如果企业防火墙阻止基于域名的流量,则必须允许 HTTPS 和 WebSocket 流量流向 Azure Databricks 域名,以确保访问 Azure Databricks 资源。 可以在两个选项之间进行选择,一个是宽松的,但更易于配置,另一个选项特定于工作区域。
选项 1:允许流量流向 *.azuredatabricks.net
更新防火墙规则以允许将 HTTPS 和 WebSocket 流量发送到 *.azuredatabricks.net(如果您的工作区是 Azure 政府资源,则发送到 *.databricks.azure.us)。 这比选项 2 更宽松,但可以省去为帐户中每个 Azure Databricks 工作区更新防火墙规则的麻烦。
选项 2:仅允许流入 Azure Databricks 工作区的流量
如果选择为帐户中的每个工作区配置防火墙规则,则必须:
识别您的工作空间域。
每个 Azure Databricks 资源都有两个唯一的域名。 可以通过转到 Azure 门户中的 Azure Databricks 资源来找到首项信息。
URL 字段以格式
https://adb-<digits>.<digits>.azuredatabricks.net显示 URL,例如https://adb-1666506161514800.0.azuredatabricks.net。 删除https://以获取第一个域名。第二个域名与第一个域名完全相同,只不过它具有前缀
adb-dp-而不是adb-前缀。 例如,如果第一个域名为adb-1666506161514800.0.azuredatabricks.net,则第二个域名为adb-dp-1666506161514800.0.azuredatabricks.net。更新防火墙规则。
更新防火墙规则以允许 HTTPS 和 WebSocket 流量流向步骤 1 中标识的两个域。
允许将流量发送到用于 UI 资产的 CDN 域
Azure Databricks UI 从内容分发网络(CDN)域加载静态资产,如 CSS、JavaScript 和图像。 选择性地阻止资产类型(如允许 JavaScript 但阻止 CSS 或字体文件)可能会中断 UI。
若要使 UI 正常工作,请允许 CDN 域中的所有资产类型。
-
https://databricks-ui-assets-v2-gsd4bmhzapcyenec.b02.azurefd.net- Azure Databricks UI 资产 -
https://ui-assets.azuredatabricks.net- Azure Databricks UI 资产 -
https://*.cloud.databricksusercontent.com- 笔记本资产
防火墙配置建议
- 在所有列出的 CDN 域中应用相同的规则。
- 避免选择性筛选 CSS、JavaScript、图像或字体文件。
- 允许所有 CDN 域使用 HTTPS(端口 443)。