共用方式為

對 VNet 中的資源設定私密連線

備註

當無伺服器工作負載連線到客戶資源時,Azure Databricks 會收取網路成本的費用。 請參閱 瞭解 Databricks 無伺服器網路成本

此頁面說明如何使用 Azure Databricks 帳戶控制台,透過 Azure 負載平衡器設定從無伺服器計算到虛擬網路中資源的 Private Link 連線。

私人連線到您 VPN 中的資源。

設定無伺服器計算的私人連線會提供:

  • 專用和私人連線: 您的私人端點會獨佔系結至您的 Azure Databricks 帳戶,以確保只有授權工作區才能存取您的 VNet 資源。 這會建立安全的專用通信通道。
  • 增強的數據外流風險降低: 雖然具有 Unity 目錄的 Azure Databricks 無伺服器提供內建的數據外洩保護,但 Private Link 提供額外的網路防禦層。 藉由將 VNet 資源放在私人子網中,並透過專用私人端點控制存取權,即可大幅降低在受控網路環境外部未經授權的數據行動風險。

需求

  • 您的帳戶和工作區必須是企業級方案。
  • 您是 Azure Databricks 帳戶的帳戶管理員。
  • 您至少有一個作用中的無伺服器工作區部署在已啟用私人連線的區域。 如需支持的區域,請參閱 無伺服器可用性
  • 您的負載平衡器具有虛擬網路和子網,且您的資源位於此子網中。
  • 每個 Azure Databricks 帳戶在每個區域最多可有 10 個 NCC。
  • 每個區域可以有 100 個私人端點,視需要分散到 1-10 個 NCC。
  • 每個 NCC 最多可連結至 50 個工作區。
  • 在您的 VNet 內,每個私人端點規則最多可支援 10 個網域名稱,用於資源的私人連線。
  • 不支援 DNS 追查和 DNS 重新導向。 所有網域名稱都必須直接解析為後端資源。

步驟 1:建立 Azure 負載平衡器

建立 Azure Load Balancer,作為 VNet 資源的前端。 此負載平衡器會連結至您的 Private Link 服務。

若要建立負載平衡器,請遵循 快速入門:使用 Azure 入口網站建立內部負載平衡器以平衡 VM 的負載。 完成下列作業:

  1. 建立負載平衡器資源。
  2. 新增前端IP組態: 這是 Private Link 服務的進入點。
  3. 新增後端集區: 此集區包含 VNet 資源的 IP 位址。
  4. 建立健康情況探查: 設定健康情況探查來監視後端資源的可用性。
  5. 新增負載平衡規則: 定義將連入流量分散到後端集區的規則。

您必須建立 Private Link 服務,以安全地向私人端點公開負載平衡器。 確認 Private Link 服務已建立於與負載平衡器 相同的區域中

如需指示,請參閱 Azure 檔: 使用 Azure 入口網站建立 Private Link 服務

步驟 3:建立或使用現有的網路連線設定 (NCC) 物件

Azure Databricks 中的 NCC 物件會定義工作區的私人連線設定。 如果 NCC 已經存在,請略過此步驟。 若要建立 NCC 物件:

  1. 作為帳戶管理員,請前往帳戶主控台。
  2. 在側邊欄中,按一下「安全性」。
  3. 按一下 網路連線設定
  4. 按一下 新增網路設定
  5. 輸入 NCC 的名稱。
  6. 選擇區域 必須與您的工作區所在區域相符。
  7. 按下 新增

步驟 4:建立私人端點

此步驟會將您的 Private Link 服務連結至 Azure Databricks NCC。 若要建立私人端點:

  1. 帳戶主控台中,按一下 [安全性]。
  2. 按一下 網路連線設定
  3. 選取您在步驟 3 中建立的 NCC 物件。
  4. 在 [ 私人端點規則] 索引標籤中,按兩下 [新增私人端點規則]。
  5. [Azure 資源標識符 ] 字段中,貼上 Private Link 服務的完整資源識別符。 在 Azure 入口網站的 Private Link 服務 概觀 頁面上找到此 ID。 範例標識碼: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>
  6. 在 [ 功能變數名稱] 欄位中,新增 VNet 資源所使用的自定義功能變數名稱。 這些域名必須對應至負載平衡器後端集區中的IP組態。
  7. 按下 新增
  8. 確認您新添加的私人端點規則的狀態資料行為PENDING

備註

新增為 Private Link 條目的網域會自動被列入網路原則的許可清單中。

步驟 5:接受您的資源上的私有端點

在 Databricks 中建立私人端點規則之後,您必須在 Azure 入口網站中核准連線要求。 若要核准連線:

  1. 從 Azure 入口網站流覽至 Private Link 中心
  2. 選取 Private Link 服務
  3. 尋找並選取與您的負載平衡器相關聯的 Private Link 服務。
  4. 在 [ 設定] 下方的左側提要字段中,選取 [私人端點連線]。
  5. 選取待處理的私人端點。
  6. 按兩下 [ 核准 ] 以接受連線。
  7. 出現提示時,請選擇 [[是]
  8. 核准之後,連線狀態會變更為 [已核准]。

連線可能需要十分鐘的時間才能完全建立。

步驟 6:確認私人端點狀態

確認已成功從 Azure Databricks 端建立私人端點連線。 若要確認連線:

  1. 重新整理 Azure Databricks 帳戶主控台中的 [網路連線設定] 頁面。
  2. 私有端點規則 索引標籤上,確認新私有端點的 狀態 資料行為 ESTABLISHED

步驟 7:將 NCC 附加至一或多個工作區

此步驟會將您設定的私人連線與您的 Azure Databricks 工作區產生關聯。 如果您的工作區已連結至所需的 NCC,請略過此步驟。 若要將 NCC 附加至工作區:

  1. 流覽至左側導覽中的 [工作區 ]。
  2. 選取現有的工作區。
  3. 選取 [更新工作區]。
  4. 在 [ 網路連線設定] 底下,選取下拉式清單,然後選擇您已建立的 NCC。
  5. 針對您要套用此 NCC 的所有工作區重複此動作。

備註

NCC 是區域性物件,只能連結到相同區域中的工作空間。

後續步驟

  • 設定 Azure 資源的私人連線:使用 Private Link 從虛擬網路建立安全且隔離的 Azure 服務存取權,略過公用因特網。 請參閱 設定 Azure 資源的私人連線
  • 管理私人端點規則:藉由定義允許或拒絕連線的特定規則,來控制來自 Azure 私人端點的網路流量。 請參閱管理私人端點規則
  • 設定無伺服器計算存取的防火牆:實作防火牆,以限制和保護無伺服器計算環境的輸入和輸出網路連線。 請參閱設定供無伺服器計算存取的防火牆
  • 了解數據傳輸和連線成本:數據傳輸和連線是指將數據移入和移出 Azure Databricks 無伺服器環境。 無伺服器產品的網路費用僅適用於使用 Azure Databricks 無伺服器計算的客戶。 請參閱 瞭解 Databricks 無伺服器網路成本
  • Last updated on