Povolení privátního propojení ve službě Azure jako zjednodušeného nasazení

Tento článek vysvětluje, jak pomocí služby Azure Private Link povolit privátní připojení mezi uživateli a jejich pracovními prostory Databricks a také mezi clustery v klasické výpočetní rovině a základními službami v řídicí rovině v infrastruktuře pracovního prostoru Databricks.

Poznámka:

• Požadavky a přehled služby Private Link najdete v tématu Povolení back-endu a front-endu služby Azure Private Link connections.
• Existují dva typy nasazení: standardní a zjednodušené. Tento článek popisuje zjednodušené nasazení. Porovnání těchto typů nasazení najdete v tématu Volba standardního nebo zjednodušeného nasazení.

Úvod do front-endu connections ve standardním nasazení

Pokud chcete podporovat privátní front-endové connections pro webovou aplikaci Azure Databricks pro klienty bez veřejného připojení k internetu, musíte do této aplikace přidat privátní koncový bod ověřování prohlížeče, který umožní zpětné volání přihlášení pomocí jednotného přihlašování (SSO). Uživatelé connections obvykle procházejí sítí VNet, která spravuje connections k místním sítím a sítím VPN, nazývaná tranzitní VNet. Pro zjednodušený styl nasazení integrace Azure Private Linku do Databricks však místo tranzitní virtuální sítě použijete tranzitní podsíť.

Privátní koncový bod ověřování prohlížeče je privátní připojení s typem browser_authenticationdílčího prostředku . Hostuje privátní připojení z tranzitní podsítě, která umožňuje id Microsoft Entra přesměrovat uživatele po přihlášení ke správné instanci řídicí roviny Azure Databricks.

• Pokud plánujete povolit connections ze sítě pro průchod uživatelem do veřejného internetu, přidání privátního koncového bodu ověřování webového prohlížeče se , ale nevyžaduje se.
• Pokud plánujete zakázat connections z tranzitní sítě klienta do veřejného internetu, je potřeba přidat privátní koncový bod ověřování webového prohlížeče.

Privátní koncový bod ověřování prohlížeče se sdílí mezi všemi pracovními prostory v oblasti, které sdílejí stejnou privátní zónu DNS. Všimněte si také, že některá podniková řešení DNS efektivně limit pro ověřování v prohlížeči do jednoho regionálního privátního koncového bodu.

Důležité

Pokud chcete hostovat nastavení privátní sítě ověřování webu, Databricks důrazně doporučuje vytvořit pracovní prostor označovaný jako pracovní prostor privátního webového ověřování pro každou oblast. Tím se vyřeší problém odstranění pracovního prostoru, který může mít vliv na jiné pracovní prostory v dané oblasti. Další kontext a podrobnosti najdete v kroku 4: Vytvoření privátního koncového bodu pro podporu jednotného přihlašování pro přístup k webovému prohlížeči.

Diagramy toku sítě a síťových objektů

Následující diagram znázorňuje tok sítě v typické implementaci zjednodušeného nasazení Služby Private Link:

Následující diagram znázorňuje architekturu síťového objektu:

Porovnání s standardním nasazením služby Private Link najdete v diagramech toku sítě a síťových objektů.

Krok 1: Vytvoření skupin prostředků

1. Na webu Azure Portal přejděte do okna skupiny prostředků.
2. Kliknutím na Vytvořit skupinu prostředků vytvořte skupinu prostředků pro váš pracovní prostor. Set předplatné Azure, oblast a název skupiny prostředků. Klikněte na Zkontrolovat a vytvořit a pak vytvořit.

Krok 2: Vytvoření nebo příprava virtuální sítě pracovního prostoru

Možná už máte virtuální síť, kterou budete používat, nebo můžete vytvořit novou virtuální síť speciálně pro Azure Databricks.

Požadavky na rozsahy IP adres virtuální sítě a dvě požadované podsítě pro pracovní prostor najdete v článku Nasazení Azure Databricks ve virtuální síti Azure (injektáž virtuální sítě).

Rozsahy IP adres virtuální sítě a podsítě, které používáte pro Azure Databricks, definují maximální počet uzlů clusteru, které můžete použít najednou. Tyto values pečlivě vyberte, aby odpovídaly síťovým požadavkům vaší organizace a maximálnímu počtu uzlů clusteru, které očekáváte v Azure Databricks najednou. Viz Adresní prostor a maximální počet uzlů clusteru.

Můžete například vytvořit virtuální síť s těmito values:

• Rozsah IP adres: Nejprve remove výchozí rozsah IP adres a pak přidejte rozsah IP adres 10.28.0.0/23.
• Vytvořte podsíť public-subnet s rozsahem 10.28.0.0/25.
• Vytvořte podsíť private-subnet s rozsahem 10.28.0.128/25.
• Vytvořte podsíť private-link s rozsahem 10.28.1.0/27. Ve zjednodušeném nasazení je to vaše tranzitní podsíť.

Krok 3: Zřízení pracovního prostoru Azure Databricks a privátních koncových bodů

Nasaďte nový pracovní prostor Azure Databricks s následujícím nastavením:

• Pro síť výpočetních prostředků nasaďte pracovní prostor Azure Databricks ve vlastní virtuální síti. Tato funkce se označuje jako Nasazení Azure Databricks ve vaší virtuální síti Azure (injektáž virtuální sítě).
• Zabezpečené připojení ke clusteru (označované také jako No-Public-IP/NPIP).
• Podpora služby Private Link

Pokud chcete nasadit pracovní prostor s těmito nastaveními, máte několik možností, včetně uživatelského rozhraní na webu Azure Portal, vlastní šablony (kterou můžete použít v uživatelském rozhraní, pomocí Azure CLI nebo PowerShellu) nebo Terraformu. Pokud chcete k vytvoření pracovního prostoru s povolenou službou Private Link použít vlastní šablonu, použijte tuto šablonu.

Bez ohledu na to, který přístup zvolíte, pečlivě set tyto tři values při vytváření nového pracovního prostoru:

• Přístup k veřejné síti (pro front-end Private Link) (v šabloně jako publicNetworkAccess): Řídí nastavení pro případ použití služby Private Link front-end.
  • Pokud to setEnabled (výchozí), uživatelé a klienti REST API na veřejném internetu mají přístup k Azure Databricks, i když můžete limit přístup ke konkrétním rozsahům IP adres ze schválených zdrojových sítí pomocí Konfigurace přístupových seznamů IP adres pro pracovní prostory.
  • Pokud set to Disabled, může to mít několik důsledků. Z veřejného internetu není povolený žádný uživatelský přístup. K připojení front-endu je možné přistupovat pouze pomocí připojení Private Link, a ne z veřejného internetu. Seznamy IP adres nejsou účinné na Private Link connections. U tohoto nastavení musíte také povolit back-end Private Link.
  • Pokud chcete použít pouze back-end Private Link (bez front-end Private Link), musíte set přístup k veřejné síti k Enabled.
• požadovaná pravidla NSG (pro back-end Private Link) (v šabloně jako requiredNsgRules): Možné values:
  • Všechna pravidla (výchozí): Tato hodnota je v šabloně jako AllRules. To znamená, že výpočetní rovina pracovního prostoru potřebuje skupinu zabezpečení sítě, která zahrnuje pravidla Azure Databricks, která umožňují connections na veřejném internetu z výpočetní roviny do řídicí roviny. Pokud nepoužíváte back-endovou službu Private Link, použijte toto nastavení.
  • Žádná pravidla Azure Databricks: Tato hodnota je v šabloně: NoAzureDatabricksRulesTuto hodnotu použijte, pokud používáte back-end Private Link, což znamená, že výpočetní rovina pracovního prostoru nepotřebuje pravidla skupiny zabezpečení sítě pro připojení k řídicí rovině Azure Databricks. Pokud používáte back-end Private Link, použijte toto nastavení.
• Povolení zabezpečeného připojení clusteru (bez veřejné IP adresy nebo NPIP) (v šabloně jako enableNoPublicIp): Vždy set na Ano (true), což umožňuje zabezpečené připojení clusteru.

Kombinace nastavení veřejného síťového přístupu (v šabloně publicNetworkAccess) a požadovaných pravidel NSG (v šabloně) requiredNsgRulesdefinují, jaké typy služby Private Link se podporují.

Následující table ukazuje podporované scénáře pro dva hlavní případy použití služby Private Link, které jsou front-end a back-end. Tato table se vztahuje pouze na zjednodušené nasazení služby Private Link. Některé další scénáře jsou k dispozici se standardním nasazením služby Private Link.

Scénář	Set přístup k této hodnotě přes veřejnou síť	Set Požadovaná pravidla NSG pro tuto hodnotu	Vytvoření těchto koncových bodů
Žádný Private Link pro front-end nebo back-end	Povoleno	Všechna pravidla	Není k dispozici
Doporučená konfigurace: Front-end i back-end Private Link. Front-endové připojení je uzamčené, aby vyžadovalo službu Private Link.	Zakázáno	NoAzureDatabricksRules	Jeden privátní koncový bod, který se používá pro připojení back-endu i front-endu. Kromě toho jeden privátní koncový bod ověřování prohlížeče pro každou oblast.
Front-end i back-end Private Link. Hybridní připojení front-endu umožňuje službu Private Link nebo veřejný internet, obvykle pomocí konfigurace přístupových seznamů IP adres pro pracovní prostory. Tento hybridní přístup použijte, pokud používáte Private Link pro místní přístup uživatelů, ale potřebujete povolit konkrétní rozsahy CIDR internetu. Další rozsahy se můžou používat pro služby Azure, jako jsou SCIM nebo Azure Machine Learning, nebo k poskytování externího přístupu pro nástroje pro správu JDBC, cloudovou automatizaci nebo nástroje pro správu.	Povoleno	NoAzureDatabricksRules	Jeden privátní koncový bod pro připojení back-endu i front-endu. Kromě toho jeden privátní koncový bod ověřování prohlížeče pro každou oblast.
Front-end pouze Private Link. Připojení front-endu je uzamčené, aby vyžadovalo privátní propojení (přístup k veřejné síti je zakázaný). Žádný Private Link pro back-end.	Jedná se o nepodporovaný scénář.	Jedná se o nepodporovaný scénář.	Jedná se o nepodporovaný scénář.
Front-end pouze Private Link. Hybridní připojení front-endu umožňuje privátní propojení nebo veřejný internet, třeba pomocí konfigurace přístupových seznamů IP adres pro pracovní prostory. Žádný Private Link pro back-end.	Povoleno	Všechna pravidla	Jeden koncový bod pro front-end (volitelné). Kromě toho jeden privátní koncový bod ověřování prohlížeče pro každou oblast.

