Konfigurieren der privaten Konnektivität für Azure Ressourcen

In diesem Artikel wird beschrieben, wie Sie die private Konnektivität von serverless Compute mithilfe der Benutzeroberfläche der Kontokonsole von Azure Databricks konfigurieren. Sie können auch die Netzwerkkonnektivitätskonfigurations-API verwenden.

Wenn Sie Ihre Azure-Ressource so konfigurieren, dass nur Verbindungen von privaten Endpunkten akzeptiert werden, müssen alle Verbindungen mit der Ressource aus ihren klassischen Databricks-Computeressourcen auch private Endpunkte verwenden.

Informationen zum Konfigurieren einer Azure Storage Firewall für serverlosen Computezugriff mithilfe von Subnetzen finden Sie stattdessen unter Configure a firewall for serverless compute access (legacy). Informationen zum Verwalten vorhandener regeln privater Endpunkte finden Sie unter Verwalten privater Endpunktregeln.

Hinweis

Azure Databricks berechnet Netzwerkkosten, wenn serverlose Workloads eine Verbindung zu Kundenressourcen herstellen. Siehe Verstehen Sie Databricks serverless Netzwerkkosten.

Übersicht über die private Konnektivität für serverloses Computing

Serverlose Netzwerkverbindungen werden mit Netzwerkkonnektivitätskonfigurationen (Network Connectivity Configurations, NCCs) verwaltet. Kontoadministratoren erstellen NCCs in der Kontokonsole, und ein einzelner NCC kann an einen oder mehrere Arbeitsbereiche angefügt werden.

Wenn Sie einen privaten Endpunkt in einem NCC hinzufügen, erstellt Azure Databricks eine private Endpunktanforderung für Ihre Azure Ressource. Sobald der Besitzer der Ressource die Anforderung genehmigt hat, verwendet Azure Databricks diesen privaten Endpunkt für den Zugriff auf Ressourcen aus der serverlosen Computeebene. Der private Endpunkt ist Ihrem Azure Databricks Konto zugeordnet und kann nur von autorisierten Arbeitsbereichen aus zugänglich sein.

Private NCC-Endpunkte werden von SQL-Warehouses, Jobs, Notizbüchern, Lakeflow Spark Declarative Pipelines und Modellbereitstellungsendpunkten unterstützt.

Hinweis

  • Private NCC-Endpunkte werden für Datenquellen unterstützt, die Sie verwalten, und für das Arbeitsbereichsspeicherkonto. Ausführliche Informationen zum Konfigurieren privater Endpunkte für das Arbeitsbereichsspeicherkonto finden Sie unter Aktivieren der Firewallunterstützung für Ihr Arbeitsbereichsspeicherkonto.

  • Modellbereitstellung verwendet den Azure BLOB-Speicherpfad, um Modellartefakte herunterzuladen. Erstellen Sie daher einen privaten Endpunkt für das BLOB Ihrer Subressourcen-ID. Sie benötigen DFS, um Modelle in Unity Catalog von serverlosen Notebooks zu protokollieren.

Weitere Informationen zu NCCs finden Sie unter Was ist eine Netzwerkkonnektivitätskonfiguration (Network Connectivity Configuration, NCC)?.

Azure

Anforderungen

  • Ihr Konto und Ihr Arbeitsbereich müssen sich im Premium-Plan befinden.
  • Sie müssen ein Azure Databricks Kontoadministrator sein.
  • Jedes Azure Databricks Konto kann bis zu 10 NCCs pro Region haben.
  • Jede Region kann über 100 private Endpunkte verfügen, die nach Bedarf über 1-10 NCCs verteilt werden.
  • Jede NCC kann an bis zu 50 Arbeitsbereiche angefügt werden.

Schritt 1: Erstellen einer Netzwerkkonnektivitätskonfiguration

Databricks empfiehlt die gemeinsame Nutzung eines NCC zwischen Arbeitsbereichen innerhalb derselben Geschäftseinheit und Region. Wenn einige Arbeitsbereiche beispielsweise Private Link und andere Arbeitsbereiche die Firewall-Aktivierung verwenden, verwenden Sie separate NCCs für diese Anwendungsfälle.

