Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite wird beschrieben, wie Sie Azure Netzwerksicherheitsperimeter (Network Security Perimeter, NSP) konfigurieren, um den Zugriff von serverlosen Compute auf Ihre Azure Ressourcen mithilfe des Azure Portals zu steuern.
Übersicht über den Netzwerksicherheitsperimeter für Azure Ressourcen
Azure Netzwerksicherheitsperimeter (Network Security Perimeter, NSP) ist ein Azure integriertes Feature, das eine logische Isolationsgrenze für Ihre PaaS-Ressourcen erstellt. Durch das Zuordnen von Ressourcen wie Speicherkonten oder Datenbanken zu einem NSP können Sie den Netzwerkdatenverkehr zentral mithilfe eines vereinfachten Regelsatzes verwalten. NSP beseitigt die Notwendigkeit, komplexe Listen einzelner IP-Adressen oder Subnetz-IDs manuell zu verwalten.
NSP unterstützt den Zugriff von serverlosen SQL-Warehouses, Jobs, Notebooks, Lakeflow Spark Declarative Pipelines und Modellbereitstellungsendpunkten.
Hauptvorteile
Die Verwendung von NSP für Azure Databricks serverlosen ausgehenden Datenverkehr verbessert Ihren Sicherheitsstatus und reduziert gleichzeitig den Betriebsaufwand erheblich:
| Nutzen | Description |
|---|---|
| Kosteneinsparung | Datenverkehr, der über Dienstendpunkte gesendet wird, bleibt auf dem Azure Backbone und verursacht keine Datenverarbeitungsgebühren. |
| Vereinfachte Verwaltung | Azure Databricks empfiehlt die Verwendung eines regionalen Diensttags, um den Zugriff auf eine bestimmte Region einzuschränken, z. B. AzureDatabricksServerless.EastUS2. Das Tag enthält sowohl Dienstendpunkt-IPs als auch Azure Databricks NAT-IPs, und die gesamte Kommunikation wird über das Azure Backbone weitergeleitet. Wenn Sie den Zugriff in allen Azure Databricks Regionen zulassen müssen, verwenden Sie stattdessen das globale Tag AzureDatabricksServerless. Die vollständige Liste der unterstützten Azure Regionen finden Sie unter Azure Databricks Regions. |
| Zentrale Sicherheitsverwaltung | Verwalten von Sicherheitsrichtlinien über mehrere Ressourcentypen hinweg, einschließlich Speicher, Schlüsseltresor und Datenbanken innerhalb eines einzigen NSP-Profils. |
Unterstützte Azure Dienste
Das AzureDatabricksServerless-Diensttag wird für die Verwendung in NSP-Zugriffsregeln für die folgenden Azure Dienste unterstützt:
- Azure Storage (einschließlich ADLS Gen2)
- Azure SQL-Datenbank
- Azure Cosmos DB
- Azure Key Vault
Anforderungen
- Sie müssen Azure Databricks-Kontoadministrator*in sein.
- Sie müssen über die Berechtigungen "Mitwirkender" oder "Besitzer" für die ressource Azure verfügen, die Sie konfigurieren möchten.
- Sie müssen über die Berechtigung zum Erstellen von Netzwerksicherheitsperimeterressourcen in Ihrem Azure-Abonnement verfügen.
- Ihr Azure Databricks Arbeitsbereich und Azure Ressourcen müssen sich in derselben Azure Region befinden, um optimale Leistung zu erzielen und regionsübergreifende Datenübertragungsgebühren zu vermeiden.
Schritt 1: Erstellen eines Netzwerksicherheitsperimeters und Notieren der Profil-ID
Melden Sie sich beim portal Azure an.
Geben Sie im Suchfeld oben Netzwerksicherheitsperimeter ein , und wählen Sie sie aus den Ergebnissen aus.
Klicken Sie auf +Erstellen.
Geben Sie auf der Registerkarte " Grundlagen " die folgenden Informationen ein:
- Subscription: Wählen Sie Ihr Azure-Abonnement aus.
- Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine.
-
Name: Geben Sie einen Namen für Ihren NSP ein (z. B
databricks-nsp. ). - Region: Wählen Sie die Region für Ihren NSP aus. Die Region muss ihrer Azure Databricks Arbeitsbereichsregion und der Region Ihrer Azure-Ressourcen entsprechen.
-
Profilname: Geben Sie einen Profilnamen ein (z. B
databricks-profile. ).
Klicken Sie auf "Überprüfen" und dann auf "Erstellen".
Nachdem der NSP erstellt wurde, wechseln Sie im Azure-Portal zu diesem.
Wechseln Sie in der linken Randleiste zu ">".
Erstellen oder Auswählen Ihres Profils (z. B
databricks-profile. ).Kopieren Sie die Ressourcen-ID für das Profil. Sie benötigen diese ID, um Ressourcen programmgesteuert zuzuordnen.
