Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página mostra como configurar o Private Link para conectividade de entrada a serviços que exigem muito desempenho na plataforma Azure Databricks. Esta ligação privada permite que clientes e utilizadores externos acedam a serviços na plataforma Azure Databricks, como Zerobus Ingest e Lakebase Autoscaling.
Benefícios
- Segurança reforçada: O tráfego entre a sua rede e os serviços Databricks mantém-se dentro da infraestrutura de rede Azure.
- Acesso a serviços intensivos em desempenho: ligações privadas a serviços como Zerobus Ingest e Lakebase Autoscaling.
- Requisitos de conformidade: Cumprir os requisitos regulamentares que exigem conectividade de rede privada.
- Eficiência de custos: Private Link custa menos do que opções públicas de conectividade, como gateways NAT.
Observação
Atualmente, a Databricks não cobra pelos custos de rede associados às ligações Private Link de entrada para serviços intensivos em desempenho. Poderão ser apresentadas acusações no futuro.
Requerimentos
- A sua conta Azure Databricks deve estar no nível Premium.
- Deve ativar a funcionalidade de Versão Prévia Pública de Conectividade Privada para serviços de alto desempenho na sua conta. Podes inscrever-te a partir da consola da conta. Sem esta funcionalidade ativada, os endpoints privados não aparecem na consola da conta.
- Tens de ser administrador de contas Azure Databricks para registar endpoints privados.
- Deve ter permissões de Network Contributor ou equivalentes no Azure para criar endpoints privados.
Passo 1: Criar um endpoint privado
Esta etapa cria um endpoint privado no portal Azure que se liga aos seus serviços intensivos em desempenho no Azure Databricks.
Preparar o VNet e a sub-rede
- Prepare uma VNet e uma sub-rede para alojar o endpoint privado. Podes criar um novo VNet ou reutilizar um existente (como o VNet do teu workspace).
- Para criar um novo VNet, veja Criar um Azure Virtual Network.
- Para adicionar uma sub-rede, veja Adicionar, alterar ou eliminar uma sub-rede virtual.
- Verifique se a política de rede de endpoint privado está desativada na sua sub-rede. Esta é a configuração padrão. Consulte Gerenciar políticas de rede para endpoints privados para mais detalhes.
- Se reutilizar uma VNet de um espaço de trabalho existente, deve usar ou criar uma sub-rede diferente daquela usada pelo espaço de trabalho.
- Se o VNet que aloja o endpoint privado for diferente do VNet que envia tráfego, configure o peering ou a conectividade VNet. Consulte a seção Verificar a Conectividade da VNet.
Implementar um endpoint privado
- No portal Azure, pesquise por endpoints privados no Microsoft Marketplace e selecione Create.
- Introduza um nome, o nome da interface de rede e configure a região para coincidir com a região VNet do seu espaço de trabalho.
- Clique em Avançar: Recurso.
- Selecione Ligar a um recurso Azure por ID de recurso ou alias.
- No campo ID de recurso ou alias, introduza o ID de recurso do serviço de ligação privada direta para a sua região. Consulte IDs de Recursos do Serviço-Direct Private Link para a lista de IDs de recursos.
- No campo do sub-recurso alvo, introduza
service_direct. - Clique em Próximo: Virtual Network.
- Selecione a rede virtual e a sub-rede que preparou na secção Preparar VNet e subnet .
- Clique em Avançar: DNS.
- Deixar Integrar com a zona DNS privada definida para Nº. Configura o DNS manualmente numa etapa posterior.
- Clique em Seguinte: Etiquetas.
- Clique em Seguinte: Rever e criar.
- Revise a configuração e clique em Criar para implementar o endpoint privado.
- Após a conclusão da implantação, regista estes valores:
- Nome do endpoint privado: O nome do seu endpoint privado.
