do Azure que você definir. Essa combinação impede a exfiltração de dados para contas de armazenamento não autorizadas.
Como funcionam?
A imagem a seguir mostra uma visão geral de como configurar pontos de extremidade de serviço e políticas de ponto de extremidade de serviço:
- Crie uma política de serviço de rede virtual do Azure. Consulte Passo 1: Criar uma política de ponto de extremidade de serviço.
- Adicione contas de armazenamento que você precisa acessar à sua política. Por exemplo, o espaço de trabalho padrão e as contas de armazenamento do Catálogo Unity. As contas de armazenamento que usam pontos de extremidade privados não precisam ser adicionadas à política.
- Anexe sua política de serviço à sub-rede do espaço de trabalho. Consulte Etapa 2: anexar a política à sub-rede do espaço de trabalho.
- Ligue o ponto de extremidade
Microsoft.Storagedo serviço de rede virtual do Azure à sub-rede do espaço de trabalho. A política de ponto de extremidade de serviço da sub-rede é aplicada ao ponto de extremidade do serviço. - O armazenamento não autorizado não pode ser acessado porque não é permitido pela política.
O ponto de extremidade do serviço roteia todo o tráfego de rede do seu espaço de trabalho do Azure Databricks, permitindo conexões com contas de armazenamento definidas na política e bloqueando todas as tentativas não autorizadas.
Benefícios dos pontos de extremidade de serviço
- Prioridade de rota e segurança: os endpoints de serviço criam um caminho de roteamento direto de alta prioridade para os serviços do Azure na rede principal do Azure. Essa rota otimizada substitui a maioria das rotas definidas pelo usuário (UDRs), ajudando a evitar que o tráfego seja forçado involuntariamente por meio de um dispositivo virtual de rede (NVA) ou para a Internet. Esse comportamento fortalece sua postura de segurança e ajuda a evitar a exfiltração de dados.
- Otimização de custos: como o tráfego para os serviços do Azure permanece no backbone do Azure, você evita cobranças associadas à saída por meio de um gateway NAT ou de um dispositivo virtual de rede.
Consulte Pontos de extremidade do serviço de rede virtual do Azure e Políticas de ponto de extremidade do serviço de rede virtual para o Armazenamento do Azure para obter mais detalhes.
Benefícios das políticas de ponto de extremidade de serviço
- Alcance global: embora uma política de ponto de extremidade de serviço seja um recurso regional, as regras nela podem ter como alvo contas de Armazenamento do Azure em qualquer região, assinatura ou locatário. Isso permite que uma política regional gerencie o acesso ao armazenamento global.
- Políticas aditivas: você pode associar várias políticas a uma única sub-rede. As atribuições de política são aditivas, o que significa que a sub-rede obtém acesso ao conjunto combinado de todas as contas de armazenamento permitidas de todas as políticas anexadas. Isso é útil para modelar diferentes requisitos de acesso.
Melhores práticas
Para cada espaço de trabalho do Azure Databricks, configure uma política de endpoint do serviço direcionada à conta de armazenamento DBFS raiz e a quaisquer locais externos associados do Unity Catalog. Você também deve adicionar o /services/Azure/Databricks alias de serviço a esta política para permitir o acesso ao armazenamento essencial do Azure Databricks. Para aplicar conjuntos de regras diferentes, você pode criar políticas adicionais para ambientes específicos, como desenvolvimento e produção.
Importante
Recomendamos revisar a configuração de rota definida pelo usuário (UDR) para verificar se ela funciona com os pontos de extremidade de serviço configurados na sub-rede. UDRs podem influenciar o roteamento, como tags de serviço de armazenamento, e podem ignorar pontos de extremidade de serviço se configurados incorretamente. As políticas de ponto de extremidade de serviço controlam quais contas de armazenamento são permitidas; As UDRs não interagem diretamente com as políticas.
Requerimentos
Observação
Os espaços de trabalho criados em ou após 14 de julho de 2025 oferecem suporte à criação de políticas de ponto de extremidade de serviço por padrão. Para espaços de trabalho criados antes dessa data, entre em contato com sua equipe de conta do Databricks para solicitar acesso.
Seu espaço de trabalho do Azure Databricks deve atender aos seguintes requisitos:
- Seja implantado em sua própria rede virtual do Azure (VNet), também conhecida como injeção de VNet. Consulte Implantar o Azure Databricks em sua rede virtual do Azure (injeção de VNet).
- Use a conectividade de cluster segura (SCC). Consulte Habilitar conectividade de cluster seguro.
- O grupo de recursos do espaço de trabalho é desbloqueado e a rede virtual não tem configurações ou políticas personalizadas que bloqueiem esse recurso.
Configurar uma política de endpoint de serviço
Antes de anexar uma política de ponto de extremidade de serviço à sub-rede pública do seu espaço de trabalho, crie regras de política para todas as contas de armazenamento que seus recursos de computação clássicos acessam usando pontos de extremidade de serviço. Qualquer conta de armazenamento sem uma regra de política correspondente é bloqueada.
Etapa 1: Criar uma política de ponto final de serviço
No portal do Azure, procure Política de Ponto de Extremidade de Serviço e selecione Criar uma política de ponto de extremidade de serviço.
Na guia Noções básicas:
- Selecione a Assinatura e a Região que correspondam à VNet da sua área de trabalho.
- Insira um Nome descritivo para a política, como
databricks-workspace-prod-westus. - Clique em Avançar: Definições de política.
No separador de definições de políticas , adicione o armazenamento gerido Azure Databricks:
- Clique em + Adicionar um alias.
- Selecione
/services/Azure/Databricks. - Clique em Adicionar.
Observação
O
/services/Azure/Databricksalias só permite o acesso às contas de armazenamento necessárias que a Databricks gere. Não concede acesso a todas as contas de armazenamento da região.Adicione as suas próprias contas de armazenamento:
- Clique em + Adicionar um recurso.
- Em Escopo, selecione Conta única.
- Adicione a conta de armazenamento DBFS padrão do seu espaço de trabalho, as contas de armazenamento do Unity Catalog e quaisquer outras contas de armazenamento necessárias, uma a uma.
- Você pode adicionar ou remover contas de armazenamento da política a qualquer momento.
Clique em Rever + criar e, em seguida, em Criar.
Etapa 2: anexar a política à sub-rede do espaço de trabalho
Uma política de ponto de extremidade de serviço pode ser anexada às sub-redes públicas e privadas do seu espaço de trabalho, mas apenas a sub-rede pública se comunica com o armazenamento.
- No portal do Azure, vá para a rede virtual do seu espaço de trabalho.
- Na barra lateral, em Configurações, clique em Sub-redes.
- Selecione sua sub-rede pública.
- Nas definições de sub-rede, desloque-se até à secção Pontos de extremidade de serviço.
- No menu suspenso Serviços , selecione
Microsoft.Storage. - Role até a seção Service Endpoint Policies (Políticas de ponto de extremidade de serviço ).
- No menu suspenso Políticas , selecione a política que você criou anteriormente.
- Clique em Salvar.
Validation
Para validar a configuração:
- Inicie um cluster do Azure Databricks no espaço de trabalho.
- Execute uma carga de trabalho que lê ou grava em uma conta de armazenamento incluída em sua política. A operação será bem-sucedida.
- Tente aceder a uma conta de armazenamento que não esteja incluída na sua política. Qualquer solicitação para uma conta de armazenamento não definida na política falhará com um erro de autorização.