Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite wird beschrieben, wie Sie Azure Netzwerksicherheitsperimeter (Network Security Perimeter, NSP) konfigurieren, um den Zugriff von serverlosen Compute auf Ihre Azure Ressourcen mithilfe des Azure Portals zu steuern.
Übersicht über den Netzwerksicherheitsperimeter für Azure Ressourcen
Azure Netzwerksicherheitsperimeter (Network Security Perimeter, NSP) ist ein Azure natives Feature, das eine logische Isolationsgrenze für Ihre PaaS-Ressourcen erstellt. Durch das Zuordnen von Ressourcen wie Speicherkonten oder Datenbanken zu einem NSP können Sie den Netzwerkzugriff zentral mithilfe eines vereinfachten Regelsatzes verwalten. Dies ersetzt die Notwendigkeit, komplexe Listen einzelner IP-Adressen oder Subnetz-IDs manuell zu verwalten.
NSP unterstützt den Zugriff von serverlosen SQL-Warehouses, Jobs, Notebooks, Lakeflow Spark Declarative Pipelines und Modellbereitstellungsendpunkten.
Hauptvorteile
Die Verwendung von NSP für Azure Databricks serverlosen ausgehenden Datenverkehr verbessert Ihren Sicherheitsstatus und reduziert gleichzeitig den Betriebsaufwand erheblich:
| Nutzen | Description |
|---|---|
| Kosteneinsparung | Datenverkehr, der über Dienstendpunkte gesendet wird, bleibt auf dem Azure Backbone und verursacht keine Datenverarbeitungsgebühren. |
| Vereinfachte Verwaltung | Der AzureDatabricksServerless-Dienst-Tag ist global und deckt alle Azure Databricks Regionen ab. Sie enthält sowohl spezielle IPs, die Dienstendpunkte darstellen, als auch Azure Databricks NAT-IPs. Die gesamte Kommunikation zwischen Azure Databricks und Ihren Azure Ressourcen wird über das Azure Backbone geleitet. Um den Zugriff auf IPs in einem bestimmten Bereich einzuschränken, fügen Sie den Regionsnamen beispielsweise AzureDatabricksServerless.EastUS2an das Diensttag an. Die vollständige Liste der unterstützten Azure Regionen finden Sie unter Azure Databricks Regions. |
| Zentrale Zugriffssteuerung | Verwalten von Sicherheitsrichtlinien über mehrere Ressourcentypen hinweg, einschließlich Speicher, Schlüsseltresor und Datenbanken innerhalb eines einzigen NSP-Profils. |
Unterstützte Azure Dienste
Das AzureDatabricksServerless-Diensttag wird für die Verwendung in NSP-Zugriffsregeln für die folgenden Azure Dienste unterstützt:
- Azure Storage (einschließlich ADLS Gen2)
- Azure SQL Database
- Azure Cosmos DB
- Azure Key Vault
Anforderungen
- Sie müssen ein Azure Databricks Kontoadministrator sein.
- Sie müssen über die Berechtigungen "Mitwirkender" oder "Besitzer" für die ressource Azure verfügen, die Sie konfigurieren möchten.
- Sie müssen über die Berechtigung zum Erstellen von Netzwerksicherheitsperimeterressourcen in Ihrem Azure-Abonnement verfügen.
- Ihr Azure Databricks Arbeitsbereich und Azure Ressourcen sollten sich in derselben Azure Region befinden, um optimale Leistung zu erzielen und regionsübergreifende Datenübertragungsgebühren zu vermeiden.
Schritt 1: Erstellen eines Netzwerksicherheitsperimeters und Notieren der Profil-ID
Melden Sie sich beim portal Azure an.
Geben Sie im Suchfeld oben Netzwerksicherheitsperimeter ein , und wählen Sie sie aus den Ergebnissen aus.
Klicken Sie auf +Erstellen.
Geben Sie auf der Registerkarte " Grundlagen " die folgenden Informationen ein:
- Subscription: Wählen Sie Ihr Azure-Abonnement aus.
- Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.
-
Name: Geben Sie einen Namen für Ihren NSP ein (z. B
databricks-nsp. ). - Region: Wählen Sie die Region für Ihren NSP aus. Dies sollte mit Ihrer Azure Databricks Arbeitsbereichsregion und der Region Ihrer Azure Ressourcen übereinstimmen.
-
Profilname: Geben Sie einen Profilnamen ein (z. B
databricks-profile. ).
Klicken Sie auf "Überprüfen" und dann auf "Erstellen".
Nachdem der NSP erstellt wurde, navigieren Sie im Azure-Portal dorthin.
Wechseln Sie in der linken Randleiste zu ">".
Erstellen oder Auswählen Ihres Profils (z. B
databricks-profile. ).Kopieren Sie die Ressourcen-ID für das Profil. Sie benötigen diese ID, wenn Sie ressourcen programmgesteuert zuordnen möchten.
Tipp
Speichern Sie die Profil-ID an einem sicheren Speicherort. Sie benötigen sie später, wenn Sie Ressourcen mithilfe des Azure CLI oder der API anstelle der Azure Portal zuordnen möchten.
Schritt 2: Zuordnen Ihrer Ressource zum NSP im Übergangsmodus
Sie müssen jede Azure Ressource zuordnen, auf die Sie über Azure Databricks serverlosen Compute mit Ihrem NSP-Profil zugreifen möchten. In diesem Beispiel wird gezeigt, wie Sie ein Azure Storage Konto zuordnen, aber die gleichen Schritte gelten für andere Azure Ressourcen.
- Navigieren Sie im Azure-Portal zu Ihrem Netzwerksicherheitsperimeter.
- Wechseln Sie in der linken Randleiste zu "Ressourcen" unter "Einstellungen".
- Klicken Sie auf +Hinzufügen von>Ressourcen zu einem vorhandenen Profil.
- Wählen Sie das Profil
databricks-profileaus, das Sie in Schritt 1 erstellt haben (z. B. ). - Klicken Sie auf Zuordnen.
- Filtern Sie im Ressourcenauswahlbereich nach Ressourcentyp. Wenn Sie beispielsweise ein Azure Data Lake Storage Gen2 Konto zuordnen möchten, filtern Sie nach
Microsoft.Storage/storageAccounts. - Wählen Sie Ihre Ressourcen aus der Liste aus.
- Klicken Sie unten im Bereich auf Zuordnen.
Überprüfen des Übergangsmodus:
- Wechseln Sie im NSP zu "Einstellungen" > (oder den zugeordneten Ressourcen).
- Suchen Sie Ihr Speicherkonto in der Liste.
- Überprüfen Sie, ob in der Spalte Access-Modus"Übergang" angezeigt wird. Dies ist der Standardmodus.
Hinweis
Der Übergangsmodus wertet zuerst NSP-Regeln aus. Wenn keine NSP-Regel mit der eingehenden Anforderung übereinstimmt, greift das System auf die vorhandenen Firewallregeln der Ressource zurück. Auf diese Weise können Sie Ihre NSP-Konfiguration testen, ohne vorhandene Zugriffsmuster zu unterbrechen.
Step 3: Hinzufügen einer Regel für eingehenden Zugriff für Azure Databricks serverlosen Compute
Sie müssen eine eingehende Zugriffsregel innerhalb Ihres NSP-Profils erstellen, um den Datenverkehr von Azure Databricks serverloses Compute zu Ihren Azure-Ressourcen zuzulassen.
- Navigieren Sie im Azure-Portal zu Ihrem Netzwerksicherheitsperimeter.
- Wechseln Sie in der linken Randleiste zu ">".
- Wählen Sie Ihr Profil aus (z. B
databricks-profile. ). - Klicken Sie unter "Einstellungen " auf " Eingehende Zugriffsregeln".
- Klicken Sie auf + Hinzufügen.
- Konfigurieren Sie die Regel:
-
Regelname: Geben Sie einen beschreibenden Namen ein (z. B
allow-databricks-serverless. ). - Quelltyp: Wählen Sie "Diensttag" aus.
- Zulässige Quellen: Wählen Sie AzureDatabricksServerless aus.
-
Regelname: Geben Sie einen beschreibenden Namen ein (z. B
- Klicken Sie auf Hinzufügen.
Tipp
Das AzureDatabricksServerless-Diensttag deckt alle Azure Databricks ausgehenden IPs ab, einschließlich Dienstendpunkt-IPs und NAT-IPs, wobei die gesamte Kommunikation über das Azure Backbone weitergeleitet wird. Da das Tag automatisch aktualisiert wird, müssen Sie keine IP-Adressen manuell verwalten oder Regeln aktualisieren, wenn Azure Databricks neue IP-Bereiche hinzufügen.
Schritt 4: Überprüfen der Konfiguration
Überprüfen Sie nach dem Konfigurieren des NSP, ob Azure Databricks serverlose Berechnung auf Ihre Azure Ressource zugreifen und NSP-Aktivitäten überwachen kann.
Testen des Zugriffs von serverlosen Rechenressourcen
Navigieren Sie im Azure Portal zu Ihrer Azure Ressource.
Wechseln Sie zu Sicherheit + Netzwerk>Netzwerk.
Stellen Sie sicher, dass die Ressource eine Zuordnung zu Ihrem Netzwerksicherheitsperimeter anzeigt.
Stellen Sie sicher, dass der Status den Übergangsmodus anzeigt.
Zeigen Sie die mit Ihrem Profil verknüpften eingehenden Regeln an, um zu bestätigen, dass die
AzureDatabricksServerlessRegel aufgeführt ist.Führen Sie in Ihrem Azure Databricks Arbeitsbereich eine Testabfrage aus, um zu bestätigen, dass serverlose Berechnung auf Ihre Ressource zugreifen kann. So testen Sie beispielsweise den Zugriff auf ein ADLS Gen2-Speicherkonto:
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;Wenn die Abfrage erfolgreich ist, funktioniert ihre NSP-Konfiguration ordnungsgemäß.
Überwachen der NSP-Aktivität
So können Sie überwachen, welche Zugriffsversuche durch NSP-Regeln zugelassen oder verweigert werden:
- Navigieren Sie im Azure Portal zu Ihrer Azure Ressource.
- Wechseln Sie zu "Diagnoseeinstellungen überwachen>".
- Klicken Sie auf + Diagnoseeinstellung hinzufügen.
- Wählen Sie die Protokollkategorien aus, die Sie überwachen möchten. Wählen Sie für Azure Storage Konten Folgendes aus:
- StorageRead
- StorageWrite
- Wählen Sie ein Ziel aus:
- Log Analytics Arbeitsbereich (empfohlen für Abfragen und Analysen)
- Speicherkonto (für langfristige Archivierung)
- Event Hub (zum Streaming auf externe Systeme)
- Klicken Sie auf "Speichern".
Tipp
Diagnoseprotokolle zeigen, welche Zugriffsversuche von NSP-Regeln und Ressourcenfirewallregeln abgeglichen werden. Auf diese Weise können Sie Ihre Konfiguration überprüfen, bevor Sie in den erzwungenen Modus wechseln. Im Übergangsmodus geben die Protokolle an, ob jede Anforderung von einer NSP-Regel zugelassen wurde oder auf die Ressourcenfirewall zurückgefallen ist.
Grundlegendes zu NSP-Zugriffsmodi
NSP unterstützt zwei Zugriffsmodi: Übergangsmodus und erzwungener Modus. Azure Databricks empfiehlt, für die meisten Anwendungsfälle unbegrenzt im Übergangsmodus zu verbleiben.
Übergangsmodus (empfohlen):
- Wertet zuerst NSP-Regeln aus, und greift dann auf Ressourcenfirewallregeln zurück, wenn keine NSP-Regel übereinstimmt.
- Ermöglicht die Verwendung von NSP zusammen mit vorhandenen Netzwerkkonfigurationen
- Kompatibel mit Dienstendpunkten, klassischen Computekonfigurationen und Öffentlichen Zugriffsmustern
Erzwungener Modus (für die meisten Kunden nicht empfohlen):
- Ressourcen-Firewallregeln werden umgangen, und der gesamte Zugriff, der nicht mit einer NSP-Regel übereinstimmt, wird blockiert. Dies wirkt sich nicht nur auf Azure Databricks, sondern auch auf alle anderen Dienste aus, die Sie über Ihre Ressourcenfirewall zugelassen haben– diese Dienste müssen in NSP integriert worden sein, um die Arbeit fortzusetzen.
- Bleiben Sie im Übergangsmodus, wenn Sie Dienstendpunkte verwenden, um von Azure Databricks Arbeitsbereichen auf den Speicher zuzugreifen.
Warnung
Bleiben Sie im Übergangsmodus, um die Kompatibilität mit Ihrem vorhandenen Netzwerksetup aufrechtzuerhalten, und profitieren Sie von der vereinfachten Regelverwaltung. Siehe Einschränkungen des Netzwerksicherheitsperimeters.
Nächste Schritte
- Konfigurieren Sie private Endpunkte: Für Informationen zur privaten Verbindung mit Azure-Ressourcen ohne öffentliche Endpunkte, siehe Konfigurieren Sie private Verbindungen zu Azure-Ressourcen.
- Verwalten von Netzwerkrichtlinien: Implementieren Sie Netzwerkrichtlinien, um zusätzliche Sicherheitskontrollen und Zugriffsbeschränkungen für Ihre serverlosen Computeumgebungen bereitzustellen. Siehe Was ist serverlose Ausgangskontrolle?
- Verstehen der Kosten für die Datenübertragung: Erfahren Sie mehr über die Kosten, die mit dem Verschieben von Daten in und aus serverlosen Umgebungen verbunden sind. Siehe Verstehen Sie Databricks serverless Netzwerkkosten.