Distribuera Azure Databricks i ditt Azure virtuella nätverk (VNet-inmatning)

Distribuera Azure Databricks i ditt Azure virtuella nätverk för att aktivera nätverksanpassning, säker anslutning till Azure tjänster och lokala datakällor samt trafikkontrollfunktioner.

Varför använda VNet-inmatning

VNet-inmatning distribuerar resurser för Azure Databricks' klassiska beräkningsplan i ditt eget virtuella nätverk, vilket möjliggör:

  • Privat anslutning till Azure tjänster med tjänstslutpunkter eller privata slutpunkter
  • Lokal åtkomst via användardefinierade vägar
  • Trafikkontroll med nätverksvirtuella apparater
  • Anpassad DNS-konfiguration
  • Utgående trafikkontroll med ytterligare NSG-regler
  • Flexibla CIDR-intervall (VNet: /16 till /24, undernät: upp till /26)

Behörighetskrav

Azure behörigheter: Arbetsytans skapare måste ha rollen Nätverksdeltagare på det virtuella nätverket eller en anpassad roll med behörigheterna Microsoft.Network/virtualNetworks/subnets/join/action och Microsoft.Network/virtualNetworks/subnets/write.

VNet-konfiguration

  1. Du måste konfigurera ett virtuellt nätverk för att distribuera Azure Databricks-arbetsytan. Du kan använda ett befintligt virtuellt nätverk eller skapa ett nytt. Det virtuella nätverket måste uppfylla följande krav:
    • Region: Det virtuella nätverket måste finnas i samma region som den Azure Databricks arbetsytan.
    • Subscription: Det virtuella nätverket måste finnas i samma prenumeration som Azure Databricks-arbetsytan.
    • Adressutrymme: Ett CIDR-block mellan /16 och /24 för det virtuella nätverket. Vägledning om maximala klusternoder baserat på VNet-storlek finns i Vägledning om adressutrymme.
    • Subnets: Det virtuella nätverket måste innehålla två undernät som är dedikerade till din Azure Databricks arbetsyta:
      • Ett containerundernät (kallas ibland det privata undernätet)
      • Ett värdundernät (kallas ibland offentligt undernät)
      • Varje undernät bör använda ett CIDR-block som är minst /26. Databricks rekommenderar inte ett undernät som är mindre än /26.
      • Du kan inte dela undernät mellan arbetsytor eller distribuera andra Azure resurser på de undernät som används av din Azure Databricks arbetsyta.
      • Vi rekommenderar att storleken på undernäten matchar.
    • Outbound-anslutning för utgående trafik: Databricks rekommenderar att du använder en Azure NAT-gateway till båda undernäten för stabila utgående IP-adresser. Efter den 31 mars 2026 kräver nya virtuella nätverk explicita utgående anslutningsmetoder. Se säker klusteranslutning.
    • Regler för nätverkssäkerhetsgrupp: Se Regler för nätverkssäkerhetsgrupp

Anteckning

När du distribuerar en arbetsyta med säker klusteranslutning använder både containerundernätet och värdundernätet privata IP-adresser.

Vägledning för adressutrymme

En Azure Databricks arbetsyta kräver två undernät i det virtuella nätverket: ett containerundernät och ett värdundernät. Azure reserverar fem IP-adresser i varje undernät. Azure Databricks kräver två IP-adresser för varje klusternod: en IP-adress för värden i värdundernätet och en IP-adress för containern i containerundernätet.

Tänk på följande när du planerar adressutrymmet:

  • Du kanske vill skapa flera arbetsytor i ett enda virtuellt nätverk. Eftersom du inte kan dela undernät mellan arbetsytor planerar du undernät som inte använder det totala VNet-adressutrymmet.
  • Allokera adressutrymme för två nya undernät som ligger inom det virtuella nätverkets adressutrymme och som inte överlappar adressutrymmet för aktuella eller framtida undernät i det virtuella nätverket.

En arbetsyta med ett mindre virtuellt nätverk kan få slut på IP-adresser (nätverksutrymme) snabbare än en arbetsyta med ett större virtuellt nätverk. Använd ett CIDR-block mellan /16 och /24 för det virtuella nätverket och ett CIDR-block upp till /26 för de två undernäten (containerundernätet och värdundernätet). Du kan skapa ett CIDR-block upp till /28 för dina undernät, men Azure Databricks rekommenderar inte ett undernät som är mindre än /26.