  1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
  2. Klicken Sie in der Randleiste auf "Sicherheit".
  3. Klicken Sie auf Netzwerkkonnektivitätskonfigurationen.
  4. Klicken Sie auf "Netzwerkkonfiguration hinzufügen".
  5. Geben Sie einen Namen für das NCC ein.
  6. Wählen Sie die Region aus. Diese muss mit Ihrer Arbeitsbereichsregion übereinstimmen.
  7. Klicken Sie auf Hinzufügen.

Schritt 2: Anfügen einer NCC an einen Arbeitsbereich

  1. Klicken Sie in der Randleiste der Kontokonsole auf Arbeitsbereiche.
  2. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
  3. Klicken Sie auf Arbeitsbereich aktualisieren.
  4. Wählen Sie im Feld "Netzwerkkonnektivitätskonfigurationen " Ihre NCC aus. Wenn es nicht sichtbar ist, vergewissern Sie sich, dass Sie denselben Azure Bereich sowohl für den Arbeitsbereich als auch für den NCC ausgewählt haben.
  5. Klicken Sie auf Aktualisieren.
  6. Warten Sie zehn Minuten, bis die Änderung wirksam wird.
  7. Starten Sie alle ausgeführten serverlosen Dienste im Arbeitsbereich neu.

Schritt 3: Erstellen von Regeln für den privaten Endpunkt

Sie müssen für jede Azure Ressource eine private Endpunktregel in Ihrem NCC erstellen.

  1. Rufen Sie eine Liste der Azure Ressourcen-IDs für alle Ihre Ziele ab.
    1. Verwenden Sie in einem anderen Browser-Tab das Azure-Portal, um zu den Azure-Diensten Ihrer Datenquelle zu navigieren.
    2. Navigieren Sie auf der Übersicht zum Abschnitt Essentials.
    3. Klicken Sie auf den Link JSON-Ansicht. Die Ressourcen-ID für den Dienst wird oben auf der Seite angezeigt.
    4. Kopieren Sie diese Ressourcen-ID an einen anderen Speicherort. Wiederholen Sie diesen Schritt für alle Ziele. Weitere Informationen zum Suchen Ihrer Ressourcen-ID finden Sie unter Azure Private Endpoint private DNS-Zonenwerte.
  2. Wechseln Sie zurück zur Browserregisterkarte für die Kontokonsole.
  3. Klicken Sie in der Randleiste auf "Sicherheit".
  4. Klicken Sie auf Netzwerkkonnektivitätskonfigurationen.
  5. Wählen Sie die NCC aus, die Sie in Schritt 1 erstellt haben.
  6. Klicken Sie unter Regeln für den privaten Endpunkt auf Regel für den privaten Endpunkt hinzufügen.
  7. Fügen Sie im Feld Destination Azure Ressourcen-ID die Ressourcen-ID für Ihre Ressource ein.
  8. Geben Sie im Feld Azure Unterressourcen-ID die Ziel-ID und den Unterressourcentyp an. Jede Regel für den privaten Endpunkt muss eine andere Unterressourcen-ID verwenden. Eine Liste der unterstützten Unterressourcentypen finden Sie unter "Unterstützte Ressourcen".
  9. Klicken Sie auf Hinzufügen.
  10. Warten Sie ein paar Minuten, bis alle Endpunktregeln den Status PENDING aufweisen.

Schritt 4: Genehmigen der neuen privaten Endpunkte für Ihre Ressourcen

Die Endpunkte werden erst wirksam, wenn ein Administrator sie auf der Ressourcenseite genehmigt. So genehmigen Sie über das Azure-Portal:

  1. Navigieren Sie im Azure-Portal zu Ihrer Ressource.

  2. Klicken Sie auf der Seitenleiste auf Netzwerk.

  3. Klicken Sie auf Verbindungen mit privatem Endpunkt.

  4. Klicken Sie auf die Registerkarte Privater Zugriff.

  5. Überprüfen Sie unter Verbindungen mit privatem Endpunkt die Liste der privaten Endpunkte.

