Sdílet prostřednictvím

Konfigurace privátního připojení z bezserverového výpočetního prostředí

  • Článek

Tento článek popisuje, jak nakonfigurovat privátní připojení z bezserverového výpočetního prostředí pomocí uživatelského rozhraní konzoly účtu Azure Databricks. Můžete také použít rozhraní API konfigurace připojení k síti.

Pokud prostředek Azure nakonfigurujete tak, aby přijímal pouze připojení z privátních koncových bodů, musí všechna připojení k prostředku z klasických výpočetních prostředků Databricks používat také privátní koncové body.

Pokud chcete nakonfigurovat bránu firewall služby Azure Storage pro bezserverový výpočetní přístup pomocí podsítí, přečtěte si téma Konfigurace brány firewall pro bezserverový výpočetní přístup. Pokud chcete spravovat existující pravidla privátního koncového bodu, přečtěte si téma Správa pravidel privátního koncového bodu.

Důležité

Od 4. prosince 2024 začne Databricks účtovat poplatky za síťové náklady na bezserverové úlohy, které se připojují k externím prostředkům. Fakturace se implementuje postupně a nemusí se vám účtovat až do 4. prosince 2024. Před povolením fakturace se vám nebudou účtovat zpětně za využití. Po povolení fakturace se vám můžou účtovat tyto poplatky:

  • Privátní připojení k vašim prostředkům přes Private Link Poplatky za zpracování dat za privátní připojení k vašim prostředkům přes Službu Private Link se trvale vzdávají. Budou se účtovat poplatky za hodinu.
  • Veřejné připojení k vašim prostředkům přes SLUŽBU NAT Gateway
  • Poplatky za přenos dat, například když jsou výpočetní prostředky bez serveru a cílový prostředek v různých oblastech.

Přehled privátního připojení pro bezserverové výpočetní prostředky

Bezserverové síťové připojení se spravuje pomocí konfigurací připojení k síti (NCCS). Správci účtů vytvářejí síťové adaptéry v konzole účtu a NCC je možné připojit k jednomu nebo více pracovním prostorům.

Když do služby NCC přidáte privátní koncový bod, Azure Databricks vytvoří požadavek na privátní koncový bod pro váš prostředek Azure. Jakmile požadavek přijmete na straně prostředku, privátní koncový bod se použije k přístupu k prostředkům z bezserverové výpočetní roviny. Privátní koncový bod je vyhrazený pro váš účet Azure Databricks a je přístupný jenom z autorizovaných pracovních prostorů.

Privátní koncové body NCC se podporují ve službě SQL Warehouse, úlohách, poznámkových blocích, rozdílových živých tabulkách a modelech obsluhujících koncové body.

Poznámka:

Privátní koncové body NCC se podporují jenom pro zdroje dat, které spravujete. Pokud se chcete připojit k účtu úložiště pracovního prostoru, obraťte se na svůj tým účtů Azure Databricks.

Poznámka:

Obsluha modelu používá cestu k úložišti objektů blob Azure ke stažení artefaktů modelu, takže vytvořte privátní koncový bod pro objekt blob ID dílčího prostředku. K protokolování modelů v katalogu Unity z bezserverových poznámkových bloků budete potřebovat SYSTÉM SOUBORŮ DFS.

Další informace o síťových adaptérech najdete v tématu Co je konfigurace síťového připojení (NCC)?.

Požadavky

  • Váš pracovní prostor musí být v plánu Premium.
  • Musíte být správcem účtu Azure Databricks.
  • Každý účet Azure Databricks může mít až 10 síťových adaptérů na oblast.
  • Každá oblast může mít 100 privátních koncových bodů distribuovaných podle potřeby napříč 1 až 10 síťovými adaptéry.
  • Každá NCC je možné připojit až k 50 pracovním prostorům.

Krok 1: Vytvoření konfigurace připojení k síti

Databricks doporučuje sdílení NCC mezi pracovními prostory ve stejné organizační jednotce a těmi, kteří sdílejí stejné vlastnosti připojení k oblasti. Pokud například některé pracovní prostory používají Private Link a jiné pracovní prostory povolení brány firewall, použijte pro tyto případy použití samostatné síťové adaptéry.

  1. Jako správce účtu přejděte do konzoly účtu.
  2. Na bočním panelu klikněte na Cloudové prostředky.
  3. Klikněte na Konfigurace síťového připojení.
  4. Klikněte na Přidat konfiguraci síťového připojení.
  5. Zadejte název pro NCC.
  6. Zvolte oblast. To musí odpovídat vaší oblasti pracovního prostoru.
  7. Klikněte na tlačítko Přidat.

