Configurar conectividade privada com recursos em sua VNet

Esta página explica como usar o console da conta Azure Databricks para configurar conexões Link Privado da computação sem servidor aos recursos em sua VNet (rede virtual) por meio de um balanceador de carga Azure.

A configuração da conectividade privada para computação sem servidor fornece:

• Uma conexão privada e dedicada: O seu ponto de extremidade privado está vinculado exclusivamente à sua conta do Azure Databricks, garantindo que o acesso aos recursos da VNet seja restrito apenas a espaços de trabalho autorizados. Isso cria um canal de comunicação seguro e dedicado.
• Mitigação aprimorada de exfiltração de dados: Embora o Azure Databricks Serverless com o Unity Catalog ofereça proteção integrada contra exfiltração de dados, o Link Privado fornece uma camada adicional de defesa de rede. Ao colocar seus recursos de VNet em uma sub-rede privada e controlar o acesso por meio de pontos de extremidade privados dedicados, você reduz significativamente o risco de movimentação de dados não autorizados fora do ambiente de rede controlado.

Requisitos

• Sua conta e ambiente de trabalho precisam estar no plano Premium.
• Você é o administrador da conta de sua conta Azure Databricks.
• Você tem pelo menos um workspace usando computação sem servidor. Para regiões com suporte, consulte a disponibilidade sem servidor.
• Seu balanceador de carga tem uma rede virtual e uma sub-rede e seu recurso está localizado nessa sub-rede.
• Cada conta Azure Databricks pode ter até 10 NCCs por região.
• Cada região pode ter 100 pontos de extremidade privados, distribuídos conforme necessário em um a dez NCCs.
• Cada NCC pode ser anexado a até 50 espaços de trabalho.
• Cada regra para ponto de extremidade privado que estabelece a conectividade privada com recursos em sua VNet oferece suporte a até 10 nomes de domínio.
• Não há suporte para perseguição de DNS e redirecionamento de DNS. Todos os nomes de domínio devem ser redirecionados diretamente para os recursos de back-end.

Etapa 1: Criar um balanceador de carga Azure

Crie um Azure Load Balancer que serve como front-end para seus recursos de VNet. Esse balanceador de carga está vinculado ao serviço Link Privado.

Para criar um balanceador de carga, siga as instruções no Quickstart: criar um balanceador de carga interno para balancear a carga de VMs usando o portal Azure. Conclua o seguinte:

1. Crie um recurso de balanceador de carga.
2. Adicione uma configuração de IP de frontend: Este é o ponto de entrada do serviço Link Privado.
3. Adicione um pool de back-end: Esse pool contém os endereços IP dos recursos da VNet.
4. Criar uma Sonda de Integridade: Configure uma sonda de integridade para monitorar a disponibilidade dos recursos de back-end.
5. Adicionar regras de balanceamento de carga: Defina regras para distribuir o tráfego de entrada ao seu pool de backend.

Etapa 2: Criar um serviço de Link Privado

Você deve criar um serviço Link Privado para expor o balanceador de carga com segurança ao seu ponto de extremidade privado. Verifique se o serviço de Link Privado é criado na mesma região que o seu balanceador de carga.

Para obter instruções, consulte a documentação Azure: Criar um serviço de Link Privado usando o portal Azure.

Etapa 3: Criar ou usar um objeto NCC (configurações de conectividade de rede) existente

O objeto NCC em Azure Databricks define as configurações de conectividade privada para seus workspaces. Ignore esta etapa se já existir um NCC. Para criar um objeto NCC:

1. Como administrador da conta, acesse o console da conta.
2. Na barra lateral, clique em Segurança.
3. Clique em configurações de conectividade de rede.
4. Clique em Adicionar configuração de rede.
5. Insira um nome para a NCC.
6. Escolha a região. Isso deve corresponder à região do seu espaço de trabalho.
7. Clique em Adicionar.

