Sdílet prostřednictvím

Konfigurace brány firewall pro bezserverový výpočetní přístup

  • Článek

Tento článek popisuje, jak nakonfigurovat bránu firewall úložiště Azure pro bezserverové výpočetní prostředky pomocí uživatelského rozhraní konzoly účtu Azure Databricks. Můžete také použít rozhraní API konfigurace připojení k síti.

Pokud chcete nakonfigurovat privátní koncový bod pro bezserverový výpočetní přístup, přečtěte si téma Konfigurace privátního připojení z bezserverového výpočetního prostředí.

Důležité

Od 4. prosince 2024 začne Databricks účtovat poplatky za síťové náklady na bezserverové úlohy, které se připojují k externím prostředkům. Fakturace se implementuje postupně a nemusí se vám účtovat až do 4. prosince 2024. Před povolením fakturace se vám nebudou účtovat zpětně za využití. Po povolení fakturace se vám můžou účtovat tyto poplatky:

  • Privátní připojení k vašim prostředkům přes Private Link Poplatky za zpracování dat za privátní připojení k vašim prostředkům přes Službu Private Link se trvale vzdávají. Budou se účtovat poplatky za hodinu.
  • Veřejné připojení k vašim prostředkům přes SLUŽBU NAT Gateway
  • Poplatky za přenos dat, například když jsou výpočetní prostředky bez serveru a cílový prostředek v různých oblastech.

Přehled povolení brány firewall pro bezserverové výpočetní prostředky

Bezserverové síťové připojení se spravuje pomocí konfigurací připojení k síti (NCCS). Správci účtů vytvářejí síťové adaptéry v konzole účtu a NCC je možné připojit k jednomu nebo více pracovním prostorům.

NCC obsahuje seznam síťových identit pro typ prostředku Azure jako výchozí pravidlo. Když je k pracovnímu prostoru připojená služba NCC, výpočetní prostředky bez serveru v tomto pracovním prostoru používají k připojení prostředku Azure jednu z těchto sítí. Tyto sítě můžete povolit v bráně firewall prostředků Azure. Pokud máte brány firewall prostředků Azure mimo úložiště, obraťte se na tým účtu s informacemi o tom, jak používat stabilní IP adresy překladu adres (NAT) Azure Databricks.

Povolení brány firewall NCC je podporováno z bezserverových skladů SQL, úloh, poznámkových bloků, kanálů Delta Live Tables a modelů obsluhujících koncové body.

Volitelně můžete nakonfigurovat síťový přístup k účtu úložiště pracovního prostoru jenom z autorizovaných sítí, včetně bezserverových výpočetních prostředků. Viz Povolení podpory brány firewall pro váš účet úložiště pracovního prostoru. Při připojení NCC k pracovnímu prostoru se pravidla sítě automaticky přidají do účtu úložiště Azure pro účet úložiště pracovního prostoru.

Další informace o síťových adaptérech najdete v tématu Co je konfigurace síťového připojení (NCC)?.

Náklady na přístup k úložišti mezi oblastmi

Brána firewall se použije jenom v případech, kdy jsou prostředky Azure ve stejné oblasti jako pracovní prostor Azure Databricks. Pro provoz mezi oblastmi z bezserverového výpočetního prostředí Azure Databricks (například pracovní prostor je v oblasti USA – východ a úložiště ADLS je v oblasti Západní Evropa), Azure Databricks směruje provoz přes službu Azure NAT Gateway.

Požadavky

  • Váš pracovní prostor musí být v plánu Premium.

  • Musíte být správcem účtu Azure Databricks.

  • Každá NCC je možné připojit až k 50 pracovním prostorům.

  • Každý účet Azure Databricks může mít až 10 síťových adaptérů na oblast.

  • Musíte mít WRITE přístup k síťovým pravidlům účtu úložiště Azure.

Krok 1: Vytvoření konfigurace připojení k síti a kopírování ID podsítě

Databricks doporučuje sdílení síťových adaptérů mezi pracovními prostory ve stejné obchodní jednotce a mezi pracovními prostory, které sdílejí stejnou oblast a vlastnosti připojení. Pokud například některé pracovní prostory používají bránu firewall úložiště a jiné pracovní prostory používají alternativní přístup služby Private Link, použijte pro tyto případy použití samostatné síťové adaptéry.

  1. Jako správce účtu přejděte do konzoly účtu.
  2. Na bočním panelu klikněte na Cloudové prostředky.
  3. Klikněte na Konfigurace síťového připojení.
  4. Klikněte na Přidat konfigurace síťového připojení.
  5. Zadejte název pro NCC.
  6. Zvolte oblast. To musí odpovídat vaší oblasti pracovního prostoru.
  7. Klikněte na tlačítko Přidat.
  8. V seznamu NCC klikněte na vaše nové NCC.
  9. V části Výchozí pravidla pod síťovými identitami klikněte na Zobrazit vše.
  10. V dialogovém okně klikněte na tlačítko Kopírovat podsítě .
  11. Klepněte na tlačítko Zavřít.

Krok 2: Připojení NCC k pracovním prostorům

NCC můžete připojit až k 50 pracovním prostorům ve stejné oblasti jako NCC.

Pokud chcete rozhraní API použít k připojení NCC k pracovnímu prostoru, podívejte se na rozhraní API pracovních prostorů účtů.

  1. Na bočním panelu konzoly účtu klikněte na Pracovní prostory.
  2. Klikněte na název pracovního prostoru.
  3. Klikněte na Aktualizovat pracovní prostor.
  4. V poli Konfigurace připojení k síti vyberte svou NCC. Pokud není vidět, ověřte, že jste pro pracovní prostor i NCC vybrali stejnou oblast.
  5. Klikněte na Aktualizovat.
  6. Počkejte 10 minut, než se změna projeví.
  7. Restartujte všechny spuštěné výpočetní prostředky bez serveru v pracovním prostoru.

Pokud tuto funkci používáte pro připojení k účtu úložiště pracovního prostoru, konfigurace je dokončená. Pravidla sítě se automaticky přidají do účtu úložiště pracovního prostoru. V případě dalších účtů úložiště pokračujte dalším krokem.

Krok 3: Uzamčení účtu úložiště

Pokud jste ještě neměli omezený přístup k účtu úložiště Azure, abyste povolili jenom sítě uvedené v seznamu, udělejte to teď. Tento krok pro účet úložiště pracovního prostoru nemusíte provádět.

Vytvoření brány firewall úložiště má vliv také na připojení z klasické výpočetní roviny k vašim prostředkům. Musíte také přidat pravidla sítě pro připojení k účtům úložiště z klasických výpočetních prostředků.

  1. Přejděte na Azure Portal.
  2. Přejděte ke svému účtu úložiště pro zdroj dat.
  3. V levém navigačním panelu klikněte na Sítě.
  4. V poli Přístup k veřejné síti zkontrolujte hodnotu. Ve výchozím nastavení je tato hodnota povolená ze všech sítí. Změňte tuto možnost na Povoleno z vybraných virtuálních sítí a IP adres.

Krok 4: Přidání pravidel sítě účtu úložiště Azure

Tento krok pro účet úložiště pracovního prostoru nemusíte provádět.

  1. Přidejte jedno pravidlo sítě účtu úložiště Azure pro každou podsíť. Můžete to udělat pomocí Azure CLI, PowerShellu, Terraformu nebo jiných nástrojů pro automatizaci. Tento krok nelze provést v uživatelském rozhraní webu Azure Portal.

    V následujícím příkladu se používá Azure CLI:

    az storage account network-rule add --subscription "<sub>" \
    --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
    • Nahraďte <sub> názvem předplatného Azure pro účet úložiště.
    • Nahraďte <res> skupinu prostředků vašeho účtu úložiště.
    • Nahraďte <account> názvem účtu úložiště.
    • Nahraďte <subnet> ID prostředku ARM (resourceId) bezserverové výpočetní podsítě.

    Po spuštění všech příkazů můžete pomocí Azure portal zobrazit váš účet úložiště a ověřit, že je v tabulce Virtuální sítě položka, která představuje novou podsíť. Na webu Azure Portal však nemůžete provádět změny pravidel sítě.

    Tip

    • Když přidáte pravidla sítě účtu úložiště, načtěte nejnovější podsítě pomocí rozhraní API pro připojení k síti.
    • Vyhněte se místnímu ukládání informací NCC.
    • Ignorujte zmínku "Nedostatečná oprávnění" ve sloupci stavu koncového bodu nebo upozornění pod seznamem sítí. Značí jenom to, že nemáte oprávnění ke čtení podsítí Azure Databricks, ale nemáte narušovat schopnost této bezserverové podsítě Azure Databricks kontaktovat vaše úložiště Azure.

    Příklad nových položek v seznamu virtuálních sítí

  2. Tento příkaz opakujte jednou pro každou podsíť.

  3. Pokud chcete ověřit, že váš účet úložiště používá tato nastavení na webu Azure Portal, přejděte do části Sítě ve vašem účtu úložiště.

    Ověřte, že Veřejný přístup k síti je nastavený na Povoleno z vybraných virtuálních sítí a IP adres a že povolené sítě jsou uvedeny v části Virtuální sítě.