  6. Aktivieren Sie das Kontrollkästchen neben jedem einzelnen, der genehmigt werden soll, und klicken Sie oberhalb der Liste auf die Schaltfläche Genehmigen.

  7. Kehren Sie zu Ihrem NCC in Azure Databricks zurück, und aktualisieren Sie die Browserseite, bis alle Endpunktregeln den Status ESTABLISHED haben.

    Private Endpunktliste

(Optional) Schritt 5: Festlegen der Ressourcen, um den Zugriff auf öffentliche Netzwerke zu verbieten

Wenn Sie Ihre Ressourcen noch nicht auf zugelassene Netzwerke beschränkt haben, können Sie dies jetzt tun.

  1. Wechseln Sie zum Azure-Portal.
  2. Navigieren Sie zu Ihrem Speicherkonto für die Datenquelle.
  3. Klicken Sie auf der Seitenleiste auf Netzwerk.
  4. Überprüfen Sie den Wert im Feld für Öffentlicher Netzwerkzugriff. Standardmäßig lautet der Wert Aus allen Netzwerken aktiviert. Ändern Sie diesen in Deaktiviert.

Konfigurieren Sie Private Link für Azure-App Gateway v2

Wenn Sie Private Link für eine Azure-App Gateway v2-Ressource konfigurieren, müssen Sie die REST-API für Netzwerkkonnektivitätskonfigurationen anstelle der Kontokonsolen-BENUTZEROBERFLÄCHE verwenden. Azure-App Gateway v2 erfordert zusätzliche Parameter: Ressourcen-ID, Gruppen-ID und Domänennamen.

  1. Verwenden Sie den folgenden API-Aufruf, um eine private Endpunktregel mit Domänennamenkonfiguration zu erstellen: 
    curl --location 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <TOKEN>' \
--data '{
   "domain_names": [
      "<YOUR_DOMAIN_HERE>"
   ],
   "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>",
   "group_id": "<GROUP_ID>"
}'
  2. Wenn Sie die Domänennamen für eine vorhandene private Endpunktregel ändern müssen, verwenden Sie die folgende PATCH-Anforderung: 
    curl --location --request PATCH 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <TOKEN>' \
--data '{
   "domain_names": [
      "<YOUR_DOMAIN_HERE>"
   ]
}'
  3. Verwenden Sie zum Auflisten, Anzeigen oder Löschen privater App-Gateway-Endpunktregeln die standardmäßigen API-Vorgänge der Netzwerkkonnektivitätskonfigurationen, die in der Netzwerkkonnektivitätskonfigurations-API dokumentiert sind.

Schritt 7: Starten Sie serverlose Computeebenenressourcen neu, und testen Sie die Verbindung

  1. Warten Sie fünf weitere Minuten, bis die Änderungen weitergegeben wurden.
  2. Starten Sie alle ausgeführten Ressourcen der serverlosen Verarbeitungsebene in den Arbeitsbereichen neu, an die Ihr NCC angeschlossen ist. Wenn keine Ressourcen auf serverloser Computingebene ausgeführt werden, starten Sie jetzt eine solche Ressource.
  3. Stellen Sie sicher, dass alle Ressourcen erfolgreich starten.
  4. Führen Sie mindestens eine Abfrage an Ihre Datenquelle aus, um zu bestätigen, dass das serverlose SQL-Warehouse eine Verbindung zu Ihrer Datenquelle herstellen kann.

Nächste Schritte

Azure China

anforderungen für Azure China

  • Ihr Konto und Ihr Arbeitsbereich müssen sich im Premium-Plan befinden.
  • Sie müssen ein Azure Databricks Kontoadministrator sein.
  • Jedes Azure Databricks Konto kann bis zu 10 NCCs pro Region haben.
  • Jedes Konto kann bis zu 20 private Endpunkte in Azure China haben.
  • Jede NCC kann an bis zu 50 Arbeitsbereiche angefügt werden.

Hinweis

In Azure China werden ncCs nur in der Region China Nord 3 unterstützt. Da ein NCC nur an einen Arbeitsbereich in derselben Region angefügt werden kann, muss sich Ihr Arbeitsbereich auch in China Nord 3 befinden.

Step 1: Erstellen einer Netzwerkkonnektivitätskonfiguration (Azure China)

Databricks empfiehlt die Nutzung eines NCC in mehreren Arbeitsbereichen derselben Geschäftseinheit und Region. Wenn einige Arbeitsbereiche beispielsweise Private Link und andere Arbeitsbereiche unterschiedliche Verbindungskonfigurationen verwenden, verwenden Sie separate NCCs für diese Anwendungsfälle.

Hinweis

Die Firewallaktivierung (subnetzbasierter Zugriff) ist in Azure China nicht verfügbar. Private Endpunkte sind die einzige unterstützte Konnektivitätsmethode für die serverlose Berechnung in Azure China.

  1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
  2. Klicken Sie in der Randleiste auf "Sicherheit".
  3. Klicken Sie auf Netzwerkkonnektivitätskonfigurationen.
  4. Klicken Sie auf "Netzwerkkonfiguration hinzufügen".
  5. Geben Sie einen Namen für das NCC ein.
  6. Wählen Sie "China North 3 " als Region aus. Diese muss mit Ihrer Arbeitsbereichsregion übereinstimmen.
  7. Klicken Sie auf Hinzufügen.

Step 2: Anfügen eines NCC an einen Arbeitsbereich (Azure China)

  1. Klicken Sie in der Randleiste der Kontokonsole auf Arbeitsbereiche.
  2. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
  3. Klicken Sie auf Arbeitsbereich aktualisieren.
  4. Wählen Sie im Feld "Netzwerkkonnektivitätskonfigurationen " Ihre NCC aus. Wenn es nicht sichtbar ist, vergewissern Sie sich, dass Sie China Nord 3 als Azure Region für den Arbeitsbereich und den NCC ausgewählt haben.
  5. Klicken Sie auf Aktualisieren.
  6. Warten Sie zehn Minuten, bis die Änderung wirksam wird.
  7. Starten Sie alle ausgeführten serverlosen Dienste im Arbeitsbereich neu.

Step 3: Erstellen privater Endpunktregeln (Azure China)

Sie müssen für jede Azure Ressource eine private Endpunktregel in Ihrem NCC erstellen. Eine Liste der in Azure China unterstützten Ressourcen finden Sie unter Supported resources.

  1. Rufen Sie eine Liste der Azure Ressourcen-IDs für alle Ihre Ziele ab.
    1. Verwenden Sie in einem anderen Browser-Tab das Azure-Portal, um zu den Azure-Diensten Ihrer Datenquelle zu navigieren.
    2. Navigieren Sie auf der Übersicht zum Abschnitt Essentials.
    3. Klicken Sie auf den Link JSON-Ansicht. Die Ressourcen-ID für den Dienst wird oben auf der Seite angezeigt.
    4. Kopieren Sie diese Ressourcen-ID an einen anderen Speicherort. Wiederholen Sie diesen Schritt für alle Ziele. Weitere Informationen zum Suchen Ihrer Ressourcen-ID finden Sie unter Azure Private Endpoint private DNS-Zonenwerte.
  2. Wechseln Sie zurück zur Browserregisterkarte für die Kontokonsole.
  3. Klicken Sie in der Randleiste auf "Sicherheit".
  4. Klicken Sie auf Netzwerkkonnektivitätskonfigurationen.
  5. Wählen Sie die NCC aus, die Sie in Schritt 1 erstellt haben.
  6. Klicken Sie unter Regeln für den privaten Endpunkt auf Regel für den privaten Endpunkt hinzufügen.
  7. Fügen Sie im Feld Destination Azure Ressourcen-ID die Ressourcen-ID für Ihre Ressource ein.
  8. Geben Sie im Feld Azure Unterressourcen-ID die Ziel-ID und den Unterressourcentyp an. Jede Regel für den privaten Endpunkt muss eine andere Unterressourcen-ID verwenden.
  9. Klicken Sie auf Hinzufügen.
  10. Warten Sie ein paar Minuten, bis alle Endpunktregeln den Status PENDING aufweisen.

Step 4: Genehmigen der neuen privaten Endpunkte für Ihre Ressourcen (Azure China)

Die Endpunkte werden erst wirksam, wenn ein Administrator sie auf der Ressourcenseite genehmigt. Um die Genehmigung über das Azure-Portal zu erteilen:

  1. Navigieren Sie im Azure-Portal zu Ihrer Ressource.

  2. Klicken Sie auf der Seitenleiste auf Netzwerk.

  3. Klicken Sie auf Verbindungen mit privatem Endpunkt.

  4. Klicken Sie auf die Registerkarte Privater Zugriff.

  5. Überprüfen Sie unter Verbindungen mit privatem Endpunkt die Liste der privaten Endpunkte.

  6. Aktivieren Sie das Kontrollkästchen neben jedem einzelnen, der genehmigt werden soll, und klicken Sie oberhalb der Liste auf die Schaltfläche Genehmigen.

  7. Kehren Sie zu Ihrem NCC in Azure Databricks zurück, und aktualisieren Sie die Browserseite, bis alle Endpunktregeln den Status ESTABLISHED haben.

    Private Endpunktliste

(Optional) Schritt 5: Legen Sie Ihre Ressourcen fest, um den Zugriff auf öffentliche Netzwerke zu verbieten (Azure China)

Wenn Sie Ihre Ressourcen noch nicht auf zugelassene Netzwerke beschränkt haben, können Sie dies jetzt tun.

  1. Wechseln Sie zum Azure-Portal.
  2. Navigieren Sie zu Ihrem Speicherkonto für die Datenquelle.
  3. Klicken Sie auf der Seitenleiste auf Netzwerk.
  4. Überprüfen Sie den Wert im Feld für Öffentlicher Netzwerkzugriff. Standardmäßig lautet der Wert Aus allen Netzwerken aktiviert. Ändern Sie diesen in Deaktiviert.

Aktivieren von Private Link für Azure-App Gateway v2 (Azure China)

Wenn Sie Private Link für eine Azure-App Gateway v2-Ressource konfigurieren, müssen Sie die REST-API für Netzwerkkonnektivitätskonfigurationen anstelle der Kontokonsolen-BENUTZEROBERFLÄCHE verwenden. Azure-App Gateway v2 erfordert zusätzliche Parameter: Ressourcen-ID, Gruppen-ID und Domänennamen.

  1. Verwenden Sie den folgenden API-Aufruf, um eine private Endpunktregel mit Domänennamenkonfiguration zu erstellen: 
    curl --location 'https://accounts.databricks.azure.cn/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <TOKEN>' \
--data '{
   "domain_names": [
      "<YOUR_DOMAIN_HERE>"
   ],
   "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>",
   "group_id": "<GROUP_ID>"
}'
  2. Wenn Sie die Domänennamen für eine vorhandene private Endpunktregel ändern müssen, verwenden Sie die folgende PATCH-Anforderung: 
    curl --location --request PATCH 'https://accounts.databricks.azure.cn/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <TOKEN>' \
--data '{
   "domain_names": [
      "<YOUR_DOMAIN_HERE>"
   ]
}'
  3. Verwenden Sie zum Auflisten, Anzeigen oder Löschen privater App-Gateway-Endpunktregeln die standardmäßigen API-Vorgänge der Netzwerkkonnektivitätskonfigurationen, die in der Netzwerkkonnektivitätskonfigurations-API dokumentiert sind.

Step 7: Starten Sie serverlose Computeebenenressourcen neu, und testen Sie die Verbindung (Azure China)

  1. Warten Sie fünf weitere Minuten, bis die Änderungen weitergegeben wurden.
  2. Starten Sie alle ausgeführten Ressourcen der serverlosen Verarbeitungsebene in den Arbeitsbereichen neu, an die Ihr NCC angeschlossen ist. Wenn keine Ressourcen auf serverloser Computingebene ausgeführt werden, starten Sie jetzt eine solche Ressource.
  3. Stellen Sie sicher, dass alle Ressourcen erfolgreich starten.
  4. Führen Sie mindestens eine Abfrage an Ihre Datenquelle aus, um zu bestätigen, dass das serverlose SQL-Warehouse eine Verbindung zu Ihrer Datenquelle herstellen kann.

Nächste Schritte (Azure China)

  • Last updated on