Etapa 4: Criar um ponto de extremidade privado

Esta etapa vincula seu serviço de Link Privado ao NCC Azure Databricks. Para criar um ponto de extremidade privado:

1. No console da conta, clique em Segurança.
2. Clique em configurações de conectividade de rede.
3. Selecione o objeto NCC que você criou na Etapa 3.
4. Na guia Regras de ponto de extremidade privado , clique em Adicionar regra de ponto de extremidade privado.
5. No campo ID do recurso do Azure, cole a ID de recurso completa do serviço de Link Privado. Encontre essa ID no portal Azure na página Overview do serviço Link Privado. ID de exemplo: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
6. No campo Nomes de domínio, adicione os nomes de domínio personalizados que os recursos da VNet usam. Esses nomes de domínio devem ser mapeados para as configurações de IP no pool de back-end do Load Balancer.
7. Clique em Adicionar.
8. Confirme se a coluna Status da regra de ponto de extremidade privado recém-adicionada é PENDING.

Etapa 5: Aceitar o ponto de extremidade privado em seu recurso

Depois de criar a regra de ponto de extremidade privado no Databricks, você deve aprovar a solicitação de conexão no portal Azure. Para aprovar a conexão:

1. Navegue até o centro Link Privado no portal do Azure.
2. Selecione Link Privado services.
3. Localize e selecione o serviço Link Privado associado ao balanceador de carga.
4. Na barra lateral esquerda, em Configurações, selecione Conexões de ponto de extremidade privado.
5. Selecione o ponto de extremidade privado pendente.
6. Clique em Aprovar para aceitar a conexão.
7. Quando solicitado, selecione Sim.
8. Após a aprovação, o estado de conexão muda para Aprovado.

Pode levar dez minutos para que a conexão seja totalmente estabelecida.

Etapa 6: Confirmar o status do ponto de extremidade privado

Verifique se a conexão do ponto de extremidade privado está estabelecida com êxito pelo lado do Azure Databricks. Para confirmar a conexão:

1. Atualize a página de Configurações de conectividade de rede no console da conta do Azure Databricks.
2. Na guia Regras de ponto de extremidade privado , confirme se a coluna Status do novo ponto de extremidade privado é ESTABLISHED.

Etapa 7: Vincular o NCC a um ou mais espaços de trabalho

Esta etapa associa sua conectividade privada configurada aos workspaces do Azure Databricks. Pule esta etapa se o espaço de trabalho já estiver anexado ao NCC desejado. Para anexar o NCC a um espaço de trabalho:

1. Navegue até Workspaces na navegação à esquerda.
2. Selecione um workspace existente.
3. Selecione Atualizar Workspace.
4. Em configurações de conectividade de rede, selecione a lista suspensa e escolha o NCC que você criou.
5. Repita para todos os workspaces aos quais você gostaria que este NCC se aplicasse.

Próximas etapas

• Configurar conectividade privada a recursos do Azure: use o Link Privado para estabelecer acesso seguro e isolado aos serviços do Azure de sua rede virtual, ignorando a internet pública. Consulte Configuração de conectividade privada para recursos do Azure.
• Gerencie regras de ponto de extremidade privado: Controle o tráfego de rede de e para os seus pontos de extremidade privados do Azure definindo regras específicas que permitem ou negam conexões. Consulte Gerenciar regras de ponto de extremidade privado.
• Configurar um firewall para acesso à computação sem servidor: implemente um firewall para restringir e proteger conexões de rede de entrada e saída para seus ambientes de computação sem servidor. Consulte Configurar um firewall para acesso à computação sem servidor (herdado).
• Compreenda a transferência de dados e os custos de conectividade: A transferência e a conectividade de dados referem-se à movimentação de dados para dentro e para fora de ambientes serverless do Azure Databricks. Os encargos de rede para produtos sem servidor só se aplicam aos clientes que usam Azure Databricks computação sem servidor. Consulte Noções básicas sobre os custos de rede sem servidor do Databricks.