Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här sidan beskriver hur du konfigurerar Azure Nätverkssäkerhetsperimeter (NSP) för att styra åtkomsten från serverlös beräkning till dina Azure resurser med hjälp av Azure portalen.
Översikt över nätverkssäkerhetsperimeter för Azure resurser
Azure nätverkssäkerhetsperimeter (NSP) är en Azure inbyggd funktion som skapar en logisk isoleringsgräns för dina PaaS-resurser. Genom att associera resurser som lagringskonton eller databaser med en NSP kan du centralt hantera nätverkstrafik med hjälp av en förenklad regeluppsättning. NSP eliminerar behovet av att manuellt hantera komplexa listor över enskilda IP-adresser eller undernäts-ID:n.
NSP stöder åtkomst från serverlösa SQL-lager, jobb, notebook-filer, Lakeflow Spark deklarativa pipelines och modellserveringsslutpunkter.
Viktiga fördelar
Användning av NSP för Azure Databricks serverlös utgående trafik förbättrar din säkerhetsstatus samtidigt som driftkostnaderna minskar avsevärt:
| Förmån | Description |
|---|---|
| Kostnadsbesparingar | Trafik som skickas via tjänstslutpunkter förblir på Azure stamnät och medför inga avgifter för databearbetning. |
| Förenklad hantering | Azure Databricks rekommenderar att du använder en regional tjänsttagg för att begränsa åtkomsten till en viss region, till exempel AzureDatabricksServerless.EastUS2. Taggen innehåller både tjänstslutpunkts-IP-adresser och Azure Databricks NAT-IP-adresser och all kommunikation dirigeras via Azure stamnät. Om du behöver tillåta åtkomst i alla Azure Databricks regioner använder du den globala taggen AzureDatabricksServerless i stället. En fullständig lista över Azure regioner som stöds finns i Azure Databricks regions. |
| Centraliserad säkerhetshantering | Hantera säkerhetsprinciper för flera resurstyper, inklusive lagring, nyckelvalv och databaser, i en enda NSP-profil. |
Tjänster som stöds Azure
Tjänsttaggen AzureDatabricksServerless stöds för användning i regler för inkommande NSP-åtkomst för följande Azure tjänster:
- Azure Storage (inklusive ADLS Gen2)
- Azure SQL Database
- Azure Cosmos DB
- Azure Key Vault
Kravspecifikation
- Du måste vara administratör för Azure Databricks-kontot.
- Du måste ha behörighet som deltagare eller ägare för den Azure resurs som du vill konfigurera.
- Du måste ha behörighet att skapa nätverkssäkerhetsperimeterresurser i din Azure-prenumeration.
- Din Azure Databricks arbetsyta och Azure resurser måste finnas i samma Azure region för optimala prestanda och för att undvika avgifter för dataöverföring mellan regioner.
Steg 1: Skapa en nätverkssäkerhetsperimeter och anteckna profil-ID:t
Logga in på Azure-portalen.
I sökrutan längst upp anger du Nätverkssäkerhetsperimeter och väljer den i resultatet.
Klicka på + Skapa.
På fliken Grundläggande anger du följande information:
- Subscription: Välj din Azure prenumeration.
- Resursgrupp: Välj en befintlig resursgrupp eller skapa en.
-
Namn: Ange ett namn för din NSP (till exempel
databricks-nsp). - Region: Välj region för din NSP. Regionen måste matcha din Azure Databricks arbetsyteregion och regionen för dina Azure resurser.
-
Profilnamn: Ange ett profilnamn (till exempel
databricks-profile).
Klicka på Granska + skapaoch sedan Skapa.
När NSP har skapats går du till den i Azure portalen.
I det vänstra sidofältet går du till Inställningar>profiler.
Skapa eller välj din profil (till exempel
databricks-profile).Kopiera resurs-ID :t för profilen. Du behöver det här ID:t för att associera resurser programmatiskt.
Tips/Råd
Spara profil-ID:t på en säker plats. Du måste ha den tillgänglig om du vill associera resurser med hjälp av Azure CLI eller API:et i stället för Azure portalen.
Steg 2: Associera resursen med NSP i övergångsläge
Du måste associera varje Azure resurs som du vill komma åt från Azure Databricks serverlös beräkning med din NSP-profil. Det här exemplet visar hur du associerar ett Azure Storage konto, men samma steg gäller för andra Azure resurser.
- Gå till nätverkssäkerhetsperimetern i Azure-portalen.
- I det vänstra sidofältet går du till Resurser under Inställningar.
- Klicka på + Lägg till>Associera resurser med en befintlig profil.
- Välj den profil som du skapade i steg 1 (till exempel
databricks-profile). - Klicka på Associera.
- I fönstret för resursval filtrerar du efter resurstyp. Om du till exempel vill associera ett Azure Data Lake Storage Gen2 konto filtrerar du efter
Microsoft.Storage/storageAccounts. - Välj dina resurser i listan.
- Klicka på Associera längst ned i fönstret.
Kontrollera övergångsläge:
- I NSP går du till Inställningsresurser> (eller Associerade resurser).
- Leta upp ditt lagringskonto i listan.
- Kontrollera att kolumnen Åtkomstläge visar Övergång. Övergången är standardläget.
Anmärkning
Övergångsläget utvärderar NSP-regler först. Om ingen NSP-regel matchar den inkommande begäran återgår systemet till resursens befintliga brandväggsregler. Med övergångsläget kan du testa NSP-konfigurationen utan att störa befintliga trafikmönster.
