İngilizce dilinde oku

Aracılığıyla paylaş

Güvenli küme bağlantısını etkinleştirme

  • Makale

Bu makalede Azure Databricks çalışma alanları için güvenli küme bağlantısının nasıl kullanılacağı açıklanmaktadır. Genel IP adresi (NPIP) kullanılmayan güvenli küme bağlantısı olarak da bilinir. Sunucusuz işlem düzlemi güvenli küme bağlantısı kullanmasa da sunucusuz işlem kaynaklarının genel IP adresleri yoktur.

Güvenli küme bağlantısına genel bakış

Güvenli küme bağlantısı etkinleştirildiğinde, müşteri sanal ağlarının açık bağlantı noktası yoktur ve klasik işlem düzlemindeki işlem kaynaklarının genel IP adresleri yoktur.

  • Her bir küme, küme oluşturma sırasında denetim düzlemi güvenli küme bağlantı aktarımına bir bağlantı gerçekleştirir. Küme bu bağlantıyı 443 (HTTPS) numaralı bağlantı noktasını kullanarak kurar ve web uygulaması ve REST API için kullanılandan farklı bir IP adresi kullanır.
  • Denetim düzlemi küme yönetim görevlerini gerçekleştirdiğinde, bu istekler bu tünel üzerinden kümeye gönderilir.

Not

Klasik işlem düzlemi VNet ile Azure Databricks kontrol düzlemi arasındaki tüm Azure Databricks ağ trafiği, genel İnternet yerine Microsoft ağ omurgasıüzerinden geçer. Güvenli küme bağlantısı devre dışı bırakılıyor olsa bile bu durum geçerlidir.

Yeni bir çalışma alanında güvenli küme bağlantısını etkinleştirebilir veya zaten kullanan mevcut bir çalışma alanına Sanal Ağ eklemeekleyebilirsiniz.

Yeni bir çalışma alanında güvenli küme bağlantısını etkinleştirme

Azure portalını veya Azure Resource Manager (ARM) şablonunu kullanarak bir çalışma alanı oluşturduğunuzda güvenli küme bağlantısını etkinleştirebilirsiniz.

Mevcut çalışma alanına güvenli küme bağlantısı ekleme

Azure portalını, ARM şablonunu veya Terraform sağlayıcısı sürüm 3.41.0+ azurerm kullanarak mevcut bir çalışma alanında güvenli küme bağlantısını etkinleştirebilirsiniz. Yükseltme için çalışma alanının sanal ağ eklemesi kullanması gerekir.

Önemli

Klasik işlem düzleminden girişi veya çıkışı denetlemek için bir güvenlik duvarı veya diğer ağ yapılandırma değişiklikleri kullanıyorsanız, güvenlik duvarınızı veya ağ güvenlik grubu kurallarınızı bu değişikliklerin tam olarak geçerlilik kazanmaları için aynı anda güncelleştirmeniz gerekebilir. Örneğin, güvenli küme bağlantısı kullanıldığında, denetim düzlemine ek bir giden bağlantı vardır ve denetim düzleminden gelen bağlantılar artık kullanılmaz.

1. Adım: Tüm işlem kaynaklarını durdurma

Kümeler, havuzlar veya klasik SQL ambarları gibi tüm klasik işlem kaynaklarını durdurun. Databricks, yükseltmenin çalışma zamanı için zamanlamasını planlamanızı önerir.

2. Adım: Çalışma alanını güncelleştirme

Azure portalını, ARM şablonunu veya Terraform'ı kullanarak çalışma alanını güncelleştirebilirsiniz.

Azure portalını kullanma

  1. Azure portalında Azure Databricks çalışma alanınıza gidin.
  2. Sol gezinti bölmesinde, Ayarlar'ın altında Ağ'a tıklayın.
  3. Ağ erişimi sekmesinde Azure Databricks çalışma alanını Güvenli Küme Bağlantısı (Genel IP Yok) ile dağıtmaEtkinolarak ayarlayın.
  4. Kaydet'e tıklayın.

Ağ güncelleştirmesinin tamamlanması 15 dakikadan uzun sürebilir.

Azure portalını kullanarak güncelleştirilmiş ARM şablonu uygulama

enableNoPublicIp parametresini True (true) olarak ayarlamak için bir ARM şablonu kullanın.

Not

Yönetilen kaynak grubunuzun özel bir adı varsa, şablonu buna göre değiştirmeniz gerekir. Daha fazla bilgi için Azure Databricks hesap ekibinize başvurun.