Krok 2: Připojení NCC k pracovnímu prostoru

  1. Na bočním panelu konzoly účtu klikněte na Pracovní prostory.
  2. Klikněte na název pracovního prostoru.
  3. Klikněte na Aktualizovat pracovní prostor.
  4. V poli Konfigurace připojení k síti vyberte svou NCC. Pokud není vidět, ověřte, že jste pro pracovní prostor i NCC vybrali stejnou oblast Azure.
  5. Klikněte na tlačítko Aktualizovat.
  6. Počkejte 10 minut, než se změna projeví.
  7. Restartujte všechny spuštěné bezserverové služby v pracovním prostoru.

Krok 3: Vytvoření pravidel privátního koncového bodu

Pro každý prostředek Azure musíte ve své službě NCC vytvořit pravidlo privátního koncového bodu.

  1. Získejte seznam ID prostředků Azure pro všechny vaše cíle.
    1. Na jiné kartě prohlížeče přejděte pomocí webu Azure Portal ke službám Azure zdroje dat.
    2. Na stránce Přehled se podívejte do části Základy .
    3. Klikněte na odkaz zobrazení JSON. ID prostředku pro službu se zobrazí v horní části stránky.
    4. Zkopírujte toto ID prostředku do jiného umístění. Opakujte pro všechny cíle. Další informace o vyhledání ID prostředku najdete v tématu Hodnoty privátní zóny DNS privátního koncového bodu Azure.
  2. Přepněte zpět na kartu prohlížeče konzoly účtu.
  3. Na bočním panelu klikněte na Cloudové prostředky.
  4. Klikněte na Konfigurace síťového připojení.
  5. Vyberte NCC, kterou jste vytvořili v kroku 1.
  6. V pravidlech privátního koncového bodu klikněte na přidat pravidlo privátního koncového bodu.
  7. Do pole ID cílového prostředku Azure vložte ID prostředku pro váš prostředek.
  8. V poli ID podsourcu Azure zadejte cílové ID a typ podsourcu. Každé pravidlo privátního koncového bodu musí používat jiné ID podsourcu. Seznampodporovaných
  9. Klikněte na tlačítko Přidat.
  10. Počkejte několik minut, dokud nebudou mít všechna pravidla koncového bodu stav PENDING.

Krok 4: Schválení nových privátních koncových bodů vašich prostředků

Koncové body se neprojeví, dokud správce s právy k prostředku neschválí nový privátní koncový bod. Pokud chcete schválit privátní koncový bod pomocí webu Azure Portal, postupujte takto:

  1. Na webu Azure Portal přejděte k vašemu prostředku.

  2. Na bočním panelu klikněte na Položku Sítě.

  3. Klikněte na připojení privátního koncového bodu.

  4. Klikněte na kartu Soukromý přístup .

  5. V části Připojení privátního koncového bodu zkontrolujte seznam privátních koncových bodů.

  6. Klikněte na zaškrtávací políčko vedle každého, který chcete schválit, a klikněte na tlačítko Schválit nad seznamem.

  7. Vraťte se do služby NCC v Azure Databricks a aktualizujte stránku prohlížeče, dokud nebudou mít všechna pravidla koncového bodu stav ESTABLISHED.

    Seznam privátních koncových bodů

(Volitelné) Krok 5: Nastavení účtu úložiště tak, aby nepovolil přístup k veřejné síti

Pokud jste ještě neměli omezený přístup k účtu úložiště Azure, abyste povolili jenom sítě uvedené v seznamu, můžete to udělat.

  1. Přejděte na Azure Portal.
  2. Přejděte ke svému účtu úložiště pro zdroj dat.
  3. Na bočním panelu klikněte na Položku Sítě.
  4. V poli Přístup k veřejné síti zkontrolujte hodnotu. Ve výchozím nastavení je tato hodnota povolená ze všech sítí. Změňte tuto možnost na Zakázáno.

Krok 6: Restartování prostředků bezserverové roviny výpočetních prostředků a otestování připojení

  1. Po předchozím kroku počkejte pět dalších minut, než se změny rozšíří.
  2. Restartujte všechny spuštěné prostředky bezserverové roviny výpočetní roviny v pracovních prostorech, ke kterým je připojená vaše služba NCC. Pokud nemáte spuštěné prostředky bezserverové výpočetní roviny, začněte ho hned.
  3. Ověřte, že se všechny prostředky úspěšně spustily.
  4. Spusťte alespoň jeden dotaz na zdroj dat, abyste potvrdili, že bezserverový SQL Warehouse se může spojit s vaším zdrojem dat.