Ve všech případech musíte set tato nastavení konfigurace pracovního prostoru:

• Set cenová úroveň Premium (v šabloně je tato hodnota premium)
• Set Zakázat veřejné IP adresy (zabezpečené připojení ke clusteru) Ano (v šabloně je tato hodnota true).
• Set Síť > Nasazení pracovního prostoru Azure Databricks ve vlastní virtuální síti (VNet) do Ano (v šabloně je tato hodnota true)

Poznámka:

Obecně platí, že při vytváření pracovního prostoru je potřeba povolit službu Private Link. Pokud ale máte existující pracovní prostor, který nikdy neměl front-endový nebo back-endový přístup služby Private Link, nebo pokud jste použili výchozí values pro přístup k veřejné síti (povoleno) a požadovaná pravidla NSG (všechna pravidla), můžete později přidat front-endový přístup Private Link. Přístup k veřejné síti ale zůstane povolený, takže vám budou k dispozici jenom některé možnosti konfigurace.

Pracovní prostor můžete vytvořit dvěma způsoby:

Vytvoření pracovního prostoru a privátních koncových bodů v uživatelském rozhraní webu Azure Portal

Azure Portal při vytváření nového pracovního prostoru Azure Databricks automaticky obsahuje dvě pole Private Link (přístup k veřejné síti a požadovaná pravidla NSG).

1. Vytvoření pracovního prostoru s vlastní virtuální sítí (injektáž virtuální sítě) Pokud chcete nakonfigurovat a změnit velikost podsítí, postupujte podle postupu pracovního prostoru nasazení Azure Databricks ve virtuální síti Azure (injektáž virtuální sítě), ale ještě nestiskněte vytvořit.

   Set následující pole:

   1. Set cenová úroveň od do premium, jinak se v uživatelském rozhraní nezobrazí pole Private Link.
   2. Set sítě > nasazení pracovního prostoru Azure Databricks s zabezpečeného připojení clusteru (bez veřejné IP adresy) (v šabloně jako Disable Public Ip) pro Ano.
   3. Set Sítě > Nasazení pracovního prostoru Azure Databricks ve vaší vlastní virtuální síti do Ano.
   4. Set podsítě podle virtuální sítě, kterou jste vytvořili v předchozím kroku. Podrobnosti najdete v článku o injektáži virtuální sítě.
   5. Set Pole pracovního prostoru Private Link Přístup k veřejné síti a Požadovaná pravidla NSG podle scénářů table ve kroku 3: Zřídit pracovního prostoru Azure Databricks a privátní koncové body.

   Následující snímek obrazovky ukazuje čtyři nejdůležitější pole pro připojení služby Private Link.

   

2. Vytvořte privátní koncový bod, který se použije pro připojení back-endu i front-endu:

   1. Pod poli zobrazenými na předchozím snímku obrazovky vyhledejte část Privátní koncové body . Pokud je nevidíte, pravděpodobně jste set cenovou úroveň Premium.

      

   2. Klikněte na + Přidat.

      Azure Portal zobrazuje okno Vytvořit privátní koncový bod v rámci pracovního prostoru pro vytvoření.

      

      Když v pracovním prostoru vytvoříte privátní koncový bod, některá pole Azure pro tento typ objektu se nezobrazují, protože se automaticky vyplní a nedají upravit. Některá pole jsou viditelná, ale není nutné je upravovat:

      • Pole dílčího prostředku Azure Databricks je viditelné a automaticky vyplněno hodnotou databricks_ui_api. Tato hodnota dílčího prostředku představuje aktuální řídicí rovinu Azure Databricks pro váš pracovní prostor. Tato hodnota názvu dílčího prostředku se používá pro privátní koncové body pro připojení back-endu i front-endu.

      • Po skupiny prostředků, virtuální sítě a podsítě se privátní zóny DNS automaticky naplní hodnotou, pokud místo vlastního DNS použijete předdefinovaný DNS vytvořený v Azure.

        Důležité

        Azure nemusí automaticky zvolit Privátní DNS zónu, kterou chcete použít. Zkontrolujte hodnotu pole Privátní DNS Zóna a podle potřeby ji upravte.

   3. Set umístění tak, aby odpovídalo oblasti vašeho pracovního prostoru. Všimněte si, že oblast privátního koncového bodu back-endu a oblast pracovního prostoru se musí shodovat, i když u privátního koncového bodu front-endu, jako je connections, se oblasti nemusí shodovat.

   4. Set virtuální síť k VNetu vašeho pracovního prostoru.

   5. Set podsíť do konkrétní podsítě služby Private Link ve vašem pracovním prostoru. Tato podsíť nesmí být ani jednu ze standardních podsítí používaných pro injektáž virtuální sítě. Související informace najdete v požadavcích na síť.

   6. Pro typické použití s integrovaným Azure DNS setIntegrace s privátní zónou DNSAno. Ve zbývajících těchto pokynech se předpokládá, že jste zvolili Ano.

      Pokud vaše organizace udržuje vlastní DNS, možná budete chtít setBez, ale než budete pokračovat, přečtěte si tomto článku o konfiguraci DNS. Pokud máte dotazy, obraťte se na svůj tým účtů Azure Databricks.

   7. Kliknutím na ok vytvořte privátní koncový bod a vraťte se do okna pro vytvoření pracovního prostoru.

   8. Chcete-li dokončit vytvoření pracovního prostoru, klepněte na tlačítko Zkontrolovat a vytvořit a potom vytvořit.

      Počkejte, až se pracovní prostor nasadí, a potom klikněte na Přejít k prostředku. Toto je objekt webu Azure Portal pro váš pracovní prostor Azure Databricks.

Vytvoření pracovního prostoru pomocí vlastní šablony

Pokud k vytvoření pracovního prostoru nechcete použít standardní uživatelské rozhraní webu Azure Portal, můžete k nasazení pracovního prostoru použít šablonu. Šablonu můžete použít s:

• Rozhraní webu Azure Portal
• Azure CLI
• Azure PowerShell
• Terraform

Šablona ARM nasazení all-in-one pro Private Link vytvoří následující prostředky:

• Skupiny zabezpečení sítě
• Skupiny prostředků
• Virtuální síť včetně podsítí pro pracovní prostor (standardní dvě podsítě) a Private Linku (další podsíť)
• Pracovní prostor Azure Databricks
• Koncový bod Private Linku s privátní zónou DNS

1. Šablonu můžete nasadit přímo z hlavní stránky šablony.

2. Pokud ho chcete nasadit přímo, klikněte na Nasadit v Azure. Pokud chcete zdroj zobrazit, klikněte na Procházet na GitHubu.

   V obou případech set následující parametr values šablony:

   • Set pricingTier na premium. Pokud toto necháte, standardazure Portal skryje konfigurační pole specifická pro Službu Private Link.
   • Set enableNoPublicIp na true
   • Set publicNetworkAccess a requiredNsgRules podle table v kroku 3: Zřízení pracovního prostoru Azure Databricks a privátních koncových bodů
   • Set networkSecurityGroup k ID pro vaši skupinu zabezpečení sítě pracovního prostoru.

3. Počkejte, až se pracovní prostor nasadí.

4. Přejděte k novému prostředku služby Azure Databricks, který představuje váš pracovní prostor. Toto je objekt webu Azure Portal pro váš pracovní prostor Azure Databricks.

Krok 4: Vytvoření privátního koncového bodu pro podporu jednotného přihlašování pro přístup k webovému prohlížeči

Důležité

Tento krok přeskočte, pokud neimplementujete front-end Private Link. Pokud také všechny pracovní prostory v oblasti podporují front-endovou služby Private Link a klientskou síť (podsíťtranzitu), konfigurace, kterou tento krok popisuje, je doporučeno, ale volitelné.

Ověřování uživatelů ve webové aplikaci Azure Databricks používá OAuth jako součást implementace jednotného přihlašování k ID Microsoft Entra. Během ověřování se prohlížeč uživatele připojí k řídicí rovině Azure Databricks. Tok OAuth navíc vyžaduje přesměrování zpětného volání sítě z ID Microsoft Entra. Pokud jste nakonfigurovali front-end Private Link, bez další konfigurace se přesměrování sítě přes jednotné přihlašování nezdaří. To znamená, že uživatelé by se nemohli ověřit v Azure Databricks. Tento problém platí pro přihlášení uživatele do uživatelského rozhraní webové aplikace přes připojení na straně front-endu, ale nevztahuje se na rozhraní REST API connections, protože ověřování rozhraní REST API nepoužívá zpětná volání jednotného přihlašování.

Pokud chcete podporovat ověřování webovým prohlížečem, pokud vaše klientská síť ( podsíť průchodu) zakáže přístup k veřejnému internetu, musíte vytvořit privátní koncový bod ověřování prohlížeče pro podporu zpětných volání ověřování jednotného přihlašování z Microsoft Entra ID. Privátní koncový bod ověřování prohlížeče je privátní koncový bod s názvem browser_authenticationdílčího prostředku . Vytvoření privátního koncového bodu ověřování prohlížeče způsobí, že Azure Databricks automaticky nakonfiguruje záznamy DNS pro zpětné volání z ID Microsoft Entra během přihlášení přes jednotné přihlašování. Změny DNS se ve výchozím nastavení provádějí v privátní zóně DNS, která je přidružená k virtuální síti pracovního prostoru.

Pro organizaci s více pracovními prostory je důležité si uvědomit, že správně nakonfigurovaná konfigurace sítě je přesně jeden privátní koncový bod ověřování prohlížeče pro každou oblast Azure Databricks pro každou privátní zónu DNS. Privátní koncový bod ověřování prohlížeče konfiguruje privátní webové ověřování pro všechny pracovní prostory služby Private Link v oblasti, které sdílejí stejnou zónu privátního DNS.

Pokud máte například 10 produkčních pracovních prostorů v oblasti USA – západ, které sdílejí stejnou privátní zónu DNS, budete mít jeden privátní koncový bod ověřování prohlížeče pro podporu těchto pracovních prostorů.