Tipp
Speichern Sie die Profil-ID an einem sicheren Speicherort. Sie müssen sie verfügbar haben, wenn Sie Ressourcen mithilfe des Azure CLI oder der API anstelle des Azure Portals zuordnen möchten.
Schritt 2: Zuordnen Ihrer Ressource zum NSP im Übergangsmodus
Sie müssen jede Azure Ressource zuordnen, auf die Sie über Azure Databricks serverlosen Compute mit Ihrem NSP-Profil zugreifen möchten. In diesem Beispiel wird gezeigt, wie Sie ein Azure Storage Konto zuordnen, aber die gleichen Schritte gelten für andere Azure Ressourcen.
- Wechseln Sie zum Netzwerksicherheitsperimeter im Azure-Portal.
- Wechseln Sie in der linken Randleiste zu "Ressourcen" unter "Einstellungen".
- Klicken Sie auf +Hinzufügen von>Ressourcen zu einem vorhandenen Profil.
- Wählen Sie das Profil
databricks-profileaus, das Sie in Schritt 1 erstellt haben (z. B. ). - Klicken Sie auf Zuordnen.
- Filtern Sie im Ressourcenauswahlbereich nach Ressourcentyp. Wenn Sie beispielsweise ein Azure Data Lake Storage Gen2 Konto zuordnen möchten, filtern Sie nach
Microsoft.Storage/storageAccounts. - Wählen Sie Ihre Ressourcen aus der Liste aus.
- Klicken Sie unten im Bereich auf Zuordnen.
Überprüfen des Übergangsmodus:
- Wechseln Sie im NSP zu "Einstellungen" > (oder den zugeordneten Ressourcen).
- Suchen Sie Ihr Speicherkonto in der Liste.
- Überprüfen Sie, ob in der Spalte Access-Modus"Übergang" angezeigt wird. Der Übergang ist der Standardmodus.
Hinweis
Der Übergangsmodus wertet zuerst NSP-Regeln aus. Wenn keine NSP-Regel mit der eingehenden Anforderung übereinstimmt, greift das System auf die vorhandenen Firewallregeln der Ressource zurück. Im Übergangsmodus können Sie Ihre NSP-Konfiguration testen, ohne vorhandene Datenverkehrsmuster zu unterbrechen.
Step 3: Hinzufügen einer Regel für eingehenden Zugriff für Azure Databricks serverlosen Compute
Sie müssen eine eingehende Zugriffsregel innerhalb Ihres NSP-Profils erstellen, um den Datenverkehr von Azure Databricks serverloses Compute zu Ihren Azure-Ressourcen zuzulassen.
- Wechseln Sie zum Netzwerksicherheitsperimeter im Azure-Portal.
- Wechseln Sie in der linken Randleiste zu ">".
- Wählen Sie Ihr Profil aus (z. B
databricks-profile. ). - Klicken Sie unter "Einstellungen " auf " Eingehende Zugriffsregeln".
- Klicken Sie auf + Hinzufügen.
- Konfigurieren Sie die Regel:
-
Regelname: Geben Sie einen beschreibenden Namen ein (z. B
allow-databricks-serverless. ). - Quelltyp: Wählen Sie "Diensttag" aus.
-
Zulässige Quellen: Wählen Sie AzureDatabricksServerless.[your_workspace_region] aus (z. B.
AzureDatabricksServerless.EastUS2). Die Verwendung eines regionalen Tags beschränkt den Zugriff auf Azure Databricks IPs in der Region des Workspaces, wodurch die Exponierung im Gegensatz zum globalen Tag reduziert wird.
-
Regelname: Geben Sie einen beschreibenden Namen ein (z. B
- Klicken Sie auf Hinzufügen.
Tipp
Databricks empfiehlt die Verwendung eines regionalen Diensttags (AzureDatabricksServerless.[your_workspace_region]) für eine engere Sicherheit. Wenn Sie den Zugriff von allen Azure Databricks Regionen zulassen müssen, z. B. wenn Arbeitsbereiche mehrere Regionen umfassen, verwenden Sie stattdessen das globale Tag AzureDatabricksServerless. Beide Tags werden automatisch aktualisiert, sodass Sie keine IP-Adressen manuell verwalten oder Regeln aktualisieren müssen, wenn Azure Databricks neue IP-Bereiche hinzufügen.
Schritt 4: Überprüfen der Konfiguration
Überprüfen Sie nach dem Konfigurieren des NSP, ob Azure Databricks serverlose Berechnung auf Ihre Azure Ressource zugreifen und NSP-Aktivitäten überwachen kann.
Testen des Zugriffs von serverlosen Rechenressourcen
Wechseln Sie im Azure Portal zu Ihrer Azure Ressource.
Wechseln Sie zu Sicherheit + Netzwerk>Netzwerk.
