Sdílet prostřednictvím

Konfigurace privátního připojení z bezserverového výpočetního prostředí

  • Článek

Tento článek popisuje, jak nakonfigurovat privátní připojení z bezserverového výpočetního prostředí pomocí uživatelského rozhraní konzoly účtu Azure Databricks. Můžete také použít rozhraní API konfigurací připojení k síti.

Pokud prostředek Azure nakonfigurujete tak, aby přijímal pouze připojení z privátních koncových bodů, musí všechna připojení k prostředku z klasických výpočetních prostředků Databricks používat také privátní koncové body.

Pokud chcete nakonfigurovat bránu firewall služby Azure Storage pro bezserverový výpočetní přístup pomocí podsítí, přečtěte si téma Konfigurace brány firewall pro bezserverový výpočetní přístup. Pokud chcete spravovat existující pravidla privátního koncového bodu, přečtěte si téma Správa pravidel privátního koncového bodu.

Důležité

Od 4. prosince 2024 začala služba Azure Databricks účtovat poplatky za síťové náklady spojené s bezserverovými úlohami připojujícími se k zákaznickým prostředkům. Aktuálně se vám účtují hodinové poplatky za privátní koncový bod u vašich prostředků. Poplatky za zpracování dat pro připojení Private Link se neúčtují na neurčito. Fakturace dalších síťových nákladů se bude zavádět postupně, včetně následujících:

  • Připojení k vašim prostředkům přes veřejnou síť, například pomocí NAT brány.
  • Poplatky za přenos dat, například když se výpočetní prostředky bez serveru a cílový prostředek nacházejí v různých oblastech.

Poplatky se nebudou účtovat zpětně.

Přehled privátního připojení pro bezserverové výpočetní prostředky

Bezserverové síťové připojení se spravuje pomocí konfigurací připojení k síti (NCCS). Správci účtů vytvářejí NCCs v konzoli účtu a NCC může být připojeno k jednomu nebo více pracovním prostorům.

Když do služby NCC přidáte privátní koncový bod, Azure Databricks vytvoří požadavek na privátní koncový bod pro váš prostředek Azure. Jakmile je požadavek přijat na straně prostředku, privátní koncový bod se používá pro přístup k prostředkům z bezserverové výpočetní platformy. Privátní koncový bod je vyhrazený pro váš účet Azure Databricks a je přístupný jenom z autorizovaných pracovních prostorů.

Privátní koncové body NCC jsou podporované ze služeb SQL Warehouse, úloh, poznámkových bloků, DLT a modelů obsluhujících koncové body.

Poznámka:

Privátní koncové body NCC se podporují jenom pro zdroje dat, které spravujete. Pokud se chcete připojit k účtu úložiště pracovního prostoru, obraťte se na váš tým pro účty Azure Databricks.

Poznámka:

Obsluha modelu používá cestu k úložišti objektů blob Azure ke stažení artefaktů modelu, abyste vytvořili privátní koncový bod pro blob s ID dílčího prostředku. K protokolování modelů v katalogu Unity z bezserverových notebooků budete potřebovat DFS.

Další informace o síťových adaptérech najdete v tématu Co je konfigurace síťového připojení (NCC)?.

Požadavky

  • Váš pracovní prostor musí být v plánu Premium.
  • Musíte být správcem účtu Azure Databricks.
  • Každý účet Azure Databricks může mít až 10 NCC na oblast.
  • Každá oblast může mít 100 privátních koncových bodů distribuovaných podle potřeby napříč 1 až 10 síťovými adaptéry.
  • Každá NCC je možné připojit až k 50 pracovním prostorům.

Krok 1: Vytvoření konfigurace připojení k síti

Databricks doporučuje sdílení NCC mezi pracovními prostory ve stejné organizační jednotce a těmi, kteří sdílejí stejné vlastnosti připojení k oblasti. Pokud například některé pracovní prostory používají Private Link a jiné pracovní prostory povolování brány firewall, použijte pro tyto případy použití samostatné NCC.

  1. Jako správce účtu přejděte do konzoly účtu.
  2. Na bočním panelu klikněte na Cloudové prostředky.
  3. Klikněte na Konfigurace síťového připojení.
  4. Klikněte na Přidat konfiguraci síťového připojení.
  5. Zadejte název pro NCC.
  6. Zvolte oblast. To musí odpovídat vaší oblasti pracovního prostoru.
  7. Klikněte na tlačítko Přidat.

Krok 2: Připojení NCC k pracovnímu prostoru

  1. Na bočním panelu konzoly účtu klikněte na Pracovní prostory.
  2. Klikněte na název pracovního prostoru.
  3. Klikněte na Aktualizovat pracovní prostor.
  4. V poli Konfigurace připojení k síti vyberte svou konfiguraci síťového připojení. Pokud není vidět, ověřte, že jste pro pracovní prostor i NCC vybrali stejnou oblast Azure.
  5. Klikněte na Aktualizovat.
  6. Počkejte 10 minut, než se změna projeví.
  7. Restartujte všechny spuštěné bezserverové služby v pracovním prostoru.

Krok 3: Vytvoření pravidel privátního koncového bodu

Pro každý prostředek Azure musíte ve své službě NCC vytvořit pravidlo privátního koncového bodu.

  1. Získejte seznam ID prostředků Azure pro všechny vaše cíle.
    1. Na jiné kartě prohlížeče použijte portál Azure k přechodu ke službám Azure ve vašem zdroji dat.
    2. Na stránce Přehled se podívejte do sekce Základy.
    3. Klikněte na odkaz Zobrazení JSON. ID zdroje služby se zobrazí v horní části stránky.
    4. Zkopírujte toto ID prostředku do jiného umístění. Opakujte pro všechny cíle. Další informace o vyhledání ID prostředku najdete v tématu hodnoty privátní zóny DNS privátního koncového bodu Azure.
  2. Přepněte zpět na kartu prohlížeče konzoly účtu.
  3. Na bočním panelu klikněte na Cloudové prostředky.
  4. Klikněte na Konfigurace síťového připojení.
  5. Vyberte NCC, kterou jste vytvořili v kroku 1.
  6. V pravidlech privátního koncového bodu klikněte na přidat pravidlo privátního koncového bodu.
  7. Do pole ID cílového prostředku Azure vložte ID prostředku pro váš prostředek.
  8. V poli ID podresursu Azure zadejte cílové ID a typ podresursu. Každé pravidlo privátního koncového bodu musí používat jiné ID podresursu. Seznam podporovaných typů podsourců najdete v tématu dostupnosti služby Azure Private Link.
  9. Klikněte na tlačítko Přidat.
  10. Počkejte několik minut, dokud nebudou mít všechna pravidla koncového bodu stav PENDING.

Krok 4: Schválení nových privátních koncových bodů vašich prostředků

Tyto koncové body nezačnou fungovat, dokud správce s právy k prostředku neschválí nový soukromý koncový bod. Pokud chcete schválit privátní koncový bod pomocí webu Azure Portal, postupujte takto:

  1. Na webu Azure Portal přejděte k vašemu prostředku.

  2. Na bočním panelu klikněte na Položku Sítě.

  3. Klikněte na připojení privátního koncového bodu.

  4. Klikněte na kartu Soukromý přístup .

  5. V části připojení privátních koncových bodůzkontrolujte seznam privátních koncových bodů.

  6. Klikněte na zaškrtávací políčko vedle každého, který chcete schválit, a klikněte na tlačítko Schválit nad seznamem.

  7. Vraťte se do služby NCC v Azure Databricks a aktualizujte stránku prohlížeče, dokud nebudou mít všechna pravidla koncových bodů stav ESTABLISHED.

    seznam privátních koncových bodů

(volitelné) Krok 5: Nastavení účtu úložiště tak, aby nepovolil přístup k veřejné síti

Pokud jste ještě neměli omezený přístup k účtu úložiště Azure, abyste povolili jenom sítě uvedené v seznamu, můžete to udělat.

  1. Přejděte na Azure Portal.
  2. Přejděte ke svému účtu úložiště pro zdroj dat.
  3. Na bočním panelu klikněte na Položku Sítě.
  4. V poli Přístup k veřejné síti zkontrolujte hodnotu. Ve výchozím nastavení je tato hodnota povolená ze všech sítí. Změňte tuto možnost na Zakázáno.

Krok 6: Restartujte bezserverovou výpočetní rovinu a otestujte připojení

  1. Po předchozím kroku počkejte pět dalších minut, než se změny rozšíří.
  2. Restartujte všechny spuštěné prostředky bezserverového výpočetního prostředí v pracovních prostorech, ke kterým je připojená vaše služba NCC. Pokud nemáte spuštěné prostředky pro bezserverovou výpočetní platformu, začněte je používat hned.
  3. Ověřte, že se všechny prostředky úspěšně spustily.
  4. Spusťte alespoň jeden dotaz na zdroj dat, abyste potvrdili, že bezserverový SQL Warehouse se může spojit s vaším zdrojem dat.