Steg 1: Skapa en arbetsyta

Skapa en arbetsyta i Azure-portalen och distribuera den till ditt virtuella nätverk.

  1. I Azure-portalen väljer du + Skapa en resurs > Analytics > Azure Databricks eller sök efter Azure Databricks.

  2. På fliken Nätverk väljer du ditt virtuella nätverk.

    Viktigt!

    Om det virtuella nätverket inte visas kontrollerar du att arbetsytan och det virtuella nätverket finns i samma Azure region.

  3. Konfigurera undernät med CIDR-intervall upp till /26 (högst 80 tecken för namn):

    • Befintliga undernät: Ange exakta undernätsnamn och matchande IP-intervall
    • Nya undernät: Ange nya namn och IP-intervall i det virtuella nätverkets adressutrymme

    Anteckning

    Det går inte att ändra CIDR-intervall för undernät efter distributionen. Azure Databricks konfigurerar automatiskt NSG-regler och undernätsdelegering till Microsoft.Databricks/workspaces.

  4. Klicka på Skapa för att distribuera arbetsytan.

Steg 2: Verifiera distributionen av arbetsytan

  1. Gå till Azure-portalen och gå till din Azure Databricks arbetsyteresurs.

  2. På sidan Översikt kontrollerar du följande:

    • Arbetsytan är i ett hälsosamt tillstånd (har inte misslyckats).
    • Resursgruppen och den hanterade resursgruppen visas.
    • Peering för virtuella nätverk är inaktiverat (detta förväntas för VNet-inmatning).

Den hanterade resursgruppen kan inte ändras och kan inte användas för att skapa virtuella datorer. Skapa virtuella datorer i den resursgrupp som du hanterar.

Steg 3: Verifiera konfiguration av nätverkssäkerhetsgrupp

  1. I Azure-portalen går du till ditt virtuella nätverk.

  2. Klicka på Undernät under Inställningar.

  3. Kontrollera att både containerundernätet och värdundernätet har:

    • En bifogad nätverkssäkerhetsgrupp
    • Delegering till Microsoft.Databricks/workspaces

  4. Klicka på nätverkssäkerhetsgruppen och kontrollera att de regler för inkommande och utgående trafik som krävs har konfigurerats. Information om de förväntade reglerna finns i Referens för nätverkssäkerhetsgrupper.

Steg 4: Skapa ett kluster

När du har skapat din arbetsyta skapar du ett klassiskt beräkningskluster för att kontrollera att din VNet-inmatning fungerar korrekt.

  1. Gå till din Azure Databricks arbetsyta och klicka på Launch Workspace på sidan Overview.

  2. Klicka på beräkningsikonBeräkna i sidofältet.

  3. På sidan Beräkning klickar du på Skapa kluster.

  4. Ange ett klusternamn, lämna de återstående värdena i standardtillståndet och klicka på Skapa kluster.

När klustret körs innehåller den hanterade resursgruppen nya virtuella datorer, diskar, IP-adresser och nätverksgränssnitt. Ett nätverksgränssnitt skapas i vart och ett av de offentliga och privata undernäten med IP-adresser.

Steg 5: Verifiera klusternätverkskonfiguration

  1. I din Azure Databricks-arbetsyta går du till den hanterade resursgruppen i Azure portalen.

  2. Kontrollera att följande resurser finns:

    • Virtuella datorer för klusternoderna
    • Diskar som är anslutna till de virtuella datorerna
    • IP-adresser för klusternoderna
    • Nätverksgränssnitt i både offentliga och privata undernät

  3. I din Azure Databricks arbetsyta klickar du på klustret som du skapade.

  4. Gå till Spark-användargränssnittet och klicka på fliken Exekutorer.

  5. Kontrollera att adresserna för drivrutin och exekveringsprogram är inom det privata undernätets intervall. Om ditt privata undernät till exempel är 10.179.0.0/18kan drivrutinen vara 10.179.0.6 och utförare kan vara 10.179.0.4 och 10.179.0.5. Dina IP-adresser kan vara olika.

Stabila ip-adresser för utgående trafik

För arbetsytor med säker klusteranslutning och VNet-inmatning rekommenderar Databricks att du konfigurerar en stabil offentlig IP-adress för utgående trafik. Stabila IP-adresser aktiverar externa tillåtna listor för tjänster som Salesforce och IP-åtkomstlistor.

