Konfigurace brány firewall pro bezserverový výpočetní přístup
Tento článek popisuje, jak nakonfigurovat firewall pro úložiště Azure pro bezserverové výpočetní služby pomocí uživatelského rozhraní správní konzoly Azure Databricks. Můžete také použít API pro konfigurace připojení k síti.
Pokud chcete nakonfigurovat privátní koncový bod pro bezserverový výpočetní přístup, přečtěte si téma Konfigurace privátního připojení z bezserverového výpočetního prostředí.
Důležité
Od 4. prosince 2024 začala služba Azure Databricks účtovat poplatky za síťové náklady spojené s bezserverovými úlohami připojujícími se k zákaznickým prostředkům. Aktuálně se vám účtují hodinové poplatky za privátní koncový bod u vašich prostředků. Poplatky za zpracování dat pro připojení Private Link se neúčtují na neurčito. Fakturace dalších síťových nákladů se bude zavádět postupně, včetně následujících:
- Připojení k vašim prostředkům přes veřejnou síť, například pomocí NAT brány.
- Poplatky za přenos dat, například když se výpočetní prostředky bez serveru a cílový prostředek nacházejí v různých oblastech.
Poplatky se nebudou účtovat zpětně.
Přehled povolení brány firewall pro bezserverové výpočetní prostředky
Bezserverové síťové připojení se spravuje pomocí konfigurací připojení k síti (NCCS). Správci účtů vytvářejí NCC v konzole účtu a NCC lze připojit k jednomu nebo více pracovním prostorům.
NCC obsahuje seznam síťových identit pro typ prostředku Azure jako výchozí pravidlo. Když je k pracovnímu prostoru připojená služba NCC, výpočetní prostředky bez serveru v tomto pracovním prostoru používají k připojení prostředku Azure jednu z těchto sítí. Můžete přidat tyto sítě na povolený seznam v bráně firewall prostředků Azure. Pokud máte firewally pro Azure prostředky, které nejsou úložišti, obraťte se na tým svého účtu pro informace o tom, jak používat stabilní IP adresy NAT v Azure Databricks.
Povolení brány firewall NCC je podporováno z bezserverových datových úložišť SQL, úloh, poznámkových bloků, kanálů DLT a koncových bodů pro obsluhu modelů.
Volitelně můžete nakonfigurovat síťový přístup k účtu úložiště pracovního prostoru jenom z autorizovaných sítí, včetně bezserverových výpočetních prostředků. Viz Povolení podpory brány firewall pro úložiště pracovního prostoru. Při připojení NCC k pracovnímu prostoru se pravidla sítě automaticky přidají do účtu úložiště Azure pro účet úložiště pracovního prostoru.
Další informace o síťových adaptérech najdete v tématu Co je konfigurace síťového připojení (NCC)?.
Náklady na přístup k úložišti mezi oblastmi
Firewall platí jenom v případech, kdy jsou prostředky Azure v téže oblasti jako pracovní prostor Azure Databricks. Pro provoz mezi oblastmi z bezserverového výpočetního prostředí Azure Databricks (například pracovní prostor je v oblasti USA – východ a úložiště ADLS je v oblasti Západní Evropa), Azure Databricks směruje provoz přes službu Azure NAT Gateway.
Požadavky
- Váš pracovní prostor musí být v plánu Premium.
- Musíte být správcem účtu Azure Databricks.
- Každá NCC je možné připojit až k 50 pracovním prostorům.
- Každý účet Azure Databricks může mít až 10 NCC na jednu oblast.
- Musíte mít
WRITE
přístup k síťovým pravidlům účtu úložiště Azure.
Krok 1: Vytvoření konfigurace připojení k síti a kopírování ID podsítě
Databricks doporučuje sdílení síťových adaptérů mezi pracovními prostory ve stejné obchodní jednotce a mezi pracovními prostory, které sdílejí stejnou oblast a vlastnosti připojení. Pokud například některé pracovní prostory používají bránu firewall úložiště a jiné pracovní prostory používají alternativní přístup s Private Link, měly by tyto případy použití mít samostatné NCC.
- Jako správce účtu přejděte do konzoly účtu.
- Na bočním panelu klikněte na Cloudové prostředky.
- Klikněte na Konfigurace síťového připojení.
- Klikněte na Přidat konfigurace síťového připojení.
- Zadejte název pro NCC.
- Zvolte oblast. To musí odpovídat vaší oblasti pracovního prostoru.
- Klikněte na tlačítko Přidat.
- V seznamu NCC klikněte na vaše nové NCC.
- V části Výchozí pravidla pod síťovými identitami klikněte na Zobrazit vše.
- V dialogovém okně klikněte na tlačítko Kopírovat podsítě .
- Klepněte na tlačítko Zavřít.
Krok 2: Připojení NCC k pracovním prostorům
NCC můžete připojit až k 50 pracovištím ve stejné oblasti jako NCC.
Pokud chcete pomocí API připojit NCC k pracovnímu prostoru, podívejte se na Account Workspaces API.
- Na bočním panelu konzoly účtu klikněte na Pracovní prostory.
- Klikněte na název pracovního prostoru.
- Klikněte na Aktualizovat pracovní prostor.
- V poli Konfigurace připojení k síti vyberte svou NCC. Pokud není vidět, ověřte, že jste pro pracovní prostor i NCC vybrali stejnou oblast.
- Klikněte na Aktualizovat.
- Počkejte 10 minut, než se změna projeví.
- Restartujte všechny spuštěné výpočetní prostředky bez serveru v pracovním prostoru.
Pokud tuto funkci používáte pro připojení k účtu úložiště pracovního prostoru, konfigurace je dokončená. Pravidla sítě se automaticky přidají do účtu úložiště pracovního prostoru. V případě dalších účtů úložiště pokračujte dalším krokem.
Krok 3: Uzamčení účtu úložiště
Pokud jste ještě neměli omezený přístup k účtu úložiště Azure, abyste povolili jenom sítě uvedené v seznamu, udělejte to teď. Tento krok pro účet úložiště pracovního prostoru nemusíte provádět.
Vytvoření brány firewall úložiště má vliv také na připojení z klasické výpočetní roviny k vašim prostředkům. Musíte také přidat pravidla sítě pro připojení k účtům úložiště z klasických výpočetních prostředků.
- Přejděte na Azure Portal.
- Přihlaste se do svého účtu úložiště pro zdroj dat.
- V levém navigačním panelu klikněte na Sítě.
- V poli Přístup k veřejné síti zkontrolujte hodnotu. Ve výchozím nastavení je tato hodnota povolená ze všech sítí. Změňte tuto možnost na Povoleno z vybraných virtuálních sítí a IP adres.
Krok 4: Přidání pravidel sítě účtu úložiště Azure
Tento krok pro účet úložiště pracovního prostoru nemusíte provádět.
Přidejte jedno pravidlo sítě účtu úložiště Azure pro každou podsíť. Můžete to udělat pomocí Azure CLI, PowerShellu, Terraformu nebo jiných nástrojů pro automatizaci. Tento krok nelze provést v uživatelském rozhraní webu Azure Portal.
V následujícím příkladu se používá Azure CLI:
az storage account network-rule add --subscription "<sub>" \ --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
- Nahraďte
<sub>
názvem předplatného Azure pro účet úložiště. - Nahraďte
<res>
za skupinu prostředků vašeho účtu úložiště. - Nahraďte
<account>
názvem účtu úložiště. - Nahraďte
<subnet>
ID prostředku ARM (resourceId
) bezserverové výpočetní podsítě.
Po spuštění všech příkazů můžete pomocí Azure portal zobrazit váš účet úložiště a ověřit, že je v tabulce Virtuální sítě položka, která představuje novou podsíť. Na webu Azure Portal však nemůžete provádět změny pravidel sítě.
Tip
- Když přidáváte pravidla sítě pro účet úložiště, použijte Network Connectivity API k načtení nejnovějších podsítí.
- Vyhněte se místnímu ukládání informací NCC.
- Ignorujte zmínku "Nedostatečná oprávnění" ve sloupci stavu koncového bodu nebo upozornění pod seznamem sítí. Naznačuje pouze, že nemáte oprávnění ke čtení podsítí Azure Databricks, ale nezasahuje to do schopnosti této serverless podsítě Azure Databricks kontaktovat vaše úložiště Azure.
- Nahraďte
Tento příkaz opakujte jednou pro každou podsíť.
Chcete-li ověřit, že váš účet úložiště používá tato nastavení z Azure Portal, přejděte na Síť ve svém účtu úložiště.
Ověřte, že Veřejný přístup k síti je nastavený na Povoleno z vybraných virtuálních sítí a IP adres a že povolené sítě jsou uvedeny v části Virtuální sítě.