Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Si su espacio de trabajo de Azure Databricks está implementado en su propia red virtual (VNet), puede usar rutas personalizadas, también conocidas como rutas definidas por el usuario (UDR), para asegurarse de que el tráfico de red se enrute correctamente para su espacio de trabajo. Por ejemplo, si conecta la red virtual a la red local, es posible que el tráfico se enrute a través de la red local y no pueda acceder al plano de control de Azure Databricks. Las rutas definidas por el usuario pueden resolver el problema.
Necesita una UDR para cada tipo de conexión saliente desde la VNet. Puede usar tanto etiquetas de servicio Azure como direcciones IP para definir controles de acceso de red en las rutas definidas por el usuario. Databricks recomienda usar etiquetas de servicio de Azure para evitar interrupciones del servicio debido a cambios de IP.
Configure rutas definidas por el usuario con etiquetas de servicio de Azure
Databricks recomienda usar etiquetas de servicio Azure, que representan un grupo de prefijos de dirección IP de un servicio de Azure determinado. Microsoft administra los prefijos de dirección incluidos en la etiqueta de servicio y actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones. Esto ayuda a evitar interrupciones del servicio por cambios de IP y elimina la necesidad de buscar periódicamente estas direcciones IP y actualizarlas en la tabla de rutas. Sin embargo, si las directivas de la organización no permiten etiquetas de servicio, tiene la opción de especificar las rutas como direcciones IP.
Con las etiquetas de servicio, las rutas definidas por el usuario deben usar las siguientes reglas y asociar la tabla de rutas a las subredes públicas y privadas de la red virtual.
| Origen | Prefijo de dirección | Tipo de próximo salto |
|---|---|---|
| Valor predeterminado | AzureDatabricks |
Internet |
| Valor predeterminado | Storage |
Internet |
| Valor predeterminado | EventHub |
Internet |
Nota:
Puede optar por agregar la etiqueta de servicio Microsoft Entra ID para facilitar la autenticación de Microsoft Entra ID desde clústeres de Azure Databricks a recursos de Azure.
Si Azure Private Link está habilitado en el área de trabajo, no se requiere la etiqueta de servicio Azure Databricks.
La etiqueta de servicio Azure Databricks representa las direcciones IP de las conexiones salientes necesarias al plano de control de Azure Databricks, la secure cluster connectivity (SCC) y la aplicación web Azure Databricks. También debe abrir el puerto 3306 para el tráfico de salida en el grupo de seguridad de red para facilitar la conectividad con el metastore heredado de Hive.
La etiqueta de servicio Azure Storage representa direcciones IP para artifact Blob Storage y log Blob Storage. La etiqueta de servicio Azure Event Hubs representa las conexiones salientes necesarias para iniciar sesión en Azure Centro de eventos.
Algunas etiquetas de servicio permiten un control más pormenorizado restringiendo los intervalos IP a una región específica. Por ejemplo, una tabla de rutas para un área de trabajo de Azure Databricks en las regiones Oeste de EE. UU. podría tener el siguiente aspecto:
| Nombre | Prefijo de dirección | Tipo de próximo salto |
|---|---|---|
| adb-servicetag | AzureDatabricks | Internet |
| adb-storage | Storage.WestUS | Internet |
| adb-eventhub | EventHub.WestUS | Internet |
Importante
Si usa etiquetas de servicio con ámbito de región, tenga en cuenta que algunos puntos de conexión de región pueden residir en una región de Azure diferente que el punto de conexión de almacenamiento principal. Por ejemplo, un área de trabajo en Japón Oriental tiene su almacenamiento de artefactos secundario en Japón Occidental. En este caso, también debe agregar una etiqueta de servicio para la región secundaria. Para revisar los FQDN de la región del área de trabajo, consulte Metastore, artifact Blob Storage, almacenamiento de tablas del sistema, almacenamiento de blobs de registro y direcciones IP del punto de conexión de Event Hubs.
Para obtener las etiquetas de servicio necesarias para las rutas definidas por el usuario, consulte Etiquetas de servicio de red virtual.
Configuración de rutas definidas por el usuario con direcciones IP
Databricks recomienda usar etiquetas de servicio Azure, pero si las directivas de la organización no permiten etiquetas de servicio, puede usar direcciones IP para definir controles de acceso de red en las rutas definidas por el usuario.
Los detalles varían en función de si la conectividad segura del clúster (SCC) está habilitada para el área de trabajo:
- Si la conectividad segura del clúster está habilitada para el área de trabajo, necesita una UDR, para permitir que los clústeres se conecten al relé de conectividad segura del clúster, en el plano de control. Asegúrese de incluir los sistemas marcados como IP de relé de SCC en su región.
- Si la conectividad segura del clúster está deshabilitada para el área de trabajo, hay una conexión entrante desde la NAT del plano de control, pero el TCP SYN-ACK de bajo nivel a esa conexión, técnicamente, es un dato saliente que requiere una UDR. Asegúrese de incluir los sistemas marcados como IP de la NAT del plano de control en su región.
Las rutas definidas por el usuario deben usar las siguientes reglas y asociar la tabla de rutas a las subredes públicas y privadas de la red virtual.
| Origen | Prefijo de dirección | Tipo de próximo salto |
|---|---|---|
| Valor predeterminado | IP de la NAT del plano de control (si la SCC está deshabilitada) | Internet |
| Valor predeterminado | IP de relé de SCC (si la SCC está habilitada) | Internet |
| Valor predeterminado | IP de la aplicación web | Internet |
| Valor predeterminado | Dirección IP de metastore | Internet |
| Valor predeterminado | Dirección IP de Blob Storage de artefacto | Internet |
| Valor predeterminado | Dirección IP de Blob Storage de registro | Internet |
| Valor predeterminado | DIRECCIÓN IP de almacenamiento del área de trabajo: punto de conexión de Blob Storage | Internet |
| Valor predeterminado | IP de almacenamiento del área de trabajo: punto de conexión de ADLS (dfs) |
Internet |
| Valor predeterminado | IP de Event Hubs | Internet |
Si Azure Private Link está habilitado en el área de trabajo, las rutas definidas por el usuario deben usar las siguientes reglas y asociar la tabla de rutas a las subredes públicas y privadas de la red virtual.
| Origen | Prefijo de dirección | Tipo de próximo salto |
|---|---|---|
| Valor predeterminado | Dirección IP de metastore | Internet |
| Valor predeterminado | Dirección IP de Blob Storage de artefacto | Internet |
| Valor predeterminado | Dirección IP de Blob Storage de registro | Internet |
| Valor predeterminado | IP de Event Hubs | Internet |
Para obtener las direcciones IP necesarias para las rutas definidas por el usuario, use las tablas e instrucciones de Azure Databricks regiones específicamente: