Konfigurera privat anslutning till Azure resurser

I den här artikeln beskrivs hur du konfigurerar privat anslutning från serverlös beräkning med hjälp av användargränssnittet för Azure Databricks-kontokonsolen. Du kan också använda API:et för nätverksanslutningskonfigurationer.

Om du konfigurerar din Azure resurs så att den endast accepterar anslutningar från privata slutpunkter, måste alla anslutningar till resursen från dina klassiska Databricks-beräkningsresurser också använda privata slutpunkter.

Om du vill konfigurera en Azure Storage brandvägg för serverlös beräkningsåtkomst med hjälp av undernät kan du i stället läsa Konfigurera en brandvägg för serverlös beräkningsåtkomst (äldre). Information om hur du hanterar befintliga regler för privata slutpunkter finns i Hantera regler för privata slutpunkter.

Anteckning

Azure Databricks tar ut avgifter för nätverkskostnader när serverlösa arbetsbelastningar ansluter till resurser hos kunder. Se Förstå kostnader för serverlösa nätverk i Databricks.

Översikt över privat anslutning för serverlös beräkning

Serverlös nätverksanslutning hanteras med nätverksanslutningskonfigurationer (NCC). Kontoadministratörer skapar NCC:er i kontokonsolen och en enda NCC kan kopplas till en eller flera arbetsytor.

När du lägger till en privat slutpunkt i en NCC skapar Azure Databricks en privat slutpunktsbegäran till din Azure resurs. När resursens ägare har godkänt begäran använder Azure Databricks den privata slutpunkten för att komma åt resurser från det serverlösa beräkningsplanet. Den privata slutpunkten är dedikerad till ditt Azure Databricks-konto och är endast tillgänglig från auktoriserade arbetsytor.

Privata NCC-slutpunkter stöds från SQL-datalager, jobb, notebooks, Lakeflow Spark Deklarativa pipelines och modellbetjänande slutpunkter.

Anteckning

  • Privata NCC-slutpunkter stöds för de datakällor som du hanterar och arbetsytans lagringskonto. Mer information om hur du konfigurerar privata slutpunkter för arbetsytans lagringskonto finns i Aktivera brandväggsstöd för ditt lagringskonto för arbetsytor.

  • Modellservern använder Azure bloblagringssökväg för att ladda ned modellartefakter, så skapa en privat slutpunkt för din blob för underresurs-ID. Du behöver DFS för att logga modeller i Unity Catalog från serverlösa notebooks.

Mer information om NCC:er finns i Vad är en nätverksanslutningskonfiguration (NCC)?.

Blått

Krav

  • Ditt konto och din arbetsyta måste finnas i Premium-planen.
  • Du måste vara Azure Databricks kontoadministratör.
  • Varje Azure Databricks konto kan ha upp till 10 NCC:er per region.
  • Varje region kan ha 100 privata slutpunkter, distribuerade efter behov över 1–10 NCC:er.
  • Varje NCC kan kopplas till upp till 50 arbetsytor.

Steg 1: Skapa en konfiguration för nätverksanslutning

Databricks rekommenderar att du delar en NCC mellan arbetsytor i samma affärsenhet och region. Om vissa arbetsytor till exempel använder Private Link och andra arbetsytor använder firewall enablement använder du separata NCC:er för dessa användningsfall.

  1. Som kontoadministratör går du till kontokonsolen.
  2. I sidofältet klickar du på Säkerhet.
  3. Klicka på Konfigurationer för nätverksanslutning.
  4. Klicka på Lägg till nätverkskonfiguration.
  5. Ange ett namn för NCC.
  6. Välj region. Detta måste matcha din arbetsyteregion.
  7. Klicka på Lägg till.

Steg 2: Koppla en NCC till en arbetsyta

  1. I sidofältet för kontokonsolen klickar du på Arbetsytor.
  2. Klicka på arbetsytans namn.
  3. Klicka på Uppdatera arbetsytan.
  4. I fältet Nätverksanslutningskonfigurationer väljer du din NCC. Om den inte visas kontrollerar du att du har valt samma Azure region för både arbetsytan och NCC.
  5. Klicka på Uppdatera.
  6. Vänta 10 minuter tills ändringen börjar gälla.
  7. Starta om alla serverlösa tjänster som körs på arbetsytan.

