Condividi tramite

Configurare la connettività privata per le risorse di Azure

Questo articolo descrive come configurare la connettività privata di calcolo serverless utilizzando l'interfaccia utente della console dell'account Azure Databricks. È anche possibile usare l'API configurazioni di connettività di rete.

Se si configura la risorsa Azure in modo che accetti solo le connessioni da endpoint privati, qualsiasi connessione alla risorsa dalle risorse di calcolo di Databricks classiche deve usare anche endpoint privati.

Per configurare un firewall di Archiviazione di Azure per l'accesso al calcolo serverless utilizzando le subnet, vedere Configurare un firewall per l'accesso al calcolo serverless (legacy). Per gestire le regole degli endpoint privati esistenti, vedere Gestire le regole dell'endpoint privato.

Nota

Azure Databricks addebita i costi di rete quando i carichi di lavoro serverless si connettono alle risorse dei clienti. Vedere Informazioni sui costi di rete serverless di Databricks.

Panoramica della connettività privata per il calcolo serverless

La connettività di rete serverless viene gestita con le configurazioni di connettività di rete (NCC). Gli amministratori dell'account creano i NCC nella console dell'amministrazione e un NCC può essere associato a una o più aree di lavoro.

Quando si aggiunge un endpoint privato in un NCC, Azure Databricks crea una richiesta di endpoint privato alla risorsa Azure. Dopo aver accettato la richiesta sul lato risorsa, l'endpoint privato viene usato per accedere alle risorse dal piano di calcolo serverless. L'endpoint privato è dedicato all'account Azure Databricks e accessibile solo dalle aree di lavoro autorizzate.

Gli endpoint privati NCC sono supportati da sql warehouse, processi, notebook, pipeline dichiarative di Lakeflow Spark e endpoint di gestione dei modelli.

Nota

  • Gli endpoint privati NCC sono supportati per le origini dati che gestisci e per l'account di archiviazione dell'area di lavoro. Per informazioni dettagliate sulla configurazione degli endpoint privati per l'account di archiviazione dell'area di lavoro, vedere Abilitare il supporto del firewall per l'account di archiviazione dell'area di lavoro.

  • L'erogazione del modello utilizza il percorso di Archiviazione BLOB di Azure per scaricare gli artefatti del modello, quindi crea un endpoint privato per il BLOB con ID della sottorisorsa. Avrai bisogno di DFS per registrare i modelli in Unity Catalog dai notebook senza server.

Per altre informazioni sui controller di rete, vedere Che cos'è una configurazione della connessione di rete(NCC)?.

Requisiti

  • L'account e l'area di lavoro devono essere nel piano Premium.
  • È necessario essere un amministratore dell'account Azure Databricks.
  • Ogni account Azure Databricks può avere fino a 10 NCC per regione.
  • Ogni regione può avere 100 endpoint privati, distribuiti in base alle esigenze tra 1 e 10 NCC.
  • Ogni NCC può essere collegato a un massimo di 50 aree di lavoro.

Passaggio 1: Creare una configurazione di connettività di rete

Databricks consiglia di condividere un NCC tra aree di lavoro all'interno della stessa business unit e di quelle che condividono le stesse proprietà di connettività dell'area. Ad esempio, se alcune aree di lavoro usano collegamento privato e altre aree di lavoro usano firewall enablement, usare controller di rete separati per tali casi d'uso.

  1. In qualità di amministratore dell'account, passare alla console dell'account.
  2. Nella barra laterale fare clic su Sicurezza.
  3. Fare clic su Configurazioni di connettività di rete.
  4. Fare clic su Aggiungi configurazione di rete.
  5. Inserisci un nome per il NCC.
  6. Seleziona l'area. Deve corrispondere alla regione dell'area di lavoro.
  7. Fare clic su Aggiungi.

Passaggio 2: Collegare un NCC a un'area di lavoro

  1. Nella barra laterale della console dell'account fare clic su Aree di lavoro.
  2. Fare clic sul nome dell'area di lavoro.
  3. Fare clic su Aggiorna area di lavoro.
  4. Nel campo Configurazioni di connettività di rete selezionare il NCC. Se non è visibile, verificare di aver selezionato la stessa area Azure sia per l'area di lavoro che per il NCC.
  5. Clicca su Aggiorna.
  6. Attendere 10 minuti affinché le modifiche abbiano effetto.
  7. Riavviare tutti i servizi serverless in esecuzione nell'area di lavoro.

Passaggio 3: Creare regole di endpoint privato

È necessario creare una regola dell'endpoint privato nel NCC per ogni risorsa Azure.

  1. Ottieni un elenco di ID delle risorse di Azure per tutte le tue destinazioni.
    1. In un'altra scheda del browser, usare il portale di Azure e passare ai servizi Azure della tua origine dati.
    2. Nella pagina Panoramica, cerca nella sezione Informazioni di base.
    3. Fare clic sul link Visualizzazione JSON. L'ID risorsa per il servizio è mostrato nella parte superiore della pagina.
    4. Copia l'ID risorsa in un'altra posizione. Ripetere per tutte le destinazioni. Per ulteriori informazioni sulla ricerca dell'ID risorsa, vedere valori della zona DNS privata di Azure Private Endpoint.
  2. Torna alla scheda del browser della console per l'account.
  3. Nella barra laterale fare clic su Sicurezza.
  4. Fare clic su Configurazioni di connettività di rete.
  5. Selezionare il NCC creato nel passaggio 1.
  6. In Regole degli endpoint privati, fare clic su Aggiungi regola endpoint privato.
  7. Nel campo ID risorsa di destinazione di Azure, incollare l'ID della risorsa per la risorsa.
  8. Nel campo Azure ID di sottorisorsa specificare l'ID di destinazione e il tipo di sottorisorsa. Ogni regola dell'endpoint privato deve usare un ID di sottorisorsa diverso. Per un elenco dei tipi di sottorisorsa supportati, vedere Risorse supportate.
  9. Fare clic su Aggiungi.
  10. Attendere alcuni minuti finché tutte le regole dell'endpoint hanno lo stato PENDING.

Passaggio 4: Approva i nuovi endpoint privati per le risorse

Gli endpoint non diventano effettivi finché un amministratore con diritti per la risorsa non approva il nuovo endpoint privato. Per approvare un endpoint privato usando il portale di Azure, eseguire le operazioni seguenti:

  1. Nel portale di Azure, vai alla tua risorsa.

  2. Nella barra laterale fare clic su Rete.

  3. Fare clic su Connessioni endpoint privati.

  4. Fare clic sulla scheda Accesso privato.

  5. In base a le connessioni degli endpoint privati, controllare l'elenco degli endpoint privati.

  6. Fare clic sulla casella di controllo accanto a ogni elemento da approvare, quindi fare clic sul pulsante Approva sopra l'elenco.

  7. Torna al NCC in Azure Databricks e aggiorna la pagina del browser finché tutte le regole dell'endpoint non hanno lo stato ESTABLISHED.

    elenco di endpoint privati

(Facoltativo) Passaggio 5: Impostare le risorse per impedire l'accesso alla rete pubblica

Se non è già stato limitato l'accesso alle risorse solo alle reti consentite, è possibile scegliere di eseguire questa operazione.

  1. Passare al portale di Azure.
  2. Accedi al tuo account di archiviazione per la sorgente dati.
  3. Nella barra laterale fare clic su Rete.
  4. Controllare il valore nel campo Accesso alla rete pubblica. Per impostazione predefinita, il valore è Abilitato da tutte le reti. Impostare questa opzione su Disabilitato

Configurare Collegamento Privato per app Azure Gateway v2

Se configuri un collegamento privato per una risorsa di app Azurelication Gateway v2, devi utilizzare l'API REST Configurazioni di connettività di rete anziché l'interfaccia utente della console dell'account. app Azure Gateway v2 richiede parametri di configurazione aggiuntivi, ad esempio ID risorsa, ID gruppo e nomi di dominio.

  1. Usare la seguente chiamata API per creare una regola dell'endpoint privato con la configurazione del nome di dominio: 
    curl --location 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <TOKEN>' \
--data '{
   "domain_names": [
      "<YOUR_DOMAIN_HERE>"
   ],
   "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>",
   "group_id": "<GROUP_ID>"
}'
  2. Se è necessario modificare i nomi di dominio per una regola dell'endpoint privato esistente, utilizzare la seguente richiesta PATCH. 
    curl --location --request PATCH 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <TOKEN>' \
--data '{
   "domain_names": [
      "<YOUR_DOMAIN_HERE>"
   ]
}'
  3. Per elencare, visualizzare o eliminare le regole dell'endpoint privato del gateway app, usare le operazioni API di configurazione della connettività di rete standard documentate nell'API configurazioni di connettività di rete.

Passaggio 7: Riavviare le risorse del piano di calcolo serverless e testare la connessione

  1. Dopo il passaggio precedente, attendere cinque minuti aggiuntivi per la propagazione delle modifiche.
  2. Riavviare eventuali risorse del piano di calcolo serverless in esecuzione negli spazi di lavoro a cui è collegato il vostro NCC. Se non hai ancora risorse nel piano di calcolo serverless in esecuzione, comincia ad avviarne una ora.
  3. Verificare che tutte le risorse siano state avviate correttamente.
  4. Esegui almeno una query sulla tua origine dati per confermare che il serverless SQL Warehouse possa raggiungere l'origine dati.

Passaggi successivi

  • Last updated on