Steg 3: Lägg till en regel för inkommande åtkomst för Azure Databricks serverlös beräkning
Du måste skapa en regel för inkommande åtkomst i NSP-profilen för att tillåta trafik från Azure Databricks serverlös beräkning till dina Azure resurser.
- Gå till nätverkssäkerhetsperimetern i Azure-portalen.
- I det vänstra sidofältet går du till Inställningar>profiler.
- Välj din profil (till exempel
databricks-profile). - Under Inställningar klickar du på Regler för inkommande åtkomst.
- Klicka på + Lägg till.
- Konfigurera regeln:
-
Regelnamn: Ange ett beskrivande namn (till exempel
allow-databricks-serverless). - Källtyp: Välj Tjänsttagg.
-
Tillåtna källor: Välj AzureDatabricksServerless.[ your_workspace_region] (till exempel
AzureDatabricksServerless.EastUS2). Om du använder en regional tagg begränsas åtkomsten till Azure Databricks IP-adresser i arbetsytans region, vilket minskar exponeringen jämfört med den globala taggen.
-
Regelnamn: Ange ett beskrivande namn (till exempel
- Klicka på Lägg till.
Tips/Råd
Databricks rekommenderar att du använder en regional tjänsttagg (AzureDatabricksServerless.[your_workspace_region]) för strängare säkerhet. Om du behöver tillåta åtkomst från alla Azure Databricks regioner, till exempel när arbetsytor sträcker sig över flera regioner, använder du den globala taggen AzureDatabricksServerless i stället. Båda taggarna uppdateras automatiskt, så du behöver inte hantera IP-adresser eller uppdateringsregler manuellt när Azure Databricks lägger till nya IP-intervall.
Steg 4: Verifiera konfigurationen
När du har konfigurerat din NSP kontrollerar du att Azure Databricks serverlös beräkning kan komma åt din Azure resurs och övervaka NSP-aktivitet.
Testa åtkomst från serverlös beräkning
Gå till din Azure resurs i Azure-portalen.
Gå till Säkerhet + nätverk>nätverk.
Kontrollera att resursen visar en koppling till nätverkssäkerhetsperimetern.
Kontrollera att statusen visar övergångsläge.
Visa de inkommande regler som är associerade med din profil för att bekräfta att
AzureDatabricksServerlessregeln visas (antingen regional eller global).I din Azure Databricks arbetsyta kör du en testfråga för att bekräfta att serverlös beräkning kan komma åt din resurs. Om du till exempel vill testa åtkomsten till ett ADLS Gen2-lagringskonto:
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;Om frågan går igenom fungerar din NSP-konfiguration korrekt.
Övervaka NSP-aktivitet
Övervaka anslutningsförsök som NSP-regler tillåter eller nekar:
- Gå till din Azure resurs i Azure-portalen.
- Gå till Övervakning av>diagnostikinställningar.
- Klicka på +Lägg till diagnostikinställningar.
- Välj de loggkategorier som du vill övervaka. För Azure Storage konton väljer du:
- StorageRead
- StorageWrite
- Välj ett mål:
- Log Analytics arbetsyta (rekommenderas för frågor och analys)
- Lagringskonto (för långsiktig arkivering)
- Händelsehubb (för direktuppspelning till externa system)
- Klicka på Spara.
Tips/Råd
Diagnostikloggar visar anslutningsförsök som matchas av NSP-regler gentemot brandväggsregler för resurser. De här loggarna hjälper dig att verifiera konfigurationen innan du går över till framtvingat läge. I övergångsläge anger loggarna om varje begäran tilläts av en NSP-regel eller föll tillbaka till resursbrandväggen.
Förstå NSP-åtkomstlägen
NSP stöder två åtkomstlägen: övergångsläge och framtvingat läge. Azure Databricks rekommenderar att du stannar i övergångsläge på obestämd tid för de flesta användningsfall.
Övergångsläge (rekommenderas):
- Utvärderar NSP-regler först och återgår sedan till resursbrandväggsregler om ingen NSP-regel matchar
- Gör att du kan använda NSP tillsammans med befintliga nätverkskonfigurationer
- Kompatibel med tjänstslutpunkter, klassiska beräkningskonfigurationer och trafikmönster för offentliga nätverk
Framtvingat läge (rekommenderas inte för de flesta kunder):
- Kringgår resursbrandväggsregler och blockerar all trafik som inte matchar en NSP-regel. Framtvingat läge påverkar inte bara Azure Databricks utan även andra tjänster som du har tillåtit via resursbrandväggen– dessa tjänster måste ha registrerats i NSP för att fortsätta fungera.
- Förblir i övergångsläge om du använder tjänstslutpunkter för att ansluta till lagring från alla Azure Databricks arbetsytor.
Varning
Förblir i övergångsläge för att upprätthålla kompatibiliteten med din befintliga nätverkskonfiguration samtidigt som du drar nytta av förenklad regelhantering. Se Begränsningar för nätverkssäkerhetsperimeter.
Nästa steg
- Konfigurera privata slutpunkter: För privat anslutning till Azure resurser utan offentliga slutpunkter, se Konfigurera privat anslutning till Azure resurser.
- Hantera nätverksprinciper: Implementera nätverksprinciper för att tillhandahålla ytterligare säkerhetskontroller och åtkomstbegränsningar för dina serverlösa beräkningsmiljöer. Se Vad är serverlös hantering av utgående trafik?.
- Förstå kostnader för dataöverföring: Lär dig mer om kostnaderna för att flytta data till och från serverlösa miljöer. Se Förstå kostnader för serverlösa nätverk i Databricks.