Varning

Efter den 31 mars 2026 använder nya Azure VNets som standard privata konfigurationer utan utgående internetåtkomst. Nya Azure Databricks arbetsytor kräver explicita utgående anslutningsmetoder, till exempel en NAT Gateway. Befintliga arbetsytor påverkas inte. Se Microsoft meddelande.

Information om hur du konfigurerar en stabil utgående IP-adress finns i Utgående med VNet-inmatning.

Regler för nätverkssäkerhetsgrupp

Azure Databricks etablerar automatiskt och hanterar NSG-reglerna nedan via undernätsdelegering till tjänsten Microsoft.Databricks/workspaces. Dessa regler krävs för drift av arbetsyta. Ändra eller ta inte bort dessa regler.

Anteckning

Vissa regler använder VirtualNetwork som både källa och mål. Interna nätverksprinciper förhindrar kommunikation mellan kluster, inklusive mellan arbetsytor i samma virtuella nätverk.

Databricks rekommenderar att du använder en unik NSG för varje arbetsyta.

Viktigt!

Lägg till Neka-regler i NSG:er som är kopplade till andra nätverk och undernät i samma eller sammanlänkade virtuella nätverk. Använd Neka-regler för both inkommande och utgående anslutningar för att begränsa trafik till och från Azure Databricks beräkningsresurser. Tillåt endast den minsta åtkomst som krävs för att dina kluster ska nå nödvändiga resurser.

Regler för nätverkssäkerhetsgrupp för arbetsytor

Den här tabellen visar regler för nätverkssäkerhetsgrupp för arbetsytor och innehåller två regler för inkommande säkerhetsgrupper som endast läggs till om säker klusteranslutning (SCC) är inaktiverad.

Riktning Protokoll Källa Källport Resmål Dest-port Använd
Inkommande Valfri Virtuellt nätverk Valfri Virtuellt nätverk Valfri Standardvärde
Inkommande TCP AzureDatabricks (tjänsttagg)
Endast om SCC är inaktiverat		 Valfri Virtuellt nätverk 22 Offentlig IP-adress
Inkommande TCP AzureDatabricks (tjänsttagg)
Endast om SCC är inaktiverat		 Valfri Virtuellt nätverk 5557 Offentlig IP-adress
Utgående TCP Virtuellt nätverk Valfri AzureDatabricks (tjänsttagg) 443, 3306, 8443-8451 Standardvärde
Utgående TCP Virtuellt nätverk Valfri Förvaring 443 Standardvärde
Utgående Valfri Virtuellt nätverk Valfri Virtuellt nätverk Valfri Standardvärde
Utgående TCP Virtuellt nätverk Valfri Händelsehubb (på engelska) 9093 Standardvärde
Utgående TCP Virtuellt nätverk Valfri SQL 3306 Standardvärde

Anteckning

Om du begränsar regler för utgående trafik rekommenderar Databricks att du öppnar portarna 111 och 2049 för att aktivera vissa biblioteksinstallationer.

Anteckning

Tjänsttaggregeln Sql för port 3306 krävs för arbetsytor som skapats med den aktuella nätverksetableringsmallen. Azure Databricks håller på att ta bort det här kravet för nyligen skapade arbetsytor.

Viktigt!

Azure Databricks är en Microsoft Azure förstapartnerstjänst som distribueras på Microsoft Azures publika globala molninfrastruktur. All kommunikation mellan komponenterna i tjänsten, inklusive mellan de offentliga IP-adresserna i kontrollplanet och kundens beräkningsplan, förblir inom Microsoft Azure nätverkets stamnät. Se även Microsoft globala nätverket.

Expandera VNet-kapacitet

Om arbetsytans virtuella nätverk inte har tillräckligt med kapacitet för aktiva klusternoder har du två alternativ:

  • Uppdatera VNet-konfiguration: Den här funktionen finns i offentlig förhandsversion. Se Uppdatera nätverkskonfigurationen för arbetsytan.
  • Expandera ditt nuvarande CIDR-intervall: Kontakta ditt Azure Databricks-kontoteam för att begära en ökning av CIDR-intervallet för arbetsytans subnät.
  • Last updated on