本頁說明如何設定 Azure Databricks 工作區的 IP 存取清單。 本文討論您可以使用 Databricks CLI 執行的最常見工作。
您也可以使用 IP存取清單 API。
備註
Workspace IP 存取清單和帳戶層級內容型輸入控制會一起強制執行。 兩個控制都必須允許該要求才能成功。
基於上下文的輸入控制通過結合身份、請求類型和網絡源條件來提供更細粒度的安全性。 它是在帳戶層級設定的,單一原則可以控管多個工作區,確保整個組織的執行一致。 Databricks 建議使用內容型輸入控制項作為管理存取的主要方法。 請參閱 環境定義型輸入控制。
工作區 IP 存取清單仍可用於僅根據 IP 位址新增額外的限制層,但無法將存取擴展到基於內容的輸入允許的範圍之外。
需求
- 此功能需要 進階方案。
- IP 存取清單僅支援第四版網際網路協定 (IPv4) 位址。
如果您在工作區上啟用 安全的叢集連線,則計算平面用來存取控制平面的任何公用IP都必須新增至允許清單,或者您必須設定 後端私密連結。 否則,傳統計算資源無法啟動。
例如,如果您在使用 VNet 插入的工作區上啟用安全的叢集連線,Databricks 建議您的工作區具有穩定的輸出公用 IP。 該公用IP和任何其他IP都必須出現在允許清單中。 請參閱<在 Azure 虛擬網路 (VNet 插入) 中部署 Azure Databricks>。 或者,如果您使用 Azure Databricks 管理的 VNet,並設定受控 NAT 閘道來存取公用 IP,這些 IP 必須出現在允許清單中。 如需詳細資訊,請參閱 Databricks 社群文章。
檢查您的工作區是否已啟用IP存取清單功能
若要檢查工作區是否已啟用IP存取清單功能:
databricks workspace-conf get-status enableIpAccessLists
啟用或停用工作區的IP存取清單功能
在 JSON 要求主體中,將 指定 enableIpAccessLists 為 true [已啟用] 或 false [已停用]。
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
新增IP存取清單
啟用IP存取清單功能且沒有工作區的允許清單或封鎖清單時,會允許所有IP位址。 將IP位址新增至允許清單會封鎖不在清單上的所有IP位址。 請仔細檢閱變更,以避免非預期的存取限制。
計算平面用來存取控制平面的任何公用IP都應該新增至允許清單。
IP 存取清單具有標籤,這是清單的名稱,以及清單類型。 清單類型是 ALLOW(允許清單)或 BLOCK(區塊清單,這表示即使在允許清單中也排除)。
例如,若要新增允許清單:
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
列出IP存取清單
databricks ip-access-lists list
更新IP存取清單
至少指定要更新的下列其中一個值:
-
label- 此列表的標籤。 -
list_type—ALLOW(允許清單) 或BLOCK(封鎖清單,這表示即使在允許清單中也排除)。 -
ip_addresses— IP 位址和 CIDR 範圍的 JSON 陣列,做為字串值。 -
enabled- 指定是否啟用此清單。 傳遞true或false。
回應是您傳入的物件複本,其中包含標識符和修改日期的其他字段。
例如,若要停用清單:
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
刪除IP存取清單
若要移除 IP 存取:
databricks ip-access-lists delete <list-id>
後續步驟
- 配置帳戶控制台的 IP 訪問列表: 設置帳戶控制台訪問的 IP 限制,以控制哪些網絡可以訪問帳戶級別的設置和 API。 請參閱 設定帳戶主控台的IP存取清單。
- 設定私人連線:使用 Private Link 從虛擬網路建立安全且隔離的 Azure 服務存取,略過公用因特網。 請參閱 Azure Private Link 概念。
- 設定 VNet 插入:使用穩定的輸出公用 IP 設定 VNet 插入,以增強網路安全性。 請參閱<在 Azure 虛擬網路 (VNet 插入) 中部署 Azure Databricks>。