Důležité

• Pokud někdo odstraní pracovní prostor, který je hostitelem privátního koncového bodu ověřování prohlížeče pro danou oblast, naruší webové ověřování uživatelů pro všechny ostatní pracovní prostory v této oblasti, které závisely na privátním koncovém bodu ověřování prohlížeče a související konfiguraci DNS pro zpětné volání jednotného přihlašování.
• Databricks důrazně doporučuje, abyste pro každou oblast vytvořili pracovní prostor privátního webového ověřování, aby se snížila rizika při odstraňování pracovního prostoru pracovního prostoru a podporovala standardní konfiguraci pracovního prostoru pracovního prostoru pro produkční pracovní prostory.
• Pro neprodukční nasazení můžete implementaci zjednodušit vynecháním dalšího pracovního prostoru ověřování privátního webu. V takovém případě se váš koncový bod ověřování webu připojí k jednomu z vašich dalších pracovních prostorů v této oblasti.

Pracovní prostor privátního webového ověřování je pracovní prostor, který vytvoříte ve stejné oblasti jako pracovní prostory Azure Databricks, a jeho jediným účelem je hostování připojení privátního koncového bodu ověřování prohlížeče pro vaše skutečné produkční pracovní prostory Azure Databricks v této oblasti. Pracovní prostor privátního webového ověřování se ve všech ostatních způsobech nepoužívá, například ho nepoužívejte pro spouštění úloh nebo jiných úloh. Nepotřebuje žádná skutečná uživatelská data ani příchozí síťové připojení jiné než privátní koncový bod ověřování prohlížeče. Můžete ho nakonfigurovat tak, aby neměl přístup uživatele. Nastavením nastavení veřejného síťového přístupu na Zakázáno a nevytvoří žádné privátní koncové body front-endu do pracovního prostoru, uživatelé nemají přístup k přihlášení uživatele k pracovnímu prostoru.

Pokud chcete vizualizovat, jak pracovní prostor ověřování privátního webu funguje s dalšími objekty pro připojení private linku, podívejte se na diagram výše v tomto článku.

Pracovní prostor ověřování privátního webu funguje jako služba zpětného volání pro všechny pracovní prostory v oblasti pro jednotné přihlašování uživatele během přihlášení. Po přihlášení k běžným pracovním prostorům se pracovní prostor privátního webového ověřování nepoužívá až do dalšího přihlášení.

Bez ohledu na to, jestli se rozhodnete vytvořit pracovní prostor privátního ověřování webu, musíte zvolit jeden pracovní prostor v oblasti, která bude hostitelem cíle privátního koncového bodu ověřování prohlížeče. Na webu Azure Portal zvolte jeden objekt pracovního prostoru Azure Databricks, který obsahuje privátní koncový bod ověřování prohlížeče. V době běhu je skutečný síťový přístup z vaší tranzitní podsítě na ID Microsoft Entra. Po úspěšném přihlášení pomocí Microsoft Entra ID se webový prohlížeč uživatele přesměruje na správnou instanci řídicí roviny.

Tip

Databricks důrazně doporučuje konfiguraci pracovního prostoru privátního webového ověřování, pokud máte více pracovních prostorů, které sdílejí konfiguraci privátního DNS. Pracovní prostor privátního webového ověřování můžete vynechat pro některou z následujících podmínek:

• V oblasti máte jenom jeden pracovní prostor a jste si jistí, že později nebudete přidávat další.
• Jste si jistí, že nebudete muset odstranit žádný pracovní prostor.
• Neprodukční nasazení.

V každém z těchto případů vynecháte pracovní prostor privátního webového ověřování a místo toho zvolte jeden z vašich produkčních pracovních prostorů pro hostování privátního koncového bodu ověřování prohlížeče. Mějte však na paměti rizika, že případné odstranění tohoto pracovního prostoru okamžitě zabrání ověřování uživatelů pro jiné pracovní prostory v oblasti s podporou front-endu Private Linku.

Vytvoření privátního koncového bodu pro podporu jednotného přihlašování:

1. Doporučený, ale volitelný krok: Vytvořte pracovní prostor privátního webového ověřování pro hostování služby ověřování webu.

   1. Vytvořte skupinu prostředků pro hostování pracovního prostoru privátního webového ověřování. Vytvořte jednu pro každou oblast, do které jste nasadili pracovní prostory Azure Databricks.

   2. Vytvořte jeden pracovní prostor privátního webového ověřování pro každou oblast, do které jste nasadili pracovní prostory Azure Databricks.

      • K vytvoření nového pracovního prostoru Azure Databricks můžete použít Azure Portal, Azure CLI, PowerShell nebo Terraform.
      • Set úroveň premium.
      • Set název pracovního prostoru WEB_AUTH_DO_NOT_DELETE_<region>, aby se zajistilo, že se neodstraní.
      • Set požadovaná pravidla skupiny zabezpečení sítě (requiredNsgRules) na hodnotu NoAzureDatabricksRules.
      • Set zabezpečené připojení ke clusteru (NPIP) (enableNoPublicIp) k Enabled.
      • Set oblast do stejné oblasti jako ostatní produkční pracovní prostory.
      • Použijte injektáž virtuální sítě. Vytvořte nebo použijte virtuální síť oddělenou od virtuální sítě, kterou používáte pro hlavní virtuální síť pracovního prostoru.
      • Set přístup k veřejné síti (publicNetworkAccess) zakázán.
      • Do tohoto pracovního prostoru neukládejte žádnou úlohu Azure Databricks.
      • Nepřidávejte žádné privátní koncové body jiné než privátní koncový bod ověřování prohlížeče. Například nevytvářejte žádný privátní koncový bod s dílčím prostředkem databricks_ui_api, který by umožnil front-end nebo back-end connections k pracovnímu prostoru, protože to není nutné.