Steg 3: Skapa regler för privata slutpunkter

Du måste skapa en privat slutpunktsregel i din NCC för varje Azure resurs.

  1. Hämta en lista över Azure resurs-ID:n för alla dina destinationer.
    1. På en annan webbläsarflik, använd Azure-portalen för att navigera till din datakällas Azure-tjänster.
    2. På sidan Översikt tittar du i avsnittet Väsentligheter.
    3. Klicka på JSON-vylänken. Resurs-ID:t för tjänsten visas överst på sidan.
    4. Kopiera resurs-ID:t till en annan plats. Upprepa för alla destinationer. Mer information om hur du hittar ditt resurs-ID finns i privata DNS-zonvärden för Azure Private Endpoint.
  2. Växla tillbaka till webbläsarfliken för kontokonsolen.
  3. I sidofältet klickar du på Säkerhet.
  4. Klicka på Konfigurationer för nätverksanslutning.
  5. Välj den NCC som du skapade i steg 1.
  6. I Regler för privat slutpunkt klickar du på Lägg till privat slutpunktsregel.
  7. I fältet Destination Azure resurs-ID klistrar du in resurs-ID:t för resursen.
  8. I fältet Azure underresurs-ID anger du mål-ID och underresurstyp. Varje privat slutpunktsregel måste använda ett annat underresurs-ID. En lista över underresurstyper som stöds finns i Resurser som stöds.
  9. Klicka på Lägg till.
  10. Vänta några minuter tills alla slutpunktsregler har statusen PENDING.

Steg 4: Godkänn de nya privata slutpunkterna för dina resurser

Slutpunkterna träder inte i kraft förrän en administratör godkänner dem på resurssidan. Så här godkänner du med hjälp av Azure-portalen:

  1. I Azure-portalen går du till resursen.

  2. I sidofältet klickar du på Nätverk.

  3. Klicka på privata slutpunktsanslutningar.

  4. Klicka på fliken Privat åtkomst .

  5. Under privata slutpunktsanslutningargranskar du listan över privata slutpunkter.

  6. Klicka på kryssrutan bredvid var och en för att godkänna och klicka på knappen Godkänn ovanför listan.

  7. Gå tillbaka till din NCC i Azure Databricks och uppdatera webbläsarsidan tills alla slutpunktsregler har statusen ESTABLISHED.

    lista över privata slutpunkter

(Valfritt) Steg 5: Ställ in dina resurser så att de inte tillåter åtkomst till offentliga nätverk

Om du inte redan har begränsat dina resurser till endast tillåtna nätverk kan du göra det nu.

  1. Gå till Azure-portalen.
  2. Gå till ditt lagringskonto för datakällan.
  3. I sidofältet klickar du på Nätverk.
  4. Kontrollera värdet i fältet Offentlig nätverksåtkomst. Som standard är värdet Aktiverat från alla nätverk. Ändra detta till Inaktiverat

Konfigurera Private Link till Azure App Gateway v2

Om du konfigurerar Private Link till en Azure App Gateway v2-resurs måste du använda REST-API:et för nätverksanslutningskonfigurationer i stället för användargränssnittet för kontokonsolen. Azure App Gateway v2 kräver ytterligare parametrar: resurs-ID, grupp-ID och domännamn.

  1. Använd följande API-anrop för att skapa en privat slutpunktsregel med domännamnskonfiguration: 
    curl --location 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <TOKEN>' \
--data '{
   "domain_names": [
      "<YOUR_DOMAIN_HERE>"
   ],
   "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>",
   "group_id": "<GROUP_ID>"
}'
  2. Om du behöver ändra domännamnen för en befintlig privat slutpunktsregel använder du följande PATCH-begäran: 
    curl --location --request PATCH 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <TOKEN>' \
--data '{
   "domain_names": [
      "<YOUR_DOMAIN_HERE>"
   ]
}'
  3. Om du vill lista, visa eller ta bort privata slutpunktsregler för App Gateway använder du standard-API-åtgärderna för nätverksanslutningskonfigurationer som dokumenteras i API:et för nätverksanslutningskonfigurationer.

