Az Azure Databricks felhasználó által megadott útvonal-beállításai
Ha az Azure Databricks-munkaterület a saját virtuális hálózatán (VNet) van üzembe helyezve, egyéni útvonalakat, más néven felhasználó által megadott útvonalakat (UDR) használhat annak biztosítására, hogy a hálózati forgalom megfelelően legyen irányítva a munkaterületen. Ha például a virtuális hálózatot a helyszíni hálózathoz csatlakoztatja, előfordulhat, hogy a forgalmat a helyszíni hálózaton keresztül irányítják, és nem tudják elérni az Azure Databricks vezérlősíkját. A felhasználó által megadott útvonalak megoldhatják ezt a problémát.
Szüksége van egy UDR-re a virtuális hálózatról érkező kimenő kapcsolatok minden típusához. Az Azure-szolgáltatáscímkék és az IP-címek használatával is definiálhat hálózati hozzáférés-vezérléseket a felhasználó által megadott útvonalakon. A Databricks az Azure-szolgáltatáscímkék használatát javasolja az IP-változások miatti szolgáltatáskimaradások megelőzésére.
Felhasználó által definiált útvonalak konfigurálása Azure-szolgáltatáscímkékkel
A Databricks azt javasolja, hogy azure-szolgáltatáscímkéket használjon, amelyek egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét. Ez segít megelőzni az IP-változások miatti szolgáltatáskimaradásokat, és nem szükséges rendszeresen megkeresni ezeket az IP-címeket, és update őket az útvonalon table. Ha azonban a szervezeti szabályzatok nem engedélyezik a szolgáltatáscímkéket, igény szerint IP-címként is megadhatja az útvonalakat.
A szolgáltatáscímkék használatával a felhasználó által megadott útvonalaknak az alábbi szabályokat kell használniuk, és az útvonal table a virtuális hálózat nyilvános és privát alhálózataihoz kell társítani.
| Forrás | Címelőtag | A következő ugrás típusa |
|---|---|---|
| Alapértelmezett | Azure Databricks szolgáltatáscímke | Internet |
| Alapértelmezett | Azure SQL-szolgáltatás címkéje | Internet |
| Alapértelmezett | Azure Storage-szolgáltatás címkéje | Internet |
| Alapértelmezett | Azure Event Hubs szolgáltatáscímke | Internet |
Feljegyzés
Hozzáadhatja a Microsoft Entra ID szolgáltatáscímkét, hogy megkönnyítse a Microsoft Entra ID-hitelesítést az Azure Databricks-fürtökről az Azure-erőforrásokba.
Ha az Azure Private Link engedélyezve van a munkaterületen, az Azure Databricks szolgáltatáscímkéje nem szükséges.
Az Azure Databricks szolgáltatáscímke az Azure Databricks vezérlősíkra irányuló szükséges kimenő connections, a biztonságos fürtkapcsolati (SCC)és az Azure Databricks-webalkalmazás IP-címét jelöli.
Az Azure SQL szolgáltatáscímke az Azure Databricks metaadattárba való szükséges kimenő connections IP-címeket, míg az Azure Storage szolgáltatáscímke az artefaktumok Blob Storage és a naplók Blob Storage IP-címeit jelöli. Az Azure Event Hubs szolgáltatáscímke, amely az Azure Event Hubba történő naplózáshoz szükséges kimenő connections-t képviseli.
Egyes szolgáltatáscímkék részletesebb szabályozást teszik lehetővé az IP-tartományok adott régióra való korlátozásával. Egy Azure Databricks-munkaterület útvonalának table például az USA nyugati régióiban a következőképpen nézhet ki:
| Név | Címelőtag | A következő ugrás típusa |
|---|---|---|
| adb-servicetag | AzureDatabricks | Internet |
| adb-metastore | Sql.WestUS | Internet |
| adb-storage | Storage.WestUS | Internet |
| adb-eventhub | EventHub.WestUS | Internet |
A felhasználó által megadott útvonalakhoz szükséges szolgáltatáscímkék get lásd: Virtuális hálózati szolgáltatáscímkék.
Felhasználó által megadott útvonalak konfigurálása IP-címekkel
A Databricks javasolja az Azure-szolgáltatáscímkék használatát, de ha a szervezeti szabályzatok nem engedélyezik a szolgáltatáscímkéket, ip-címekkel határozhatja meg a felhasználó által megadott útvonalak hálózati hozzáférés-vezérlését.
A részletek attól függően változnak, hogy engedélyezve van-e a biztonságos fürtkapcsolat (SCC) a munkaterületen:
- Ha engedélyezve van a biztonságos fürtkapcsolat a munkaterületen, szüksége van egy UDR-re, amely lehetővé teszi a fürtök számára, hogy csatlakozzanak a biztonságos fürtkapcsolat-továbbítóhoz a vezérlősíkon. Ügyeljen arra, hogy a régióhoz tartozó SCC-továbbítási IP-címként megjelölt rendszereket is tartalmazza.
- Ha a munkaterületen a biztonságos fürtkapcsolat le van tiltva , a vezérlősík NAT-jából bejövő kapcsolat jön létre, de az alacsony szintű TCP SYN-ACK a kapcsolathoz technikailag olyan kimenő adatok, amelyekhez UDR szükséges. Ügyeljen arra, hogy a régióhoz tartozó vezérlősík NAT-IP-címeként megjelölt rendszereket is tartalmazza.
A felhasználó által definiált útvonalaknak az alábbi szabályokat kell használniuk, és az útvonal table a virtuális hálózat nyilvános és privát alhálózataihoz kell társítani.
| Forrás | Címelőtag | A következő ugrás típusa |
|---|---|---|
| Alapértelmezett | Vezérlősík NAT IP-címe (ha az SCC le van tiltva) | Internet |
| Alapértelmezett | SCC-továbbítás IP-címe (ha az SCC engedélyezve van) | Internet |
| Alapértelmezett | Webapp IP-címe | Internet |
| Alapértelmezett | Metaadattár IP-címe | Internet |
| Alapértelmezett | Artifact Blob Storage IP-címe | Internet |
| Alapértelmezett | Log Blob storage IP | Internet |
| Alapértelmezett | Munkaterület tárolási IP-címe – Blob Storage-végpont | Internet |
| Alapértelmezett | Munkaterület tárolási IP-címe – ADLS gen2 (dfs) végpont |
Internet |
| Alapértelmezett | Event Hubs IP-címe | Internet |
Ha Azure Private Link engedélyezve van a munkaterületen, a felhasználó által megadott útvonalaknak a következő szabályokat kell használniuk, és az útvonal table a virtuális hálózat nyilvános és privát alhálózataihoz kell társítani.
| Forrás | Címelőtag | A következő ugrás típusa |
|---|---|---|
| Alapértelmezett | Metaadattár IP-címe | Internet |
| Alapértelmezett | Artifact Blob Storage IP-címe | Internet |
| Alapértelmezett | Log Blob storage IP | Internet |
| Alapértelmezett | Event Hubs IP-címe | Internet |
A felhasználó által definiált útvonalakhoz szükséges IP-címek get a tables és utasítások használatával Azure Databricks-régiókban, különösen: