Configurare la connettività privata alle risorse nella rete virtuale

Questa pagina illustra come usare la console dell'account Azure Databricks per configurare le connessioni collegamento privato dal calcolo serverless alle risorse nella rete virtuale tramite un servizio di bilanciamento del carico Azure.

La configurazione della connettività privata per l'ambiente di calcolo serverless offre:

• Una connessione dedicata e privata: L'endpoint privato è associato esclusivamente all'account Azure Databricks, assicurando che l'accesso alle risorse della rete VNet sia limitato solo alle aree di lavoro autorizzate. In questo modo viene creato un canale di comunicazione sicuro e dedicato.
• Mitigazione avanzata dell'esfiltrazione dei dati: Sebbene Azure Databricks Serverless con Unity Catalog offra una protezione dei dati contro l'esfiltrazione incorporata, collegamento privato offre un ulteriore livello di difesa della rete. Inserendo le risorse della rete virtuale in una subnet privata e controllando l'accesso tramite endpoint privati dedicati, si riduce significativamente il rischio di spostamento di dati non autorizzati all'esterno dell'ambiente di rete controllato.

Requisiti

• L'account e l'area di lavoro devono essere nel piano Premium.
• Si è l'amministratore dell'account Azure Databricks.
• È disponibile almeno un'area di lavoro che usa il calcolo serverless. Per le aree supportate, vedere Disponibilità serverless.
• Il bilanciatore di carico ha una rete virtuale e una subnet, e la tua risorsa si trova in questa subnet.
• Ogni account Azure Databricks può avere fino a 10 NCC per regione.
• Ogni regione può avere 100 endpoint privati, distribuiti in base alle esigenze tra 1 e 10 NCC.
• Ogni NCC può essere collegato a un massimo di 50 aree di lavoro.
• Ogni regola dell'endpoint privato per la connettività privata alle risorse nella rete virtuale supporta fino a 10 nomi di dominio.
• L'inseguimento DNS e il reindirizzamento DNS non sono supportati. Tutti i nomi di dominio devono essere risolti direttamente nelle risorse back-end.

Passaggio 1: Creare un servizio di bilanciamento del carico Azure

Creare un Azure Load Balancer che funge da front-end per le risorse della rete virtuale. Questo servizio di bilanciamento del carico è collegato al servizio collegamento privato.

Per creare un servizio di bilanciamento del carico, seguire le istruzioni riportate in Quickstart: Creare un servizio di bilanciamento del carico interno per bilanciare il carico delle macchine virtuali usando il portale di Azure. Completare le operazioni seguenti:

1. Creare una risorsa di bilanciamento del carico.
2. Aggiungi una configurazione IP front-end: Questo è il punto di ingresso per il servizio collegamento privato.
3. Aggiungere un pool back-end: Questo pool contiene gli indirizzi IP delle risorse della rete virtuale.
4. Creare una sonda di verifica dello stato: Configurare una sonda di verifica dello stato per monitorare la disponibilità delle risorse backend.
5. Aggiungere regole di bilanciamento del carico: Definire le regole per distribuire il traffico in ingresso al pool back-end.

Passaggio 2: Creare un servizio collegamento privato

È necessario creare un servizio di collegamento privato per esporre in modo sicuro il servizio di bilanciamento del carico all'endpoint privato. Verificare che il servizio di collegamento privato sia stato creato nella stessa area del bilanciamento del carico.

Per istruzioni, vedere la documentazione Azure: Creare un servizio collegamento privato usando il portale di Azure.

Passaggio 3: Creare o usare un oggetto NCC (Network Connectivity Configurations) esistente

L'oggetto NCC in Azure Databricks definisce le impostazioni di connettività privata per le aree di lavoro. Ignorare questo passaggio se esiste già un NCC. Per creare un oggetto NCC:

1. In qualità di amministratore dell'account, vai alla console dell'account.
2. Nella barra laterale fare clic su Sicurezza.
3. Fare clic su Configurazioni di connettività di rete.
4. Fare clic su Aggiungi configurazione di rete.
5. Immettere un nome per il NCC.
6. Seleziona l'area. Deve corrispondere alla regione dell'area di lavoro.
7. Fare clic su Aggiungi.

Passaggio 4: Creare un endpoint privato

Questo passaggio collega il servizio collegamento privato al Azure Databricks NCC. Per creare un endpoint privato:

1. Nella console dell'account fare clic su Sicurezza.
2. Fare clic su Configurazioni di connettività di rete.
3. Selezionare l'oggetto NCC creato nel passaggio 3.
4. Nella scheda Regole degli endpoint privati clicca su Aggiungi regola endpoint privato.
5. Nel campo ID risorsa di Azure incollare l'ID risorsa completo del servizio di collegamento privato. Trovare questo ID nel portale di Azure nella pagina Overview del servizio collegamento privato. ID di esempio: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
6. Nel campo Nomi di dominio aggiungere i nomi di dominio personalizzati usati dalle risorse della rete virtuale. Questi nomi di dominio devono essere mappati alle configurazioni IP nel pool back-end del servizio di bilanciamento del carico.
7. Fare clic su Aggiungi.
8. Verificare che la colonna Stato per la regola dell'endpoint privato appena aggiunta sia PENDING.

Passaggio 5: Accettare l'endpoint privato nella risorsa

Dopo aver creato la regola dell'endpoint privato in Databricks, è necessario approvare la richiesta di connessione nel portale di Azure. Per approvare la connessione:

1. ** Accedere a collegamento privato center dal portale di Azure.
2. Selezionare collegamento privato services.
3. Trovare e selezionare il servizio di collegamento privato associato al servizio di bilanciamento del carico.
4. Nella barra laterale sinistra in Impostazioni, selezionare Connessioni endpoint privati.
5. Selezionare l'endpoint privato in sospeso.
6. Fare clic su Approva per accettare la connessione.
7. Quando richiesto, selezionare Sì.
8. Dopo l'approvazione, lo stato della connessione diventa Approvato.

Per stabilire completamente la connessione possono essere necessari dieci minuti.

Passaggio 6: Confermare lo stato dell'endpoint privato

Verificare che la connessione all'endpoint privato sia stata stabilita correttamente dal lato Azure Databricks. Per confermare la connessione:

1. Aggiornare la pagina Configurazioni di connettività di rete nella console dell'account Azure Databricks.
2. Nella scheda Regole endpoint privato verificare che la colonna Stato per il nuovo endpoint privato sia ESTABLISHED.

Passaggio 7: Collegare il NCC a una o più aree di lavoro

Questo passaggio associa la connettività privata configurata alle aree di lavoro Azure Databricks. Ignorare questo passaggio se l'area di lavoro è già collegata al NCC desiderato. Per collegare il NCC a un'area di lavoro:

1. Passare a Aree di lavoro nel riquadro di spostamento a sinistra.
2. Selezionare un'area di lavoro esistente.
3. Selezionare Aggiorna area di lavoro.
4. In Configurazioni di connettività di rete selezionare l'elenco a discesa e scegliere il NCC creato.
5. Ripetere per tutte le aree di lavoro a cui applicare questo NCC.

Passaggi successivi

• Configurare la connettività privata alle risorse Azure: usare collegamento privato per stabilire l'accesso sicuro e isolato ai servizi Azure dalla rete virtuale, ignorando la rete Internet pubblica. Vedere Configurare la connettività privata alle risorse Azure.
• Gestisci le regole degli endpoint privati: controllare il traffico di rete da e verso gli endpoint privati Azure definendo regole specifiche che consentono o negano le connessioni. Consulta Gestione delle regole dell'endpoint privato.
• Configurare un firewall per l'accesso alle risorse di calcolo serverless: implementare un firewall per limitare e proteggere le connessioni di rete in ingresso e in uscita per gli ambienti di calcolo serverless. Vedere Configurare un firewall per l'accesso di calcolo serverless (legacy).
• Informazioni sui costi di trasferimento e connettività dei dati: il trasferimento e la connettività dei dati fanno riferimento allo spostamento di dati all'interno e all'esterno degli ambienti serverless di Azure Databricks. I costi di rete per i prodotti serverless si applicano solo ai clienti che usano Azure Databricks calcolo serverless. Vedere Informazioni sui costi di rete serverless di Databricks.