Steg 7: Starta om serverlösa beräkningsplanresurser och testa anslutningen

  1. Vänta fem minuter till på att ändringarna ska spridas.
  2. Starta om alla serverlösa beräkningsplanresurser som körs på de arbetsytor som din NCC är ansluten till. Om du inte har några resurser i en serverlös beräkningsmiljö, starta en nu.
  3. Bekräfta att alla resurser startas framgångsrikt.
  4. Kör minst en fråga på datakällan för att bekräfta att det serverlösa SQL-lagret kan nå din datakälla.

Nästa steg

Azure Kina

krav för Azure Kina

  • Ditt konto och din arbetsyta måste finnas i Premium-planen.
  • Du måste vara Azure Databricks kontoadministratör.
  • Varje Azure Databricks konto kan ha upp till 10 NCC:er per region.
  • Varje konto kan ha upp till 20 privata slutpunkter i Azure Kina.
  • Varje NCC kan kopplas till upp till 50 arbetsytor.

Anteckning

I Azure China stöds NCC endast i China North 3-regionen. Eftersom en NCC endast kan kopplas till en arbetsyta i samma region måste din arbetsyta också finnas i Kina, norra 3.

Steg 1: Skapa en nätverksanslutningskonfiguration (Azure Kina)

Databricks rekommenderar att du delar en NCC mellan arbetsytor i samma affärsenhet och region. Om vissa arbetsytor till exempel använder Private Link och andra arbetsytor använder olika anslutningskonfigurationer använder du separata NCC:er för dessa användningsfall.

Anteckning

Brandväggsaktivering (undernätsbaserad åtkomst) är inte tillgängligt i Azure Kina. Privata slutpunkter är den enda anslutningsmetoden som stöds för serverlös beräkning i Azure Kina.

  1. Som kontoadministratör går du till kontokonsolen.
  2. I sidofältet klickar du på Säkerhet.
  3. Klicka på Konfigurationer för nätverksanslutning.
  4. Klicka på Lägg till nätverkskonfiguration.
  5. Ange ett namn för NCC.
  6. Välj Kina, norra 3 som region. Detta måste matcha din arbetsyteregion.
  7. Klicka på Lägg till.

Steg 2: Koppla en NCC till en arbetsyta (Azure Kina)

  1. I sidofältet för kontokonsolen klickar du på Arbetsytor.
  2. Klicka på arbetsytans namn.
  3. Klicka på Uppdatera arbetsytan.
  4. I fältet Nätverksanslutningskonfigurationer väljer du din NCC. Om det inte är synligt, bekräftar du att du har valt China North 3 som Azure-region för både workspacen och NCC.
  5. Klicka på Uppdatera.
  6. Vänta 10 minuter tills ändringen börjar gälla.
  7. Starta om alla serverlösa tjänster som körs på arbetsytan.

Steg 3: Skapa privata slutpunktsregler (Azure Kina)

Du måste skapa en privat slutpunktsregel i din NCC för varje Azure resurs. Listan över resurser som stöds i Azure Kina finns i Supported resources.

  1. Hämta en lista över Azure resurs-ID:n för alla dina destinationer.
    1. På en annan webbläsarflik, använd Azure-portalen för att navigera till din datakällas Azure-tjänster.
    2. På sidan Översikt tittar du i avsnittet Väsentligheter.
    3. Klicka på JSON-vylänken. Resurs-ID:t för tjänsten visas överst på sidan.
    4. Kopiera resurs-ID:t till en annan plats. Upprepa för alla destinationer. Mer information om hur du hittar ditt resurs-ID finns i privata DNS-zonvärden för Azure Private Endpoint.
  2. Växla tillbaka till webbläsarfliken för kontokonsolen.
  3. I sidofältet klickar du på Säkerhet.
  4. Klicka på Konfigurationer för nätverksanslutning.
  5. Välj den NCC som du skapade i steg 1.
  6. I Regler för privat slutpunkt klickar du på Lägg till privat slutpunktsregel.
  7. I fältet Destination Azure resurs-ID klistrar du in resurs-ID:t för resursen.
  8. I fältet Azure underresurs-ID anger du mål-ID och underresurstyp. Varje privat slutpunktsregel måste använda ett annat underresurs-ID.
  9. Klicka på Lägg till.
  10. Vänta några minuter tills alla slutpunktsregler har statusen PENDING.

Steg 4: Godkänn de nya privata slutpunkterna för dina resurser (Azure Kina)

Slutpunkterna träder inte i kraft förrän en administratör godkänner dem på resurssidan. Så här godkänner du med hjälp av Azure-portalen:

  1. I Azure-portalen går du till resursen.

  2. I sidofältet klickar du på Nätverk.

  3. Klicka på privata slutpunktsanslutningar.

  4. Klicka på fliken Privat åtkomst .

  5. Under privata slutpunktsanslutningargranskar du listan över privata slutpunkter.

  6. Klicka på kryssrutan bredvid var och en för att godkänna och klicka på knappen Godkänn ovanför listan.

  7. Gå tillbaka till din NCC i Azure Databricks och uppdatera webbläsarsidan tills alla slutpunktsregler har statusen ESTABLISHED.

    lista över privata slutpunkter

(Valfritt) Steg 5: Ställ in dina resurser för att neka åtkomst till offentliga nätverk (Azure Kina)

Om du inte redan har begränsat dina resurser till endast tillåtna nätverk kan du göra det nu.

  1. Gå till Azure-portalen.
  2. Gå till ditt lagringskonto för datakällan.
  3. I sidofältet klickar du på Nätverk.
  4. Kontrollera värdet i fältet Offentlig nätverksåtkomst. Som standard är värdet Aktiverat från alla nätverk. Ändra detta till Inaktiverat

Konfigurera Private Link till Azure App Gateway v2 (Azure Kina)

Om du konfigurerar Private Link till en Azure App Gateway v2-resurs måste du använda REST-API:et för nätverksanslutningskonfigurationer i stället för användargränssnittet för kontokonsolen. Azure App Gateway v2 kräver ytterligare parametrar: resurs-ID, grupp-ID och domännamn.

  1. Använd följande API-anrop för att skapa en privat slutpunktsregel med domännamnskonfiguration: 
    curl --location 'https://accounts.databricks.azure.cn/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <TOKEN>' \
--data '{
   "domain_names": [
      "<YOUR_DOMAIN_HERE>"
   ],
   "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>",
   "group_id": "<GROUP_ID>"
}'
  2. Om du behöver ändra domännamnen för en befintlig privat slutpunktsregel använder du följande PATCH-begäran: 
    curl --location --request PATCH 'https://accounts.databricks.azure.cn/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <TOKEN>' \
--data '{
   "domain_names": [
      "<YOUR_DOMAIN_HERE>"
   ]
}'
  3. Om du vill lista, visa eller ta bort privata slutpunktsregler för App Gateway använder du standard-API-åtgärderna för nätverksanslutningskonfigurationer som dokumenteras i API:et för nätverksanslutningskonfigurationer.

Steg 7: Starta om serverlösa beräkningsplanresurser och testa anslutningen (Azure Kina)

  1. Vänta fem minuter till på att ändringarna ska spridas.
  2. Starta om alla serverlösa beräkningsplanresurser som körs på de arbetsytor som din NCC är ansluten till. Om du inte har några resurser i en serverlös beräkningsmiljö, starta en nu.
  3. Bekräfta att alla resurser startas framgångsrikt.
  4. Kör minst en fråga på datakällan för att bekräfta att det serverlösa SQL-lagret kan nå din datakälla.

Nästa steg (Azure Kina)

  • Hantera regler för privata slutpunkter: Uppdatera, granska och ta bort privata slutpunktsregler. Se Hantera regler för privata slutpunkter.
  • Förstå serverlös nätverkssäkerhet: Lär dig mer om nätverkssäkerhetsalternativ för serverlös beräkning. Se Serverlös beräkningsresurs-nätverk.
  • Last updated on