Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Jeder Azure Databricks Arbeitsbereich verfügt über ein zugeordnetes Azure Speicherkonto in einer verwalteten Ressourcengruppe, die als workspace-Speicherkonto bezeichnet wird. Dieses Konto enthält Arbeitsbereichssystemdaten (Auftragsausgabe, Systemeinstellungen und Protokolle), den Stamm des Databricks-Dateisystems und in einigen Fällen einen Unity Catalog-Arbeitsbereichkatalog. Sie können den Zugriff auf Ihr Arbeitsbereichsspeicherkonto nur auf autorisierte Ressourcen und Netzwerke beschränken, indem Sie die Azure CLI oder PowerShell verwenden.
Was ist Firewall-Support für das Speicherkonto Ihres Arbeitsbereichs?
Standardmäßig akzeptiert Ihr Arbeitsbereichsspeicherkonto authentifizierte Verbindungen von allen Netzwerken. Wenn Sie die Firewallunterstützung aktivieren, blockiert Azure Databricks den Zugriff auf öffentliche Netzwerke und schränkt den Zugriff nur auf autorisierte Ressourcen ein. Sie können dies konfigurieren, wenn Ihre Organisation über Azure-Richtlinien verfügt, für die Speicherkonten privat sein müssen.
Wenn die Firewallunterstützung aktiviert ist, müssen Dienste außerhalb Azure Databricks, die auf das Arbeitsbereichsspeicherkonto zugreifen müssen, private Endpunkte mit Private Link verwenden. Azure Databricks serverlose Berechnung muss entweder Dienstendpunkte oder private Endpunkte verwenden, um auf das Arbeitsbereichsspeicherkonto zuzugreifen.
Azure Databricks erstellt einen Access Connector mit einer Azure-verwalteten Identität für den Zugriff auf das Arbeitsbereichs-Speicherkonto.
Anforderungen
Ihr Arbeitsbereich muss die VNet-Injektion für Verbindungen aus der klassischen Berechnungsebene aktivieren.
Ihr Arbeitsbereich muss sichere Clusterkonnektivität (keine öffentliche IP/NPIP) für Verbindungen aus der klassischen Computeebene aktivieren.
Ihr Arbeitsbereich muss dem Premium-Tarif angehören.
Sie müssen über ein separates Subnetz für die privaten Endpunkte für das Speicherkonto verfügen. Dies ist zusätzlich zu den beiden Hauptsubnetzen für grundlegende Azure Databricks Funktionalität.
Das Subnetz muss sich im gleichen VNet wie der Arbeitsbereich oder in einem separaten VNet befinden, auf das der Arbeitsbereich zugreifen kann. Verwenden Sie die Mindestgröße
/28in CIDR-Notation.Wenn Sie Cloud Fetch mit dem Microsoft Fabric Power BI-Dienst verwenden, müssen Sie immer ein Gateway für den privaten Zugriff auf das Arbeitsbereichsspeicherkonto verwenden oder Cloud Fetch deaktivieren. Siehe Schritt 2 (empfohlen): Konfigurieren privater Endpunkte für Cloud Fetch-Client-VNets.
Für Azure CLI- oder PowerShell-Bereitstellungsmethoden müssen Sie einen Azure Databricks Zugriffsconnector erstellen und dessen Ressourcen-ID speichern, bevor Sie die Standardmäßige Arbeitsbereichspeicherfirewall aktivieren. Dazu muss entweder eine vom System zugewiesene oder vom Benutzer zugewiesene verwaltete Identität verwendet werden. Siehe Access Connector für Databricks. Sie können den Azure Databricks-Zugriffsconnector nicht in der verwalteten Ressourcengruppe verwenden.
Verbinden von Diensten außerhalb Azure Databricks mit dem Speicherkonto
Schritt 1: Erstellen privater Endpunkte für das Speicherkonto
Erstellen Sie zwei private Endpunkte für das Speicherkonto des Arbeitsbereichs aus Ihrem für die VNet-Injektion verwendeten VNet für die Werte vom Typ Zielunterressource: dfs und blob.
Hinweis
Wenn Sie einen Fehler bei der Ablehnung von Zuweisungsberechtigungen in Ihrer verwalteten Ressourcengruppe erhalten, ist Ihr Arbeitsbereich möglicherweise älter als das aktuelle Berechtigungsmodell für verwaltete Ressourcengruppen. Wenden Sie sich an Ihr Azure Databricks Kontoteam, um die Konfiguration der verwalteten Ressourcengruppe zu aktualisieren, bevor Sie fortfahren.
Wenn Sie eine Warnung zum Ausführen von Computeressourcen erhalten, beenden Sie die gesamte Berechnung in Ihrem Arbeitsbereich, bevor Sie die Schritte 1 bis 4 ausführen.
Wechseln Sie zu Ihrem Arbeitsbereich.
Klicken Sie unter Essentials auf den Namen der Verwalteten Ressourcengruppe.
Notieren Sie sich unter "Ressourcen" den Namen Ihres Arbeitsbereichsspeicherkontos. Der Name beginnt in der Regel mit
dbstorage.Geben Sie im Suchfeld oben im Portal den privaten Endpunkt ein, und wählen Sie ihn aus.
Klicken Sie auf +Erstellen.
Legen Sie im Namensfeld Ressourcengruppe Ihre Ressourcengruppe fest.
Wichtig
Die Ressourcengruppe darf nicht identisch mit der verwalteten Ressourcengruppe sein, in der sich das Speicherkonto des Arbeitsbereichs befindet.
Geben Sie im Feld "Name " einen eindeutigen Namen für diesen privaten Endpunkt ein:
- Erstellen Sie für den ersten privaten Endpunkt, den Sie für das jeweilige Quellnetzwerk erstellen, einen DFS-Endpunkt. Azure Databricks empfiehlt, das Suffix
-dfs-pehinzuzufügen. - Erstellen Sie für den zweiten privaten Endpunkt, den Sie für das jeweilige Quellnetzwerk erstellen, einen Blobendpunkt. Azure Databricks empfiehlt, das Suffix
-blob-pehinzuzufügen.
Das Feld Name der Netzwerkschnittstelle wird automatisch aufgefüllt.
- Erstellen Sie für den ersten privaten Endpunkt, den Sie für das jeweilige Quellnetzwerk erstellen, einen DFS-Endpunkt. Azure Databricks empfiehlt, das Suffix
Legen Sie das Feld Region auf die Region Ihres Arbeitsbereichs fest.
Klicken Sie auf Weiter: Ressource.
Wählen Sie in Verbindungsmethode die Option Mit einer Azure-Ressource in meinem Verzeichnis verbinden aus.
Wählen Sie im Abonnement das Abonnement aus, in dem sich Ihr Arbeitsbereich befindet.
Wählen Sie im RessourcentypMicrosoft.Storage/storageAccounts aus.
Wählen Sie in "Ressource" Ihr Arbeitsbereichsspeicherkonto aus.
Wählen Sie in der Unterressource "Ziel" den Zielressourcentyp aus.
- Legen Sie diese Option für den ersten privaten Endpunkt, den Sie für das jeweilige Quellnetzwerk erstellen, auf dfs fest.
- Legen Sie diese Option für den zweiten privaten Endpunkt, den Sie für das jeweilige Quellnetzwerk erstellen, auf blob fest.
Klicken Sie auf Next: Virtual Network.
Wählen Sie im Feld Virtuelles Netzwerk ein VNet aus.
Legen Sie im Subnetzfeld das Subnetz auf das separate Subnetz fest, das Sie für die privaten Endpunkte für das Speicherkonto konfiguriert haben.
Dieses Feld kann automatisch mit dem Subnetz für Ihre privaten Endpunkte aufgefüllt werden, Sie müssen es aber möglicherweise explizit festlegen. Verwenden Sie die beiden Arbeitsbereichsubnetze nicht für grundlegende Azure Databricks Arbeitsbereichsfunktionalität, die in der Regel als
private-subnetundpublic-subnetbezeichnet werden.Ändern Sie bei Bedarf die Standardeinstellungen für private IP-Konfiguration und Anwendungssicherheitsgruppe .
Klicken Sie auf Weiter: DNS. Die DNS-Registerkarte wird automatisch mit dem richtigen Abonnement und der richtigen Ressourcengruppe aufgefüllt, die Sie zuvor ausgewählt haben. Diese Angaben können bei Bedarf geändert werden.
Hinweis
Wenn keine private DNS-Zone für den Ziel-Unterressourcentyp (dfs oder blob) an das Arbeitsbereich-VNet angefügt ist, erstellt Azure eine neue private DNS-Zone. Wenn bereits eine private DNS-Zone für diesen Unterressourcentyp im Arbeitsbereich-VNet vorhanden ist, wählt Azure sie automatisch aus. Ein VNet kann nur eine private DNS-Zone pro Unterressourcentyp aufweisen.
Klicken Sie auf "Weiter": "Tags " und fügen Sie bei Bedarf Tags hinzu.
Klicken Sie auf Weiter: Überprüfen + Erstellen und prüfen Sie die Felder.
Klicken Sie auf Erstellen.
Schritt 2 (empfohlen): Konfigurieren privater Endpunkte für Cloud Fetch-Client-VNets
Cloud Fetch ist ein Mechanismus in ODBC und JDBC, der Daten parallel über Cloudspeicher abruft, um Daten schneller an BI-Tools bereitzustellen. Wenn Sie Abfrageergebnisse von mehr als 100 MB aus BI-Tools abrufen, verwenden Sie wahrscheinlich Cloud Fetch.
Hinweis
Wenn Sie die Microsoft Fabric Power BI-Dienst mit Azure Databricks verwenden und die Firewallunterstützung für das Arbeitsbereichsspeicherkonto aktivieren, müssen Sie entweder ein Virtuelles Netzwerkdatengateway oder ein lokales Datengateway konfigurieren, um privaten Zugriff auf das Speicherkonto zu ermöglichen. Dadurch wird sichergestellt, dass der Fabric Power BI-Dienst weiterhin auf das Arbeitsbereichs-Speicherkonto zugreifen kann und Cloud Fetch weiterhin ordnungsgemäß funktioniert.
Diese Anforderung gilt nicht für Power BI Desktop.
Wenn Sie Cloud Fetch verwenden, erstellen Sie private Endpunkte für das Arbeitsbereichsspeicherkonto aus den VNets Ihrer Cloud Fetch-Clients.
Erstellen Sie für jedes Quellnetzwerk für Cloud Fetch-Clients zwei private Endpunkte, die zwei verschiedene Werte für Zielunterressource verwenden: dfs und blob. Ausführliche Schritte finden Sie unter Schritt 1: Erstellen privater Endpunkte für das Speicherkonto . Achten Sie beim Erstellen des privaten Endpunkts im Feld Virtuelles Netzwerk darauf, dass Sie für jeden Cloud Fetch-Client Ihr Quell-VNet angeben.
Schritt 3: Bestätigen der Endpunktgenehmigungen
Nachdem Sie alle privaten Endpunkte für das Speicherkonto erstellt haben, überprüfen Sie, ob sie genehmigt wurden. Möglicherweise werden sie automatisch genehmigt, oder Sie müssen sie für das Speicherkonto genehmigen.
- Wechseln Sie zum Arbeitsbereich im Azure-Portal.
- Klicken Sie unter Essentials auf den Namen der Verwalteten Ressourcengruppe.
- Klicken Sie unter Ressourcen auf die Ressource vom Typ Speicherkonto, deren Name mit
dbstoragebeginnt. - Klicken Sie auf der Seitenleiste auf Netzwerk.
- Klicken Sie auf Verbindungen mit privatem Endpunkt.
- Vergewissern Sie sich, dass unter Verbindungsstatus der Wert Genehmigt angegeben ist, oder wählen Sie sie aus, und klicken Sie auf Genehmigen.
Verbindungen von serverlosem Computing
Hinweis
Azure Databricks integriert alle vorhandenen Arbeitsbereichsspeicherkonten, die Firewalls aktiviert haben, in einen Netzwerksicherheitsperimeter, der das AzureDatabricksServerless-Dienst-Tag zulässt. Dieses Onboarding wird voraussichtlich bis Ende 2026 abgeschlossen sein.
Wenn Sie die Firewallunterstützung aktivieren, integriert Azure Databricks automatisch das Arbeitsbereichsspeicherkonto in einen Netzwerk-Sicherheitsperimeter, der das AzureDatabricksServerless-Dienst-Tag zulässt. Diese Funktion ermöglicht es Azure Databricks serverlose Compute-Dienste über Serviceendpunkte zu verbinden. Wenn Sie stattdessen eine Verbindung über private Endpunkte herstellen möchten, wenden Sie sich an Ihr Azure Databricks Kontoteam.
Wenn Sie Ihren eigenen Netzwerksicherheitsperimeter verwalten möchten, können Sie den Azure Databricks bereitgestellten Netzwerksicherheitsperimeter trennen und einen eigenen anfügen. Die Switchover bewirkt eine kurze Pause im Dienst. Bereiten Sie ihren Ersatznetzwerksicherheitsperimeter im Voraus vor, und planen Sie ein Wartungsfenster.
Enable Storage Firewall-Unterstützung mithilfe des Azure CLI
Um die Firewall-Unterstützung mit Hilfe des Zugriffsconnectors und einer systemzugewiesenen Identität zu aktivieren, führen Sie in Cloud Shell Folgendes aus:
az databricks workspace update \ --resource-group "<resource-group-name>" \ --name "<workspace-name>" \ --subscription "<subscription-id>" \ --default-storage-firewall "Enabled" \ --access-connector "{\"id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>\", \"identity-type\":\"SystemAssigned\"}"Um die Firewallunterstützung mithilfe des Zugriffsconnectors mit einer vom Benutzer zugewiesenen Identität zu aktivieren, führen Sie in Cloud Shell folgenden Befehl aus:
az databricks workspace update \ --resource-group "<resource-group-name>" \ --name "<workspace-name>" \ --subscription "<subscription-id>" \ --default-storage-firewall "Enabled" \ --access-connector "{\"id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>\", \"identity-type\":\"UserAssigned\", \"user-assigned-identity-id\":\"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>\"}"Um die Firewallunterstützung mithilfe des Zugriffsconnectors zu deaktivieren, führen Sie in Cloud Shell Folgendes aus:
az databricks workspace update \ --name "<workspace-name>" \ --subscription "<subscription-id>" \ --resource-group "<resource-group-name>" \ --default-storage-firewall "Disabled"
Aktivieren der Unterstützung der Speicherfirewall mithilfe von PowerShell
So aktivieren Sie die Firewallunterstützung mit einem vom System zugewiesenen Zugriffskonnektor: Führen Sie in Cloud Shell Folgendes aus:
Update-AzDatabricksWorkspace ` -Name "<workspace-name>" ` -ResourceGroupName "<resource-group-name>" ` -SubscriptionId "<subscription-ID>" ` -Sku "Premium" ` -AccessConnectorId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>" ` -AccessConnectorIdentityType "SystemAssigned" ` -DefaultStorageFirewall "Enabled"Um die Firewallunterstützung mithilfe des Zugriffsconnectors mit einer vom Benutzer zugewiesenen Identität zu aktivieren, führen Sie in Cloud Shell folgenden Befehl aus:
Update-AzDatabricksWorkspace ` -Name "<workspace-name>" ` -ResourceGroupName "<resource-group-name>" ` -SubscriptionId "<subscription-ID>" ` -Sku "Premium" ` -AccessConnectorId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/accessConnectors/<access-connector-name>" ` -AccessConnectorIdentityType "UserAssigned" ` -AccessConnectorUserAssignedIdentityId "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>" ` -DefaultStorageFirewall "Enabled"Um die Firewallunterstützung mithilfe des Zugriffsconnectors zu deaktivieren, führen Sie in Cloud Shell Folgendes aus:
Update-AzDatabricksWorkspace ` -Name "<workspace-name>" ` -ResourceGroupName "<resource-group-name>" ` -SubscriptionId "<subscription-ID>" ` -DefaultStorageFirewall "Disabled"