Stellen Sie sicher, dass die Ressource eine Zuordnung zu Ihrem Netzwerksicherheitsperimeter anzeigt.
Stellen Sie sicher, dass der Status den Übergangsmodus anzeigt.
Zeigen Sie die mit Ihrem Profil verknüpften eingehenden Regeln an, um zu bestätigen, dass die
AzureDatabricksServerlessRegel aufgelistet ist (entweder regional oder global).Führen Sie in Ihrem Azure Databricks Arbeitsbereich eine Testabfrage aus, um zu bestätigen, dass serverlose Berechnung auf Ihre Ressource zugreifen kann. So testen Sie beispielsweise den Zugriff auf ein ADLS Gen2-Speicherkonto:
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;Wenn die Abfrage erfolgreich ist, funktioniert ihre NSP-Konfiguration ordnungsgemäß.
Überwachen der NSP-Aktivität
So überwachen Sie Verbindungsversuche, die NSP-Regeln zulassen oder verweigern:
- Wechseln Sie im Azure Portal zu Ihrer Azure Ressource.
- Wechseln Sie zu "Diagnoseeinstellungen überwachen>".
- Klicken Sie auf + Diagnoseeinstellung hinzufügen.
- Wählen Sie die Protokollkategorien aus, die Sie überwachen möchten. Wählen Sie für Azure Storage Konten Folgendes aus:
- StorageRead
- StorageWrite
- Wählen Sie ein Ziel aus:
- Log Analytics Arbeitsbereich (empfohlen für Abfragen und Analysen)
- Speicherkonto (für langfristige Archivierung)
- Event Hub (zum Streaming auf externe Systeme)
- Klicken Sie auf "Speichern".
Tipp
Diagnoseprotokolle zeigen Verbindungsversuche an, die mit NSP-Regeln im Vergleich zu Ressourcenfirewallregeln übereinstimmen. Diese Protokolle helfen Ihnen, Ihre Konfiguration zu überprüfen, bevor Sie in den erzwungenen Modus wechseln. Im Übergangsmodus geben die Protokolle an, ob jede Anforderung von einer NSP-Regel zugelassen wurde oder auf die Ressourcenfirewall zurückgefallen ist.
Grundlegendes zu NSP-Zugriffsmodi
NSP unterstützt zwei Zugriffsmodi: Übergangsmodus und erzwungener Modus. Azure Databricks empfiehlt, für die meisten Anwendungsfälle unbegrenzt im Übergangsmodus zu verbleiben.
Übergangsmodus (empfohlen):
- Wertet zuerst NSP-Regeln aus, und greift dann auf Ressourcenfirewallregeln zurück, wenn keine NSP-Regel übereinstimmt.
- Ermöglicht die Verwendung von NSP zusammen mit vorhandenen Netzwerkkonfigurationen
- Kompatibel mit Dienstendpunkten, klassischen Computekonfigurationen und Öffentlichen Netzwerkdatenverkehrsmustern
Erzwungener Modus (für die meisten Kunden nicht empfohlen):
- Umgeht die Regeln der Ressourcen-Firewall und blockiert den gesamten Datenverkehr, der nicht mit einer NSP-Regel übereinstimmt. Der erzwungene Modus wirkt sich nicht nur auf Azure Databricks, sondern auch auf andere Dienste aus, die Sie über Ihre Ressourcenfirewall zugelassen haben. Diese Dienste müssen in NSP integriert worden sein, um die Arbeit fortzusetzen.
- Bleiben Sie im Übergangsmodus, wenn Sie Dienstendpunkte verwenden, um über alle Azure Databricks Arbeitsbereiche eine Verbindung mit dem Speicher herzustellen.
Warnung
Bleiben Sie im Übergangsmodus, um die Kompatibilität mit Ihrem vorhandenen Netzwerksetup aufrechtzuerhalten, und profitieren Sie von der vereinfachten Regelverwaltung. Siehe Einschränkungen des Netzwerksicherheitsperimeters.
Nächste Schritte
- Konfigurieren Sie private Endpunkte: Für Informationen zur privaten Verbindung mit Azure-Ressourcen ohne öffentliche Endpunkte, siehe Konfigurieren Sie private Verbindungen zu Azure-Ressourcen.
- Verwalten von Netzwerkrichtlinien: Implementieren Sie Netzwerkrichtlinien, um zusätzliche Sicherheitskontrollen und Zugriffsbeschränkungen für Ihre serverlosen Computeumgebungen bereitzustellen. Siehe Was ist serverlose Ausgangskontrolle?
- Verstehen der Kosten für die Datenübertragung: Erfahren Sie mehr über die Kosten, die mit dem Verschieben von Daten in und aus serverlosen Umgebungen verbunden sind. Siehe Verstehen Sie Databricks serverless Netzwerkkosten.