Configurar a conectividade privada para recursos em sua rede virtual

Esta página explica como usar a consola de contas do Azure Databricks para configurar ligações Private Link desde computação serverless até recursos na sua rede virtual (VNet) através de um balanceador de carga Azure.

A configuração da conectividade privada para computação sem servidor fornece:

• Uma ligação dedicada e privada: O seu endpoint privado está exclusivamente ligado à sua conta Azure Databricks, garantindo que o acesso aos seus recursos VNet é restrito apenas a espaços de trabalho autorizados. Isso cria um canal de comunicação seguro e dedicado.
• Mitigação melhorada de exfiltração de dados: Embora Azure Databricks Serverless com Unity Catalog ofereça proteção integrada contra exfiltração de dados, Private Link proporciona uma camada adicional de defesa de rede. Ao colocar seus recursos de rede virtual em uma sub-rede privada e controlar o acesso por meio de pontos de extremidade privados dedicados, você reduz significativamente o risco de movimentação não autorizada de dados fora do ambiente de rede controlado.

Requerimentos

• Sua conta e espaço de trabalho devem estar no plano Premium.
• És o administrador da conta da tua conta Azure Databricks.
• Tens pelo menos um espaço de trabalho a usar computação sem servidor. Para regiões suportadas, veja Disponibilidade sem servidor.
• Seu balanceador de carga tem uma rede virtual e uma sub-rede, e seu recurso está localizado nessa sub-rede.
• Cada conta Azure Databricks pode ter até 10 NCCs por região.
• Cada região pode ter 100 endpoints privados, distribuídos conforme necessário por 1 a 10 NCCs.
• Cada NCC pode ser anexado a até 50 espaços de trabalho.
• Cada regra de endpoint privado para conectividade privada com recursos na sua VNet suporta até 10 nomes de domínio.
• A perseguição de DNS e o redirecionamento de DNS não são suportados. Todos os nomes de domínio devem ser resolvidos diretamente para os recursos de back-end.

Passo 1: Criar um balanceador de carga Azure

Crie um Balanceador de Carga do Azure que sirva como o frontend para os seus recursos de VNet. Este balanceador de carga está ligado ao seu serviço Private Link.

Para criar um balanceador de carga, siga as instruções no Quickstart: Crie um balanceador de carga interno para balancear VMs usando o portal Azure. Preencha o seguinte:

1. Crie um recurso de balanceador de carga.
2. Adicione uma configuração de IP frontend: Este é o ponto de entrada para o seu serviço Private Link.
3. Adicione um pool de back-end: Este pool contém os endereços IP dos seus recursos de rede virtual.
4. Crie uma sonda de integridade: Configure uma sonda de integridade para monitorar a disponibilidade dos seus recursos backend.
5. Adicionar regras de balanceamento de carga: Defina regras para distribuir o tráfego de entrada para seu pool de back-end.

Passo 2: Criar um serviço de Private Link

Deve criar um serviço Private Link para expor de forma segura o seu balanceador de carga ao seu endpoint privado. Verifica se o serviço Private Link foi criado na mesma região do teu balanceador de carga.

Para instruções, consulte a documentação Azure: Criar um serviço Private Link usando o portal Azure.

Etapa 3: Criar ou usar um objeto NCC (Configurações de conectividade de rede) existente

O objeto NCC no Azure Databricks define as definições de conectividade privada para os seus espaços de trabalho. Ignore esta etapa se já existir um NCC. Para criar um objeto NCC:

1. Como administrador de conta, aceda à consola da conta.
2. Na barra lateral, clique em Segurança.
3. Clique em Configurações de conectividade de rede.
4. Clique em Adicionar configuração de rede.
5. Insira um nome para o NCC.
6. Escolha a região. Isso deve corresponder à região do seu espaço de trabalho.
7. Clique em Adicionar.

Etapa 4: Criar um ponto de extremidade privado

Este passo liga o seu serviço Private Link ao seu Azure Databricks NCC. Para criar um ponto de extremidade privado:

1. No console da conta, clique em Segurança.
2. Clique em Configurações de conectividade de rede.
3. Selecione o objeto NCC que você criou na Etapa 3.
4. Na guia Regras de ponto de extremidade privado , clique em Adicionar regra de ponto de extremidade privado.
5. No campo ID de recurso do Azure, cole o ID completo do seu serviço de Conexão Privada. Encontre este ID no portal Azure na página Visão Geral do seu serviço de Private Link. ID de exemplo: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
6. No campo Nomes de domínio , adicione os nomes de domínio personalizados que seus recursos de rede virtual usam. Esses nomes de domínio devem ser associados às configurações de IP no grupo de back-end do balanceador de carga.
7. Clique em Adicionar.
8. Confirme se a coluna Status da regra de ponto de extremidade privado recém-adicionada é PENDING.

Etapa 5: Aceitar o ponto de extremidade privado em seu recurso

Depois de criar a regra do endpoint privado no Databricks, deve aprovar o pedido de ligação no portal Azure. Para aprovar a conexão:

1. Navega até ao centro Private Link a partir do portal Azure.
2. Selecione serviços Private Link.
3. Encontre e selecione o serviço Private Link associado ao seu balanceador de carga.
4. Na barra lateral esquerda, em Configurações, selecione Conexões de ponto de extremidade privadas.
5. Selecione o ponto de extremidade privado pendente.
6. Clique em Aprovar para aceitar a conexão.
7. Quando solicitado, selecione Sim.
8. Após a aprovação, o estado da conexão muda para Aprovado.

Pode levar dez minutos para que a conexão se estabeleça completamente.

Etapa 6: Confirmar o estado do ponto de extremidade privado

Verifique se a ligação ao endpoint privado está estabelecida com sucesso do lado do Azure Databricks. Para confirmar a ligação:

1. Atualize a página Configurações de conectividade de rede na consola da conta Azure Databricks.
2. Na guia Regras de ponto de extremidade privado , confirme se a coluna Status do seu novo ponto de extremidade privado é ESTABLISHED.

Etapa 7: Anexar o NCC a um ou mais espaços de trabalho

Esta etapa associa a sua conectividade privada configurada aos seus espaços de trabalho do Azure Databricks. Ignore esta etapa se o espaço de trabalho já estiver anexado ao NCC desejado. Para anexar o NCC a um espaço de trabalho:

1. Navegue até Espaços de trabalho na navegação à esquerda.
2. Selecione um espaço de trabalho existente.
3. Selecione Atualizar espaço de trabalho.
4. Em Configurações de conectividade de rede, selecione a lista suspensa e escolha o NCC que você criou.
5. Repita para todos os espaços de trabalho aos quais você gostaria que este NCC se aplicasse.

Próximos passos

• Configurar conectividade privada aos recursos de Azure: Use Private Link para estabelecer acesso seguro e isolado a serviços de Azure a partir da sua rede virtual, contornando a internet pública. Veja configurar a conectividade privada aos recursos Azure.
• Gerir regras de endpoints privados: Controla o tráfego de rede de e para os teus Azure endpoints privados definindo regras específicas que permitem ou recusam ligações. Consulte Gerir regras de ponto de extremidade privado.
• Configurar um firewall para acesso à computação sem servidor: implemente um firewall para restringir e proteger as conexões de rede de entrada e saída para seus ambientes de computação sem servidor. Veja Configurar um firewall para acesso a computação sem servidor (legacy).
• Compreender os custos de transferência e conectividade de dados: Transferência e conectividade de dados referem-se à transferência de dados para dentro e fora de ambientes serverless Azure Databricks. As taxas de rede para produtos serverless aplicam-se apenas a clientes que utilizam computação serverless do Azure Databricks. Consulte Compreender os custos de rede sem servidor Databricks.