Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Se o seu espaço de trabalho Azure Databricks estiver implantado na sua própria rede virtual (VNet), pode usar rotas personalizadas, também conhecidas como rotas definidas pelo utilizador (UDR), para garantir que o tráfego de rede é encaminhado corretamente para o seu espaço de trabalho. Por exemplo, se ligar a rede virtual à sua rede local, o tráfego pode ser encaminhado através da rede local e não conseguir aceder ao plano de controlo Azure Databricks. Rotas definidas pelo usuário podem resolver esse problema.
Você precisa de um UDR para cada tipo de conexão de saída da rede virtual. Pode usar tanto as etiquetas de serviço do Azure como os endereços IP para definir controlos de acesso à rede nas suas rotas definidas pelo utilizador. A Databricks recomenda usar etiquetas de serviço do Azure para evitar falhas de serviço devido a alterações de IP.
Configurar rotas definidas pelo utilizador com Azure etiquetas de serviço
A Databricks recomenda que utilize etiquetas de serviço Azure, que representam um grupo de prefixos de endereços IP de um dado serviço Azure. A Microsoft gere os prefixos de endereço abrangidos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Isso ajuda a evitar interrupções de serviço devido a alterações de IP e elimina a necessidade de pesquisar periodicamente esses IPs e atualizá-los em sua tabela de rotas. No entanto, se as políticas da sua organização não permitirem marcas de serviço, você poderá, opcionalmente , especificar as rotas como endereços IP.
Usando tags de serviço, suas rotas definidas pelo usuário devem usar as seguintes regras e associar a tabela de rotas às sub-redes públicas e privadas da sua rede virtual.
| Origem | Prefixo de endereço | Tipo de salto seguinte |
|---|---|---|
| Predefinido | AzureDatabricks |
Internet |
| Predefinido | Storage |
Internet |
| Predefinido | EventHub |
Internet |
Nota
Pode optar por adicionar a etiqueta de serviço Microsoft Entra ID para facilitar a autenticação do Microsoft Entra ID dos clusters Azure Databricks para recursos do Azure.
Se o Azure Private Link estiver ativado no seu espaço de trabalho, a etiqueta de serviço Azure Databricks não é necessária.
A etiqueta de serviço Azure Databricks representa endereços IP para as ligações de saída necessárias ao plano de controlo Azure Databricks, à conectividade secure cluster (SCC) e à aplicação web Azure Databricks. Deve também abrir a porta 3306 para o tráfego de saída no seu grupo de segurança de rede para permitir a conectividade ao metastore Hive herdado.
A etiqueta de serviço Armazenamento do Azure representa endereços IP para armazenamento Blob de artefactos e armazenamento Blob de logs. A etiqueta de serviço Hubs de Eventos do Azure representa as ligações de saída necessárias para iniciar sessão no Azure Event Hub.
Algumas tags de serviço permitem um controle mais granular restringindo intervalos de IP a uma região especificada. Por exemplo, uma tabela de roteamento para um espaço de trabalho Azure Databricks nas regiões do Oeste dos EUA pode ser assim:
| Nome | Prefixo de endereço | Tipo de salto seguinte |
|---|---|---|
| ADB-ServiceTag | AzureDatabricks | Internet |
| ADB-Armazenamento | Armazenamento.WestUS | Internet |
| ADB-EventHub | EventHub.WestUS | Internet |
Importante
Se usar etiquetas de serviço com âmbito regional, note que alguns endpoints regionais podem residir numa região Azure diferente do endpoint principal de armazenamento. Por exemplo, um espaço de trabalho no Japão Este tem o seu armazenamento secundário de artefactos no Japão Oeste. Neste caso, deve também adicionar uma etiqueta de serviço para a região secundária. Para rever os FQDNs para a região do seu espaço de trabalho, consulte Metastore, armazenamento de artefactos Blob, armazenamento de tabelas do sistema, armazenamento de registos Blob e endereços IP de endpoints dos Event Hubs.
Para obter as tags de serviço necessárias para rotas definidas pelo usuário, consulte Tags de serviço de rede virtual.
Configurar rotas definidas pelo usuário com endereços IP
A Databricks recomenda que use etiquetas de serviço Azure, mas se as políticas da sua organização não permitirem etiquetas de serviço, pode usar endereços IP para definir controlos de acesso à rede nas rotas definidas pelo utilizador.
Os detalhes variam de acordo com se a SCC (conectividade segura de cluster) está habilitada para o espaço de trabalho:
- Se a conectividade de cluster seguro estiver habilitada para o espaço de trabalho, você precisará de um UDR para permitir que os clusters se conectem à retransmissão de conectividade de cluster seguro no plano de controle. Certifique-se de incluir os sistemas marcados como IP de relé SCC para a sua região.
- Se a conectividade de cluster seguro estiver desabilitada para o espaço de trabalho, haverá uma conexão de entrada do NAT do Plano de Controle, mas o TCP SYN-ACK de baixo nível para essa conexão tecnicamente são dados de saída que exigem um UDR. Certifique-se de incluir os sistemas marcados como Plano de Controle NAT IP para a sua região.
Suas rotas definidas pelo usuário devem usar as seguintes regras e associar a tabela de rotas às sub-redes públicas e privadas da sua rede virtual.
| Origem | Prefixo de endereço | Tipo de salto seguinte |
|---|---|---|
| Predefinido | Endereço IP NAT do plano de controlo (se o SCC estiver desativado) | Internet |
| Predefinido | IP de retransmissão SCC (se o SCC estiver ativado) | Internet |
| Predefinido | Webapp IP | Internet |
| Predefinido | Metastore IP | Internet |
| Predefinido | IP de armazenamento de Blob de artefato | Internet |
| Predefinido | IP de armazenamento de log BLOB | Internet |
| Predefinido | IP de armazenamento de espaço de trabalho - ponto final de Armazenamento de Blobs | Internet |
| Predefinido | IP de armazenamento do espaço de trabalho - ponto de extremidade ADLS (dfs) |
Internet |
| Predefinido | IP dos Hubs de Eventos | Internet |
Se Azure Private Link estiver ativado no seu espaço de trabalho, as rotas definidas pelo utilizador devem usar as seguintes regras e associar a tabela de rotas às sub-redes públicas e privadas da sua rede virtual.
| Origem | Prefixo de endereço | Tipo de salto seguinte |
|---|---|---|
| Predefinido | Metastore IP | Internet |
| Predefinido | IP de armazenamento de Blob de artefato | Internet |
| Predefinido | IP de armazenamento de log BLOB | Internet |
| Predefinido | IP dos Hubs de Eventos | Internet |
Para obter os endereços IP necessários para rotas definidas pelo utilizador, use as tabelas e instruções nas regiões Azure Databricks, especificamente: