Sdílet prostřednictvím

Sítě bezserverové výpočetní roviny

  • Článek

Tato příručka představuje nástroje pro zabezpečení síťového přístupu mezi výpočetními prostředky v bezserverové rovině azure Databricks a zákaznickými prostředky. Další informace o řídicí rovině a bezserverové výpočetní rovině najdete v přehledu architektury Azure Databricks.

Další informace o klasických výpočetních a bezserverových výpočetních prostředcích najdete v tématu Typy výpočetních prostředků.

Důležité

Od 4. prosince 2024 začne Databricks účtovat poplatky za síťové náklady na bezserverové úlohy, které se připojují k externím prostředkům. Fakturace se implementuje postupně a nemusí se vám účtovat až do 4. prosince 2024. Před povolením fakturace se vám nebudou účtovat zpětně za využití. Po povolení fakturace se vám můžou účtovat tyto poplatky:

  • Privátní připojení k vašim prostředkům přes Private Link Poplatky za zpracování dat za privátní připojení k vašim prostředkům přes Službu Private Link se trvale vzdávají. Budou se účtovat poplatky za hodinu.
  • Veřejné připojení k vašim prostředkům přes SLUŽBU NAT Gateway
  • Poplatky za přenos dat, například když jsou výpočetní prostředky bez serveru a cílový prostředek v různých oblastech.

Přehled sítí bezserverové výpočetní roviny

Bezserverové výpočetní prostředky běží v bezserverové výpočetní rovině, kterou spravuje Azure Databricks. Správci účtů můžou nakonfigurovat zabezpečené připojení mezi bezserverovou výpočetní rovinou a jejich prostředky. Toto síťové připojení je označeno jako 2 v následujícím diagramu:

Diagram přehledu připojení k síti

Připojení mezi řídicí rovinou a bezserverovou výpočetní rovinou je vždy přes páteřní síť cloudu, nikoli veřejný internet. Další informace o konfiguraci bezpečnostních funkcí na jiné síti connections v diagramu najdete v Networking.

Co je řízení výchozího přenosu dat bez serveru?

Řízení odchozího přenosu dat bez serveru umožňuje spravovat odchozí síťové connections z bezserverových výpočetních prostředků.

Pomocí zásad sítě můžete:

  • Zvýšenízabezpečení: zmírnění rizik exfiltrace dat omezením odchozích connections.
  • Definovat přesná pravidla: Ovládat odchozí connections zadáním povolených umístění, connections, plně kvalifikovaných názvů domén a účtů úložiště Azure.
  • Zjednodušení správy: Snadno nakonfigurujte a spravujte zásady výchozího přenosu dat v bezserverovém prostředí.

Viz Co je řízení výchozího přenosu dat bez serveru?

Co je konfigurace připojení k síti (NCC)?

Bezserverové síťové připojení se spravuje pomocí konfigurací připojení k síti (NCC). Síťové adaptéry jsou regionální konstrukce na úrovni účtu, které se používají ke správě vytváření privátních koncových bodů a povolení brány firewall ve velkém měřítku.

Správci účtů vytvářejí v konzole účtu nccs a NCC je možné připojit k jednomu nebo více pracovním prostorům. NCC umožňuje brány firewall a privátní koncové body:

  • Povolení brány firewall prostředků podle podsítí: NCC umožňuje stabilní podsítě služby Azure spravované službou Databricks pro přidání koncových bodů služby do bran firewall prostředků pro zabezpečený přístup k prostředkům Azure z bezserverových skladů SQL. Když je k pracovnímu prostoru připojená NCC, výpočetní prostředky bez serveru v tomto pracovním prostoru používají jednu z těchto sítí k připojení prostředku Azure pomocí koncových bodů služby. Můžete povolit list těchto sítí na bráně firewall prostředků Azure. Pravidla sítě se automaticky přidají do účtu úložiště pracovního prostoru. Viz Konfigurace brány firewall pro bezserverový výpočetní přístup.
  • Privátní koncové body: Když do služby NCC přidáte privátní koncový bod, Azure Databricks vytvoří požadavek na privátní koncový bod pro váš prostředek Azure. Jakmile požadavek přijmete na straně prostředku, privátní koncový bod se použije k přístupu k vašemu prostředku Azure z bezserverové výpočetní roviny. Viz Konfigurace privátního připojení z bezserverového výpočetního prostředí.