      Podrobnosti o nasazení pracovního prostoru pomocí injektáže virtuální sítě najdete v tématu Nasazení Služby Azure Databricks ve virtuální síti Azure (injektáž virtuální sítě).

      K vytvoření pracovního prostoru můžete použít standardní šablonu ARM typu all-in-one a postupovat podle výše uvedených požadavků pro konfiguraci pracovního prostoru.

   3. Po vytvoření pracovního prostoru pro ověřování privátního webu přidejte na něj zámek set, aby se zabránilo jeho odstranění. Přejděte na instanci služby Azure Databricks na webu Azure Portal. V levém navigačním panelu klikněte na Zámky. Klikněte na +Přidat. Set Smazat typ zámku až . Pojmenujte zámek. Klikněte na OK.

      

2. Na webu Azure Portal přejděte k instanci služby Azure Databricks, která představuje váš pracovní prostor.

   • Pokud používáte pracovní prostor privátního webového ověřování, přejděte do objektu instance služby Azure Databricks pro pracovní prostor privátního webového ověřování.
   • Pokud nepoužíváte pracovní prostor privátního ověřování webu, zvolte jeden pracovní prostor, který bude hostitelem privátního koncového bodu webového ověřování. Nezapomeňte, že odstranění tohoto pracovního prostoru odstraní záznamy DNS, které jsou vyžadovány pro všechny ostatní pracovní prostory v této oblasti, které používají front-end služby Private Link connections. Na webu Azure Portal otevřete okno instance služby Azure Databricks Service tohoto pracovního prostoru.

3. Přejděte na Nastavení>Síťování>privátní koncový bod connections.

4. Kliknutím na tlačítko + Přidat vytvořte privátní koncový bod pro tento pracovní prostor.

5. Na webu Azure Portal se v toku vytvoření pracovního prostoru zobrazí okno Vytvořit privátní koncový bod .

   

6. V kroku zdroje pole Cílový dílčí zdroj browser_authentication.

   Všimněte si, že pole Typ prostředku a Pole Prostředek automaticky odkazují na instanci pracovního prostoru služby Azure Databricks Service, kterou upravujete.

   

7. V kroku Virtuální síť:

   1. Set virtuální síť do vaší virtuální sítě, která obsahuje vaši tranzitní podsíť. Podle doporučení v tomto článku by to byla vaše virtuální síť pracovního prostoru.
   2. Set podsíť do tranzitní podsítě.

8. V kroku DNS:

   

   • Pro typické použití s integrovaným Azure DNS setIntegrace s privátní zónou DNSAno.

     Pokud vaše organizace udržuje vlastní DNS, mohli byste setintegrovat s privátní zónou DNSbez, ale než budete pokračovat, přečtěte si tento článek Microsoftu o konfiguraci DNS. Pokud máte dotazy, obraťte se na svůj tým účtů Azure Databricks.

     Zbývající pokyny v tomto článku předpokládají, že jste zvolili Ano.

   • Ověřte, že pole Skupina prostředků je set ke správné skupině prostředků. Je možné, že byla předem vyplněna do správné skupiny prostředků, ale není zaručeno, že to uděláte. Set do stejné virtuální sítě (VNet) jako privátní koncový bod front-endu.

     Důležité

     Toto je běžný krok pro nesprávnou konfiguraci, proto tento krok pečlivě proveďte.

9. Kliknutím na TLAČÍTKO OK vytvořte privátní koncový bod.

10. Pokud se integrujete s integrovaným Azure DNS, můžete teď ověřit, že váš DNS byl automaticky nakonfigurovaný privátním koncovým bodem ověřování prohlížeče, který jste vytvořili. Pokud se například podíváte do privátní zóny DNS, uvidíte jeden nebo více nových A záznamů s názvy, které končí .pl-auth. Jedná se o záznamy, které představují zpětné volání jednotného přihlašování pro každou instanci řídicí roviny v oblasti. Pokud v této oblasti existuje více instancí řídicí roviny Azure Databricks, bude existovat více než jeden A záznam.

Vlastní DNS

Pokud používáte vlastní DNS, musíte zajistit, aby byla nakonfigurovaná odpovídající konfigurace DNS pro podporu zpětného volání ověřování jednotného přihlašování. Pokyny vám poskytne váš tým účtů Azure Databricks.

Pokud používáte privátní koncový bod front-endu a uživatelé přistupují k pracovnímu prostoru Azure Databricks z tranzitní podsítě, pro kterou jste povolili vlastní DNS, musíte povolit, aby byla IP adresa privátního koncového bodu pro pracovní prostor přístupná pomocí adresy URL pracovního prostoru.

Možná budete muset nakonfigurovat podmíněné předávání do Azure nebo vytvořit záznam DNS A pro adresu URL pracovního prostoru ve vlastním DNS (místní nebo interní DNS). Podrobné pokyny k povolení přístupu ke službám s podporou služby Private Link najdete v tématu Konfigurace DNS privátního koncového bodu Azure.

Pokud například přímo mapujete adresy URL prostředků na IP adresy privátního koncového bodu front-endu ve vašem interním DNS, budete potřebovat dvě položky:

• Jeden záznam DNS A mapuje adresu URL pro každý pracovní prostor (adb-1111111111111.15.azuredatabricks.net) na IP adresu privátního koncového bodu front-endu.