  1. Aşağıdaki yükseltme ARM şablonu JSON'unu kopyalayın:

      {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "workspaceName": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure Databricks workspace to create."
            }
        },
        "apiVersion": {
            "defaultValue": "2023-02-01",
            "allowedValues": [
              "2018-04-01",
              "2020-02-15",
              "2022-04-01-preview",
              "2023-02-01"
            ],
            "type": "String",
            "metadata": {
                "description": "2018-03-15 for 'full region isolation control plane' and 2020-02-15 for 'FedRAMP certified' regions"
            }
        },
        "enableNoPublicIp": {
            "defaultValue": true,
            "type": "Bool"
        },
        "pricingTier": {
            "defaultValue": "premium",
            "allowedValues": [
                "premium",
                "standard",
                "trial"
            ],
            "type": "String",
            "metadata": {
                "description": "The pricing tier of workspace."
            }
        },
        "publicNetworkAccess": {
          "type": "string",
          "defaultValue": "Enabled",
          "allowedValues": [
            "Enabled",
            "Disabled"
          ],
          "metadata": {
            "description": "Indicates whether public network access is allowed to the workspace - possible values are Enabled or Disabled."
          }
        },
        "requiredNsgRules": {
          "type": "string",
          "defaultValue": "AllRules",
          "allowedValues": [
            "AllRules",
            "NoAzureDatabricksRules"
          ],
          "metadata": {
            "description": "Indicates whether to retain or remove the AzureDatabricks outbound NSG rule - possible values are AllRules or NoAzureDatabricksRules."
          }
        }
        },
    "variables": {
        "managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]",
        "managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', variables('managedResourceGroupName'))]"
    },
    "resources": [
        {
            "type": "Microsoft.Databricks/workspaces",
            "apiVersion": "[parameters('apiVersion')]",
            "name": "[parameters('workspaceName')]",
            "location": "[parameters('location')]",
            "sku": {
                "name": "[parameters('pricingTier')]"
            },
            "properties": {
                "ManagedResourceGroupId": "[variables('managedResourceGroupId')]",
                "publicNetworkAccess": "[parameters('publicNetworkAccess')]",
                "requiredNsgRules": "[parameters('requiredNsgRules')]",
                "parameters": {
                    "enableNoPublicIp": {
                        "value": "[parameters('enableNoPublicIp')]"
                    }
                }
            }
        }
    ]
}

    1. Azure portalı Özel dağıtım sayfasına gidin.

    2. Düzenleyicide Kendi şablonunuzu oluşturun'a tıklayın.

    3. Kopyaladığınız şablonun JSON dosyasını yapıştırın.

    4. Kaydet'e tıklayın.

    5. Parametreleri doldurun.

    6. Var olan bir çalışma alanını güncelleştirmek için, olarak ayarlamanız enableNoPublicIpgereken dışında true bir çalışma alanı oluşturmak için kullandığınız parametreleri kullanın. Mevcut sanal ağın aboneliğini, bölgesini, çalışma alanı adını, alt ağ adlarını, kaynak kimliğini ayarlayın.

      Önemli

      Kaynak grubu adı, çalışma alanı adı ve alt ağ adları var olan çalışma alanınızla aynıdır, böylece bu komut yeni bir çalışma alanı oluşturmak yerine var olan çalışma alanını güncelleştirir.

    7. Gözden Geçir ve Oluştur’a tıklayın.

    8. Doğrulama sorunu yoksa Oluştur'a tıklayın.

    Ağ güncelleştirmesinin tamamlanması 15 dakikadan uzun sürebilir.

Terraform kullanarak güncelleştirme uygulama

Terraform ile oluşturulan çalışma alanları için çalışma alanını yeniden oluşturmadan güncelleştirebilirsiniz.

Önemli

Sürüm 3.41.0 veya üzerini kullanmanız terraform-provider-azurerm gerekir, bu nedenle Terraform sağlayıcı sürümünüzü gerektiği gibi yükseltin. Önceki sürümler, bu ayarlardan herhangi birini değiştirirseniz çalışma alanını yeniden oluşturma girişiminde bulunur.

Aşağıdaki çalışma alanı ayarlarını değiştirin:

  • no_public_ip bloğunda custom_parameters olarak falsetruedeğiştirilebilir.

Ağ güncelleştirmesinin tamamlanması 15 dakikadan uzun sürebilir.

3. Adım: Güncelleştirmeyi doğrulama

Çalışma alanı etkin durumda olduğunda güncelleştirme işi tamamlanır. Güncelleştirmenin uygulandığını doğrulayın:

  1. Web tarayıcınızda Azure Databricks'i açın.

  2. Çalışma alanının kümelerinden birini başlatın ve küme tam olarak başlatılana kadar bekleyin.

  3. Azure portalında çalışma alanı örneğine gidin.

  4. Yönetilen Kaynak Grubu alan etiketinin yanındaki mavi kimliği tıklatın.

  5. Bu grupta kümenin VM'lerini bulun ve bunlardan birine tıklayın.

  6. VM ayarlarında, Özellikler'in içinde alanındaki alanları arayın.

  7. Genel IP adresi alanının boş olduğunu onaylayın.

    Doldurulmuşsa VM'nin genel IP adresi vardır ve bu da güncelleştirmenin başarısız olduğu anlamına gelir.

Güvenli küme bağlantısına yükseltmenin geçici geri alınması

Dağıtım sırasında bir sorun olursa işlemi geçici geri alma olarak tersine çevirebilirsiniz, ancak bir çalışma alanında SCC'nin devre dışı bırakılması, yükseltmeye daha sonra devam etmeden önce geçici geri alma dışında desteklenmez. Bu geçici olarak gerekliyse, yükseltme için yukarıdaki yönergeleri izleyebilirsiniz, ancak true yerine olarak enableNoPublicIp ayarlayabilirsinizfalse.

Çalışma alanı alt ağlarından çıkış

Güvenli küme bağlantısını etkinleştirdiğinizde, küme düğümlerinin genel IP adresleri olmadığından her iki çalışma alanı alt ağınız da özel alt ağlar olur.

Ağ çıkışının uygulama ayrıntıları, varsayılan (yönetilen) sanal ağı kullanıp kullanmadığınıza veya çalışma alanınızı dağıtabileceğiniz kendi sanal ağınızı sağlamak için sanal ağ ekleme kullanıp kullanmadığınıza bağlı olarak değişir.

Önemli

Güvenli küme bağlantısı kullandığınızda artan çıkış trafiği nedeniyle ek maliyetler oluşabilir. En güvenli dağıtım için, Microsoft ve Databricks güvenli küme bağlantısını etkinleştirmenizi kesinlikle önerir.

Varsayılan (yönetilen) sanal ağ ile çıkış

Azure Databricks'in oluşturduğu varsayılan sanal ağ ile güvenli küme bağlantısı kullanırsanız, Azure Databricks çalışma alanınızın alt ağlarından Azure omurgasına ve genel ağına giden trafik için otomatik olarak bir NAT ağ geçidi oluşturur. NAT ağ geçidi, Azure Databricks tarafından yönetilen yönetilen kaynak grubunda oluşturulur. Bu kaynak grubunu veya içinde sağlanan kaynakları değiştiremezsiniz. Bu NAT ağ geçidi ek ücrete tabidir.

Sanal ağ eklemeli çıkış

Çalışma alanınızın VNet enjeksiyonu kullanan güvenli küme bağlantısını etkinleştirirseniz, Databricks çalışma alanınızın sabit bir çıkış genel IP'si kullanmasını önerir. Kararlı çıkış genel IP adresleri, bunları dış izin verme listelerine ekleyebildiğiniz için yararlıdır. Örneğin, Azure Databricks'ten Salesforce'a kararlı bir giden IP adresiyle bağlanmak için.

Uyarı

Microsoft, 30 Eylül 2025'te Azure'daki sanal makineler için varsayılan giden erişim bağlantısının kullanımdan kaldırılacağını duyurdu. Bu duyuruya bakın. Başka bir deyişle, kararlı bir çıkış genel IP'si yerine varsayılan giden erişimi kullanan mevcut Azure Databricks çalışma alanları bu tarihten sonra çalışmaya devam etmeyebilir. Databricks, çalışma alanlarınız için bu tarihten önce açık giden yöntemleri eklemenizi önerir.

Çalışma alanınız için çıkış yöntemleri eklemek için Azure NAT ağ geçidi veya kullanıcı tanımlı dönüş yolları (UDR) kullanın.

  • Azure NAT ağ geçidi: Dağıtımlarınızın yalnızca bazı özelleştirmelere ihtiyacı varsa Bir Azure NAT ağ geçidi kullanın. Azure omurgasına giden tüm trafiğin ve genel ağ geçişlerinin üzerinden geçtiğinden emin olmak için çalışma alanının her iki alt ağında da ağ geçidini yapılandırın. Kümeler kararlı bir çıkış genel IP'sine sahiptir ve özel çıkış gereksinimleri için yapılandırmayı değiştirebilirsiniz. Bunu bir Azure şablonu kullanarak veya Azure portalından yapılandırabilirsiniz.
  • UDR'ler: Dağıtımlarınız karmaşık yönlendirme gereksinimleri içeriyorsa veya çalışma alanlarınız çıkış güvenlik duvarı ile birlikte VNet enjeksiyonu kullanıyorsa, UDR'leri kullanın. UDR'ler, ağ trafiğinin çalışma alanınız için doğrudan gerekli uç noktalara veya çıkış güvenlik duvarı üzerinden doğru şekilde yönlendirilmesini sağlar. UDR'leri kullanmak için Azure Databricks güvenli küme bağlantı geçişi ve Azure Databricksiçin kullanıcı tanımlı yol ayarları listelenen diğer gerekli uç noktalar için doğrudan yollar veya izin verilen güvenlik duvarı kuralları eklemeniz gerekir.

Uyarı

Güvenli küme bağlantısı etkinleştirilmiş bir çalışma alanıyla çıkış yük dengeleyici kullanmayın. Üretim sistemlerinde çıkış yük dengeleyici, bağlantı noktalarının tükenme riskine yol açabilir.