-
Resource GUID: Vá ao recurso do endpoint privado, clique em visualização JSON e encontre o valor em
properties.resourceGuid. Isto é obrigatório no Passo 2. -
Endereço IP privado: Na visualização JSON, encontre o endereço IP em
properties.customDnsConfigs[0].ipAddresses[0]. Isto é obrigatório no Passo 3.
Observação
Após a implementação, o estado da ligação ao endpoint privado aparece como Pendente. Isso é esperado. O endpoint permanece em estado Pendente até completares o Passo 2 (Registar o teu endpoint privado).
Passo 2: Registe o teu endpoint privado
Depois de criar o seu endpoint privado no portal do Azure, registe-o no Azure Databricks.
- Vai à consola de contas do Azure Databricks.
- Na barra lateral, clique em
'Segurança' , 'Pontos de Rede' , e 'Registar endpoint' .
Passo 3: Configurar o DNS
Depois de o seu endpoint privado estar registado, configure o DNS para que o tráfego passe pelo endpoint privado usando o privatelink.azuredatabricks.net domínio.
- O Databricks recomenda uma convenção de nomenclatura que inclua a região e o propósito, como
PE westus2 for service-direct.
- Crie uma Azure zona DNS privada chamada
privatelink.azuredatabricks.net.- Se o seu espaço de trabalho já utiliza Inbound Private Link (veja Configurar Inbound Private Link), reutilize a zona já existente
privatelink.azuredatabricks.net. - Para novas zonas, veja Criar uma Azure zona DNS privada usando o portal Azure.
- Se o seu espaço de trabalho já utiliza Inbound Private Link (veja Configurar Inbound Private Link), reutilize a zona já existente
- Liga a zona DNS privada ao VNet que hospeda o teu endpoint privado. Ver Ligar a rede virtual.
Criar um registo DNS A
- Vai à tua
privatelink.azuredatabricks.netzona DNS privada. - Selecione o separador Conjuntos de Registos em Gestão DNS.
- Clique em Adicionar para adicionar um conjunto de registos.
- Configure o registo A:
-
Name:
<region>.service-direct(substitui<region>pela tua região Azure, por exemplowestus2.service-direct) - Tipo: A
- Endereço IP: O endereço IP privado do seu endpoint privado (registado no Passo 1)
-
Name:
- Clica em OK para guardar o registo.
Verifique a resolução de DNS
A partir de uma máquina no seu VNet ou de um trabalho de workspace associado à sua zona DNS privada, confirme que as consultas DNS resolvem para o IP do endpoint privado:
nslookup westus2.service-direct.privatelink.azuredatabricks.net
Ou usar dig:
dig westus2.service-direct.privatelink.azuredatabricks.net
Ambos os comandos devolvem o endereço IP privado do seu endpoint privado.
Verificar conectividade VNet
Se o VNet que gera o tráfego é diferente do VNet que aloja o endpoint privado, configure o peering ou a conectividade VNet entre os dois. Consulte Azure Private Endpoint DNS Integration Scenarios para orientações detalhadas.
Desativar acesso público (opcional)
Concluir a configuração do Private Link não bloqueia automaticamente o acesso público à internet ao seu espaço de trabalho. O acesso público e privado são ambientes independentes. Para garantir a conectividade privada, desative o acesso à rede pública:
- No portal Azure, aceda ao seu recurso de trabalho Azure Databricks.
- Em Definições, defina Permitir Acesso à Rede Pública como Desativar.
Limitações
- Endpoints privados de serviços de elevado desempenho aplicam-se ao nível da conta e afetam automaticamente todos os espaços de trabalho Premium na mesma região.
- Cada conta está limitada a 5 endpoints privados para serviços que exigem alto desempenho por região e 100 por conta. Contacte a sua equipa de contas Azure Databricks para aumentos de quotas.
Próximos passos
- Implementa Azure Databricks na tua rede virtual de Azure (injeção VNet)
- Configure Link Privado de entrada
- endereços IP e domínios para serviços e ativos do Azure Databricks