• Jeden nebo více záznamů DNS A mapuje adresu URL odpovědi toku Microsoft Entra ID OAuth na IP adresu privátního koncového bodu front-endu, například westus.pl-auth.azuredatabricks.net. Vzhledem k tomu, že jedna oblast může mít více instancí řídicí roviny, může být potřeba přidat více A záznamů, jednu pro každou instanci řídicí roviny.

  Poznámka:

  Pokud používáte vlastní DNS, getset domén instancí řídicí roviny , které musíte použít pro oblast, kterou chcete použít, obraťte se na svůj tým účtů Azure Databricks. Některé oblasti mají více než jednu instanci řídicí roviny.

Kromě jednotlivých A záznamů potřebných pro přístup k privátnímu koncovému bodu pracovního prostoru musíte nakonfigurovat alespoň jednu set záznamů DNS OAuth (browser_authentication) na každou oblast. To poskytuje privátní přístup klientů přes OAuth ke všem pracovním prostorům v oblasti, protože browser_authentication privátní koncový bod k řídicí rovině se sdílí mezi pracovními prostory v této oblasti.

Pokud je povolený přístup k veřejnému internetu a sdílení jedné IP adresy privátního koncového bodu uživatele do pracovního prostoru pro všechny organizační jednotky, může to být problém kvůli společnému DNS.

Po přípravě těchto konfigurací byste měli mít přístup k pracovnímu prostoru Azure Databricks a spustit clustery pro vaše úlohy.

Krok 5: Testování ověřování jednotného přihlašování uživatele k pracovnímu prostoru

Pro nový pracovní prostor je nutné otestovat ověřování. Při počátečním pokusu o ověření spusťte pracovní prostor z webu Azure Portal. V objektu pracovního prostoru je tlačítko Spustit pracovní prostor, které je důležité. Když na něj kliknete, Azure Databricks se pokusí přihlásit k pracovnímu prostoru a zřídit svůj počáteční uživatelský účet správce pracovního prostoru. Je důležité otestovat ověřování, abyste měli jistotu, že váš pracovní prostor funguje správně.

1. Klikněte na tlačítko Spustit pracovní prostor.

2. Otestujte přístup k síti z tranzitní podsítě nebo síťového umístění, které k ní partnerský vztah používá. Pokud má vaše místní síť například přístup k tranzitní podsíti, můžete zkontrolovat jednotné přihlašování uživatelů z místní sítě. Potvrďte přístup k síti z testovací sítě do podsítě přenosu.

   Pokud nejste v síťovém umístění, které má přístup k podsíti tranzitu, můžete otestovat připojení vytvořením virtuálního počítače v tranzitní podsíti nebo síťového umístění, které se k ní dostane. Použijte například virtuální počítač s Windows 10:

   1. Přejděte do okna Virtuálního počítače na webu Azure Portal.
   2. Vytvořte virtuální počítač s Windows 10 v testovací virtuální síti a podsíti.
   3. Připojte se k němu pomocí klienta RDP, jako je Vzdálená plocha Microsoft.

3. Z virtuálního počítače nebo jiného testovacího počítače se pomocí webového prohlížeče připojte k webu Azure Portal a spusťte pracovní prostor.

   1. Na webu Azure Portal vyhledejte objekt pracovního prostoru Azure Databricks.
   2. Klikněte na Spustit pracovní prostor, čímž otevřete kartu window, která vás přihlásí do Azure Databricks pomocí ID uživatele, které jste použili pro přihlášení do Azure portálu.
   3. Ověřte, že přihlášení proběhlo úspěšně.

   Poznámka:

   Pokud váš virtuální počítač nemá přístup k Azure Portal, můžete otestovat přístup k privátnímu propojení pomocí přímého přístupu k per-workspace URL pro váš pracovní prostor.

Řešení potíží s ověřováním

Chyba: Pokud se zobrazí zpráva " Nakonfigurované nastavení ochrany osobních údajů zakáže přístup k pracovnímu prostoru <your-workspace-id> přes vaši aktuální síť. Další informace získáte od správce.

Tato chyba pravděpodobně znamená:

• Připojujete se k pracovnímu prostoru přes veřejný internet (ne z připojení Private Link).
• Pracovní prostor jste nakonfigurovali tak, aby nepodporuje přístup k veřejné síti.

Projděte si předchozí kroky v této části.

Chyba: Chyba prohlížeče s kódem chyby DNS_PROBE_FINISHED_NXDOMAIN

Tato chyba znamená, že přihlášení uživatele k webové aplikaci Azure Databricks selhalo, protože nemohlo najít odpovídající konfiguraci DNS pro instanci řídicí roviny Azure Databricks v cílové oblasti. Záznam DNS, který odkazuje na <control-plane-instance-short-name>.pl-auth název, nebyl nalezen. Možná jste chybně nakonfigurovali privátní koncový bod ověřování prohlížeče. Pečlivě si projděte část v kroku 4: Vytvořte privátní koncový bod pro podporu jednotného přihlašování pro přístup k webovému prohlížeči. Pokud máte dotazy, obraťte se na svůj tým účtů Azure Databricks.

Krok 6: Testování připojení Private Link back-endu (vyžaduje se pro připojení back-endu)

Pokud jste přidali připojení Private Linku back-endu, je důležité otestovat, že funguje správně. Jednoduše se přihlaste k webové aplikaci Azure Databricks, která neotestuje připojení back-endu.

1. Pokud ještě nejste přihlášení k pracovnímu prostoru Azure Databricks, přihlaste se znovu pomocí adresy URL pracovního prostoru nebo pomocí tlačítka Spustit pracovní prostor v instanci služby Azure Databricks na webu Azure Portal.

2. V levém navigačním panelu klikněte na Výpočty.

3. Klikněte na Vytvořit cluster, zadejte název clusteru a klikněte na Vytvořit cluster. Další informace o vytváření clusterů najdete v referenčních informacích ke konfiguraci výpočetních prostředků.

   Počkejte, až se cluster úspěšně spustí. Může to trvat několik minut. Refresh stránku na get nejnovější stav.

   Pokud se nepodaří spustit, na stránce clusteru klikněte na protokol událostí a zkontrolujte nejnovější položky. Pro typickou chybnou konfiguraci služby Private Link obsahuje protokol událostí chybu podobnou následující po 10 až 15minutovém čekání:

   Cluster terminated. Reason: Control Plane Request Failure
   

   Pokud get tuto chybu, pečlivě si přečtěte pokyny v tomto článku. Pokud máte dotazy, obraťte se na svůj tým účtů Azure Databricks.

Odstranění pracovního prostoru Azure Databricks s privátními koncovými body

Důležité

Pokud používáte doporučený, ale volitelný styl nasazení, který používá pracovní prostor privátního ověřování webu, je důležité, abyste pracovní prostor nikdy neodstranili nebo privátní koncový bod ověření prohlížeče, který je přidružený k pracovnímu prostoru. Viz krok 4: Vytvoření privátního koncového bodu pro podporu jednotného přihlašování pro přístup k webovému prohlížeči.

Azure blokuje odstranění pracovního prostoru Azure Databricks, pokud má nějaké privátní koncové body.

Důležité

Před pokusem o odstranění pracovního prostoru Azure Databricks je nutné odstranit privátní koncové body.

1. Na webu Azure Portal otevřete instanci služby Azure Databricks, která představuje váš pracovní prostor.
2. V levém navigačním panelu klikněte na Nastavení > sítě.
3. Klikněte na kartu Privátní koncový bod connections.
4. Pokud nepoužíváte pracovní prostor privátního webového ověřování, zkontrolujte, jestli vaše organizace může tento pracovní prostor používat jako odkaz OAuth CNAME a může být sdílen s jinými pracovními prostory, které používají stejnou instanci řídicí roviny. Pokud ano, před odstraněním privátních koncových bodů, které se můžou spoléhat na CNAME z tohoto pracovního prostoru, nakonfigurujte síťové objekty druhého pracovního prostoru, aby se zajistilo, že CNAME stále odkazuje na platný záznam zóny A z jiného pracovního prostoru. Viz krok 4: Vytvoření privátního koncového bodu pro podporu jednotného přihlašování pro přístup k webovému prohlížeči.
5. U každého privátního koncového bodu vyberte řádek select a klikněte na ikonu Remove. Kliknutím na Ano odebrání potvrďte.

Až budete hotovi, můžete pracovní prostor odstranit z webu Azure Portal.

Kontrola čekajícího schválení nebo schválení čekajících na privátní koncové body

Pokud uživatel Azure, který vytvořil privátní koncový bod pro tranzitní podsíť, nemá oprávnění vlastníka nebo přispěvatele k pracovnímu prostoru, musí samostatný uživatel s oprávněními vlastníka nebo přispěvatele pro pracovní prostor před povolením ručně schválit žádost o vytvoření privátního koncového bodu.

Mezi stavy připojení patří:

• Schváleno: Koncový bod je schválen a není nutná žádná další akce.
• Čekající: Koncový bod vyžaduje schválení uživatele s oprávněními vlastníka nebo přispěvatele pro pracovní prostor.
• Odpojeno: Koncový bod, protože související objekt pro toto připojení byl odstraněn.
• Odmítnuto: Koncový bod byl odmítnut.

Kontrola stavu připojení:

1. Na webu Azure Portal přejděte do svého pracovního prostoru, který obsahuje jeden nebo více privátních koncových bodů, které jste nedávno vytvořili.

2. Klikněte na Sítě.

3. Klikněte na kartu Privátní koncový bod connections.

4. V list koncových bodů se podívejte na stav připojení column.

   • Pokud mají všichni hodnotu stavu připojení Schváleno, není nutná žádná akce ke schválení privátního koncového bodu.
   • Pokud hodnota některého z nich čeká na vyřízení, vyžaduje schválení od uživatele s oprávněním vlastníka nebo přispěvatele pro pracovní prostor.

5. Pokud máte oprávnění vlastníka nebo přispěvatele pro pracovní prostor:

   1. Select jeden nebo více řádků s koncovými body, které čekají na zpracování.

   2. Pokud připojení schválíte, klikněte na tlačítko Schválit .

      Pokud připojení neschválíte, klikněte na tlačítko Odmítnout .

   Pokud nemáte oprávnění vlastníka nebo přispěvatele k pracovnímu prostoru, požádejte správce pracovního prostoru o schválení připojení.