Konfigurieren der privaten Konnektivität mit Ressourcen in Ihrem VNet

Auf dieser Seite wird erläutert, wie Sie mithilfe der Azure Databricks Kontokonsole Private Link Verbindungen von serverlosem Compute zu Ressourcen in Ihrem virtuellen Netzwerk (VNet) über einen Azure Lastenausgleich konfigurieren.

Das Konfigurieren der privaten Konnektivität für serverloses Berechnen bietet Folgendes:

• A dedizierte und private Verbindung: Ihr privater Endpunkt ist ausschließlich an Ihr Azure Databricks Konto gebunden, um sicherzustellen, dass der Zugriff auf Ihre VNet-Ressourcen nur auf autorisierte Arbeitsbereiche beschränkt ist. Dadurch wird ein sicherer, dedizierter Kommunikationskanal erstellt.
• Erweiterte Datenexfiltrationsminderung: Während Azure Databricks Serverless mit Unity Catalog integrierten Datenexfiltrationsschutz bietet, liefert Private Link eine zusätzliche Ebene der Netzwerkabwehr. Indem Sie Ihre VNet-Ressourcen in einem privaten Subnetz platzieren und den Zugriff über dedizierte private Endpunkte steuern, verringern Sie das Risiko einer nicht autorisierten Datenverschiebung außerhalb Ihrer kontrollierten Netzwerkumgebung erheblich.

Anforderungen

• Ihr Konto und Ihr Arbeitsbereich müssen sich im Premium-Plan befinden.
• Sie sind der Kontoadministrator Ihres Azure Databricks Kontos.
• Sie verfügen über mindestens einen Arbeitsbereich mit serverloser Berechnung. Informationen zu unterstützten Regionen finden Sie unter Serverlose Verfügbarkeit.
• Ihr Load Balancer verfügt über ein virtuelles Netzwerk und ein Subnetz, und Ihre Ressource befindet sich in diesem Subnetz.
• Jedes Azure Databricks Konto kann bis zu 10 NCCs pro Region haben.
• Jede Region kann über 100 private Endpunkte verfügen, die nach Bedarf über 1-10 NCCs verteilt werden.
• Jede NCC kann an bis zu 50 Arbeitsbereiche angefügt werden.
• Jede private Endpunktregel für private Konnektivität mit Ressourcen in Ihrem VNet unterstützt bis zu 10 Domänennamen.
• DNS-Chasing und DNS-Umleitung werden nicht unterstützt. Alle Domänennamen müssen direkt zu den Backend-Ressourcen behoben werden.

Schritt 1: Erstellen eines Azure Lastenausgleichsmoduls

Erstellen Sie eine Azure Load Balancer, die als Frontend für Ihre VNet-Ressourcen dient. Dieser Load Balancer ist mit Ihrem Private Link Dienst verknüpft.

Zum Erstellen eines Lastenausgleichs befolgen Sie die Anweisungen im Quickstart: Erstellen Sie einen internen Lastenausgleich zur Lastverteilung für VMs über das Azure-Portal. Führen Sie die folgenden Schritte aus:

1. Erstellen Sie eine Lastenausgleichsressource.
2. Fügen Sie eine Frontend-IP-Konfiguration hinzu: Dies ist der Einstiegspunkt für Ihren Private-Link-Dienst.
3. Hinzufügen eines Back-End-Pools: Dieser Pool enthält die IP-Adressen Ihrer VNet-Ressourcen.
4. Erstellen einer Integritätsuntersuchung: Konfigurieren Sie einen Integritätstest, um die Verfügbarkeit Ihrer Back-End-Ressourcen zu überwachen.
5. Hinzufügen von Lastenausgleichsregeln: Definieren Sie Regeln, um eingehenden Datenverkehr an Ihren Back-End-Pool zu verteilen.

Schritt 2: Erstellen eines Private Link-Diensts

Sie müssen einen Private Link-Dienst erstellen, um Ihr Lastenausgleichsmodul sicher für Ihren privaten Endpunkt verfügbar zu machen. Stellen Sie sicher, dass der Private Link Dienst in der derselben Region wie Ihr Lastenausgleich erstellt wird.

Anweisungen finden Sie in der Azure-Dokumentation: Erstellen Sie einen Private Link Dienst mithilfe des Azure Portals.

Schritt 3: Erstellen oder Verwenden einer vorhandenen Netzwerkkonnektivitätskonfiguration (NCC)-Objekt

Das NCC-Objekt in Azure Databricks definiert die einstellungen für private Konnektivität für Ihre Arbeitsbereiche. Überspringen Sie diesen Schritt, wenn bereits ein NCC vorhanden ist. So erstellen Sie ein NCC-Objekt:

1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf "Sicherheit".
3. Klicken Sie auf Netzwerkkonnektivitätskonfigurationen.
4. Klicken Sie auf "Netzwerkkonfiguration hinzufügen".
5. Geben Sie einen Namen für den NCC ein.
6. Wählen Sie die Region aus. Diese muss mit Ihrer Arbeitsbereichsregion übereinstimmen.
7. Klicken Sie auf Hinzufügen.

Schritt 4: Erstellen eines privaten Endpunkts

In diesem Schritt wird Ihr Private Link Dienst mit Ihrem Azure Databricks NCC verknüpft. So erstellen Sie einen privaten Endpunkt:

1. Klicken Sie in der Kontokonsole auf "Sicherheit".
2. Klicken Sie auf Netzwerkkonnektivitätskonfigurationen.
3. Wählen Sie das NCC-Objekt aus, das Sie in Schritt 3 erstellt haben.
4. Klicken Sie auf der Registerkarte " Private Endpunktregeln " auf " Private Endpunktregel hinzufügen".
5. Fügen Sie im Feld Azure Ressourcen-ID die vollständige Ressourcen-ID Ihres Private Link Diensts ein. Suchen Sie diese ID im Azure-Portal auf der Seite Overview Ihres Private Link Diensts. Beispiel-ID: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
6. Fügen Sie im Feld "Domänennamen " die benutzerdefinierten Domänennamen hinzu, die Ihre VNet-Ressourcen verwenden. Diese Domänennamen müssen den IP-Konfigurationen im Backend-Pool Ihres Load Balancers zugeordnet werden.
7. Klicken Sie auf Hinzufügen.
8. Vergewissern Sie sich, dass die Spalte "Status" für die neu hinzugefügte private Endpunktregel lautet PENDING.

Schritt 5: Akzeptieren des privaten Endpunkts für Ihre Ressource

Nachdem Sie die private Endpunktregel in Databricks erstellt haben, müssen Sie die Verbindungsanforderung im Azure-Portal genehmigen. So genehmigen Sie die Verbindung:

1. Navigieren Sie im Azure Portal zum Private Link Center.
2. Wählen Sie Private Link Services aus.
3. Suchen Und wählen Sie den Private Link Dienst aus, der Ihrem Lastenausgleichsmodul zugeordnet ist.
4. Wählen Sie in der linken Randleiste unter "Einstellungen" die Option "Private Endpunktverbindungen" aus.
5. Wählen Sie den anstehenden privaten Endpunkt aus.
6. Klicken Sie auf "Genehmigen ", um die Verbindung zu akzeptieren.
7. Wenn Sie dazu aufgefordert werden, wählen Sie Jaaus.
8. Nach der Genehmigung ändert sich der Verbindungsstatus in "Genehmigt".

Es kann zehn Minuten dauern, bis die Verbindung vollständig hergestellt wird.

Schritt 6: Bestätigen des Status des privaten Endpunkts

Überprüfen Sie, ob die private Endpunktverbindung erfolgreich von der Azure Databricks-Seite hergestellt wurde. So bestätigen Sie die Verbindung:

1. Aktualisieren Sie die Seite Network-Konnektivitätskonfigurationen in der Azure Databricks Kontokonsole.
2. Vergewissern Sie sich auf der Registerkarte "Private Endpunktregeln ", dass die Spalte "Status " für ihren neuen privaten Endpunkt lautet ESTABLISHED.

Schritt 7: Anfügen des NCC an einen oder mehrere Arbeitsbereiche

Dieser Schritt ordnet Ihre konfigurierte private Konnektivität Ihren Azure Databricks Arbeitsbereichen zu. Überspringen Sie diesen Schritt, wenn Ihr Arbeitsbereich bereits an den gewünschten NCC angefügt ist. So fügen Sie den NCC an einen Arbeitsbereich an:

1. Navigieren Sie in der linken Navigationsleiste zu Arbeitsbereichen .
2. Wählen Sie einen vorhandenen Arbeitsbereich aus.
3. Wählen Sie "Arbeitsbereich aktualisieren" aus.
4. Wählen Sie unter Netzwerkkonnektivitätskonfigurationen das Dropdownmenü und dann den erstellten NCC aus.
5. Wiederholen Sie diesen Vorgang für alle Arbeitsbereiche, auf die Sie diesen NCC anwenden möchten.

Nächste Schritte

• Configure private Konnektivität mit Azure Ressourcen: Verwenden Sie Private Link, um sicheren und isolierten Zugriff auf Azure Dienste aus Ihrem virtuellen Netzwerk herzustellen und das öffentliche Internet zu umgehen. Siehe Konfigurieren der privaten Verbindung zu Azure-Ressourcen.
• Manage private Endpunktregeln: Steuern sie den Netzwerkdatenverkehr an und von Ihren Azure privaten Endpunkten, indem Sie bestimmte Regeln definieren, die Verbindungen zulassen oder verweigern. Weitere Informationen finden Sie unter Verwalten von Regeln für private Endpunkte.
• Konfigurieren Sie eine Firewall für serverlosen Computezugriff: Implementieren Sie eine Firewall, um eingehende und ausgehende Netzwerkverbindungen für Ihre serverlosen Computeumgebungen einzuschränken und zu sichern. Siehe Konfigurieren einer Firewall für serverlosen Computezugriff (Legacy).
• Verstehen Sie die Datenübertragungs- und Konnektivitätskosten: Datenübertragung und Konnektivität beziehen sich auf das Verschieben von Daten in und aus serverfreien Azure Databricks Umgebungen. Netzwerkgebühren für serverlose Produkte gelten nur für Kunden, die Azure Databricks serverlose Berechnung verwenden. Siehe Verstehen Sie Databricks serverless Netzwerkkosten.