Configurar o Link Privado de entrada para serviços intensivos em desempenho

Esta página mostra como configurar Link Privado para conectividade de entrada com serviços com uso intensivo de desempenho na plataforma Azure Databricks. Essa conexão privada permite que clientes e usuários externos acessem serviços na plataforma Azure Databricks, como Zerobus Ingest e Lakebase Autoscaling.

Benefícios

• Enhanced security: o tráfego entre sua rede e serviços do Databricks permanece dentro da infraestrutura de rede da Azure.
• Acesso a serviços com uso intensivo de desempenho: conexões privadas com serviços como Zerobus Ingest e Lakebase Autoscaling.
• Requisitos de conformidade: atenda aos requisitos regulatórios que exigem conectividade de rede privada.
• Cost efficiency: Link Privado custa menos do que as opções de conectividade pública, como gateways NAT.

Requirements

• Sua conta de Azure Databricks deve estar na camada Premium.
• Você deve habilitar a conectividade privada para o recurso de Visualização Pública de serviços com uso intensivo de desempenho em sua conta. Você pode autoinscrever-se no console de gerenciamento de conta. Sem essa funcionalidade habilitada, endpoints privados não aparecem no console da própria conta.
• Para registrar pontos de extremidade privados, você deve ser o administrador de uma conta do Azure Databricks.
• Você deve ter permissões de Colaborador de Rede ou equivalentes no Azure para criar pontos de extremidade privados.

Etapa 1: Criar um ponto de extremidade privado

Esta etapa cria um ponto de extremidade privado no Azure portal que se conecta aos seus serviços intensivos em desempenho no Azure Databricks.

Preparar VNet e subnet

1. Configure uma VNet e uma sub-rede para hospedar o ponto de extremidade privado. Você pode criar uma nova VNet ou reutilizar uma existente (como a VNet do workspace).
   • Para criar uma nova VNet, consulte Criar um Rede Virtual do Azure.
   • Para adicionar uma sub-rede, consulte Adicionar, alterar ou excluir uma sub-rede de rede virtual.
2. Verifique se a política de rede do ponto de extremidade privado está desabilitada em sua subrede. Essa é a configuração padrão. Consulte Gerenciar políticas de rede para pontos de extremidade privados para obter detalhes.
3. Se você reutilizar uma VNet de workspace existente, deverá usar ou criar uma sub-rede diferente daquela usada pelo workspace.
4. Se a VNet que hospeda o ponto de extremidade privado for diferente da VNet que está enviando o tráfego, configure o emparelhamento de VNet ou a conectividade. Consulte Verificar a conectividade da VNet.

Implantar um ponto de extremidade privado

1. No portal Azure, pesquise pontos de extremidade Private no Microsoft Marketplace e selecione Create.
2. Insira um nome e o nome da interface de rede, e defina a região para coincidir com a região da VNet do workspace.
3. Clique em Avançar: Recurso.
4. Selecione Conectar em um recurso de Azure por ID de recurso ou alias.
5. No campo Resource ID ou alias, insira a ID do recurso do Serviço Service-Direct Link Privado para sua região. Consulte IDs de Recursos do Serviço Service-Direct Link Privado para obter a lista de IDs de recurso.
6. No campo sub-recurso de destino , insira service_direct.
7. Clique em Next: Rede Virtual.
8. Selecione a rede virtual e a sub-rede que você preparou na seção Preparar VNet e sub-rede .
9. Clique em Avançar: DNS.
10. Deixe a integração com a zona DNS privada definida como Não. Configure o DNS manualmente em uma etapa posterior.
11. Clique em Avançar: Marcas.
12. Clique em Próximo: Examinar + criar.
13. Examine a configuração e clique em Criar para implantar o ponto de extremidade privado.
14. Após a conclusão da implantação, registre estes valores:
    • Nome do ponto de extremidade privado: o nome do ponto de extremidade privado.
    • GUID de recurso: acesse o recurso endpoint privado, clique na exibição JSON e encontre o valor em properties.resourceGuid. Isso é necessário na Etapa 2.
    • Endereço IP privado: no modo de exibição JSON, localize o endereço IP em properties.customDnsConfigs[0].ipAddresses[0]. Isso é necessário na Etapa 3.

Etapa 2: Registrar seu ponto de extremidade privado

Depois de criar seu ponto de extremidade privado no portal do Azure, registre-o no Azure Databricks.

1. Vá para o console da conta Azure Databricks.
2. Na barra lateral, clique em Segurança>Rede>Pontos de Extremidade>Registrar Ponto de Extremidade.

Etapa 3: Configurar o DNS

Depois que o ponto de extremidade privado for registrado, configure o DNS para que o tráfego seja roteado pelo ponto de extremidade privado usando o privatelink.azuredatabricks.net domínio.

• O Databricks recomenda uma convenção de nomenclatura que inclua a região e a finalidade, como PE westus2 for service-direct.

1. Crie uma zona DNS privada Azure chamada privatelink.azuredatabricks.net.
   • Se o workspace já utiliza um Link Privado de entrada (consulte Configure Inbound Link Privado), reutilize a zona privatelink.azuredatabricks.net existente.
   • Para novas zonas, consulte Criar uma zona DNS privada Azure usando o portal Azure.
2. Vincule a zona DNS privada à VNet que hospeda o seu endpoint privado. Consulte Link da rede virtual.

Criar um registro DNS A

1. Vá para sua privatelink.azuredatabricks.net zona DNS privada.
2. Selecione a guia Conjuntos de Registros em Gerenciamento de DNS.
3. Clique em Adicionar para adicionar um conjunto de registros.
4. Configure o registro A:
   • Name: <region>.service-direct (substitua <region> pela região Azure, por exemplo, westus2.service-direct)
   • Tipo: A
   • Endereço IP: o endereço IP do seu ponto de extremidade privado (registrado na Etapa 1)
5. Clique em OK para salvar o registro.

Verificar a resolução de DNS

De uma máquina em sua VNet ou de uma tarefa anexada ao espaço de trabalho em sua zona DNS privada, confirme se as consultas DNS resolvem-se para o IP do ponto de extremidade privado.

nslookup westus2.service-direct.privatelink.azuredatabricks.net

Ou use dig:

dig westus2.service-direct.privatelink.azuredatabricks.net

Ambos os comandos retornam o endereço IP privado do ponto de extremidade privado.

Verificar a conectividade da VNet

Se o tráfego de geração de VNet for diferente da VNet que hospeda o ponto de extremidade privado, configure o emparelhamento de VNet ou a conectividade entre eles. Consulte Cenários de Integração de DNS do Ponto de Extremidade Privado do Azure para orientações detalhadas.

Desabilitar o acesso público (opcional)

Concluir a configuração do Link Privado não bloqueia automaticamente o acesso público à Internet para o seu workspace. O acesso público e privado são configurações independentes. Para impor a conectividade somente privada, desabilite o acesso à rede pública:

1. No portal do Azure, vá para o recurso de espaço de trabalho do Azure Databricks.
2. Em Configurações, defina Permitir acesso à rede pública para desabilitar.

Limitações

• Os pontos de extremidade privados de serviço com alta demanda de desempenho se aplicam no nível da conta e afetam automaticamente todos os workspaces Premium na mesma região.
• Cada conta é limitada a cinco pontos de extremidade privados para serviços com uso intensivo de desempenho por região e 100 por conta. Entre em contato com sua equipe de conta Azure Databricks para obter aumentos de cota.

Próximas etapas

• Implante o Azure Databricks na sua rede virtual do Azure (injeção de VNet)
• Configure Inbound Link Privado
• IP endereços e domínios para Azure Databricks serviços e ativos