Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Se l'area di lavoro Azure Databricks è distribuita nella propria rete virtuale (VNet), è possibile utilizzare route personalizzate, note anche come route definite dall'utente (UDR), per garantire che il traffico di rete sia indirizzato correttamente in relazione all'area di lavoro. Ad esempio, se si connetta la rete virtuale alla rete locale, il traffico potrebbe essere instradato attraverso la rete locale e potrebbe non riuscire a raggiungere il piano di controllo di Azure Databricks. Per risolvere il problema, usare route definite dall'utente.
È necessaria una route definita dall'utente per ogni tipo di connessione in uscita dalla rete virtuale. È possibile usare sia i tag del servizio Azure che gli indirizzi IP per definire i controlli di accesso alla rete nelle route definite dall'utente. Databricks consiglia di usare i tag del servizio Azure per evitare interruzioni del servizio a causa di modifiche IP.
Configurare le route definite dall'utente con tag di servizio Azure
Databricks consiglia di usare tag del servizio Azure, che rappresentano un gruppo di prefissi di indirizzi IP da un determinato servizio Azure. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag del servizio man mano che cambiano gli indirizzi. Ciò consente di evitare interruzioni del servizio a causa di modifiche IP e rimuove la necessità di cercare periodicamente questi INDIRIZZI IP e aggiornarli nella tabella di route. Tuttavia, se i criteri dell'organizzazione non consentono tag di servizio, è possibile specificare facoltativamente le route come indirizzi IP.
Usando i tag di servizio, le route definite dall'utente devono usare le regole seguenti e associare la tabella di route alle subnet pubbliche e private della rete virtuale.
| Origine | Prefisso indirizzo | Tipo hop successivo |
|---|---|---|
| Predefinito | AzureDatabricks |
Internet |
| Predefinito | Storage |
Internet |
| Predefinito | EventHub |
Internet |
Nota
È possibile scegliere di aggiungere il tag del servizio Microsoft Entra ID per facilitare l'autenticazione Microsoft Entra ID dai cluster Azure Databricks alle risorse di Azure.
Se collegamento privato di Azure è abilitato nell'area di lavoro, il tag del servizio Azure Databricks non è obbligatorio.
Il tag del servizio Azure Databricks rappresenta gli indirizzi IP per le connessioni in uscita necessarie al piano di controllo Azure Databricks, la connettività del cluster secure cluster connectivity (SCC) e l'applicazione Web Azure Databricks. È anche necessario aprire la porta 3306 per il traffico in uscita nel gruppo di sicurezza di rete per consentire la connettività al metastore Hive legacy.
Il tag del servizio Archiviazione di Azure rappresenta gli indirizzi IP per l'archiviazione BLOB dell'artefatto e l'archiviazione BLOB di log. Il tag del servizio Hub eventi di Azure rappresenta le connessioni in uscita necessarie per la registrazione a Azure Hub eventi.
Alcuni tag di servizio consentono un controllo più granulare limitando gli intervalli IP a un'area specificata. Ad esempio, una tabella di route per un'area di lavoro Azure Databricks nelle aree Stati Uniti occidentali potrebbe essere simile alla seguente:
| Nome | Prefisso indirizzo | Tipo hop successivo |
|---|---|---|
| adb-servicetag | AzureDatabricks | Internet |
| adb-storage | Storage.WestUS | Internet |
| adb-eventhub | EventHub.WestUS | Internet |
Importante
Se si usano tag di servizio con ambito di area, si noti che alcuni endpoint di area possono risiedere in un'area Azure diversa rispetto all'endpoint di archiviazione primario. Ad esempio, uno spazio di lavoro nel Giappone orientale ha il suo archivio secondario di artefatti nel Giappone occidentale. In questo caso, è necessario aggiungere anche un tag di servizio per l'area secondaria. Per esaminare i FQDN per l'area di lavoro, vedere Metastore, archivio BLOB artefatto, archiviazione tabelle di sistema, archiviazione BLOB di log e indirizzi IP degli endpoint di Event Hubs.
Per ottenere i tag di servizio necessari per le route definite dall'utente, consultare i tag di servizio della rete virtuale .
Configurare route definite dall'utente con indirizzi IP
Databricks consiglia di usare tag di servizio Azure, ma se i criteri dell'organizzazione non consentono tag di servizio, è possibile usare gli indirizzi IP per definire i controlli di accesso alla rete nelle route definite dall'utente.
I dettagli variano a seconda che la connettività sicura del cluster (SCC) sia abilitata per l'area di lavoro:
- Se la connettività sicura del cluster è abilitata per l'area di lavoro, è necessaria una UDR (User Defined Route) per consentire ai cluster di connettersi al relè di connettività sicura del cluster nel piano di controllo. Assicurarsi di includere i sistemi contrassegnati come SCC relay IP per l'area.
- Se la connettività sicura del cluster è disabilitata per l'area di lavoro, è presente una connessione in ingresso dal NAT del Piano di controllo, ma il TCP SYN-ACK di basso livello per tale connessione è tecnicamente un dato in uscita che richiede un UDR. Assicurati di includere i sistemi contrassegnati come IP NAT del piano di controllo per la tua area.
Le route definite dall'utente devono usare le regole seguenti e associare la tabella di route alle subnet pubbliche e private della rete virtuale.
| Origine | Prefisso indirizzo | Tipo hop successivo |
|---|---|---|
| Predefinito | IP NAT del piano di controllo (se SCC è disabilitato) | Internet |
| Predefinito | IP del relay SCC (se SCC è abilitato) | Internet |
| Predefinito | IP dell'applicazione web | Internet |
| Predefinito | Indirizzo IP del Metastore | Internet |
| Predefinito | IP di archiviazione Blob di artefatti | Internet |
| Predefinito | IP di archiviazione BLOB del log | Internet |
| Predefinito | IP di archiviazione dell'area di lavoro - endpoint gestione rete virtuale di Azure | Internet |
| Predefinito | IP di archiviazione dell'area di lavoro - Endpoint ADLS (dfs) |
Internet |
| Predefinito | IP di Event Hubs | Internet |
Se collegamento privato di Azure è abilitato nell'area di lavoro, le route definite dall'utente devono usare le regole seguenti e associare la tabella di route alle subnet pubbliche e private della rete virtuale.
| Origine | Prefisso indirizzo | Tipo hop successivo |
|---|---|---|
| Predefinito | Indirizzo IP del Metastore | Internet |
| Predefinito | IP di archiviazione Blob di artefatti | Internet |
| Predefinito | IP di archiviazione BLOB del log | Internet |
| Predefinito | IP di Event Hubs | Internet |
Per ottenere gli indirizzi IP necessari per le route definite dall'utente, usare le tabelle e le istruzioni in Azure Databricks aree, in particolare: