Condividi tramite

Configurare la connettività privata dal calcolo serverless

  • Articolo

Questo articolo descrive come configurare la connettività privata dal calcolo serverless usando l'interfaccia utente della console dell'account di Azure Databricks. È anche possibile usare l'API Configurazioni connessione di rete.

Se si configura la risorsa di Azure per accettare solo connessioni da endpoint privati, qualsiasi connessione alla risorsa dalle risorse di calcolo Databricks classiche deve anch’essa utilizzare endpoint privati.

Per configurare un firewall di Archiviazione di Azure per l'accesso al calcolo serverless tramite subnet, consultare Configurare un firewall per l'accesso al calcolo serverless. Per gestire le regole degli endpoint privati esistenti, vedere Gestire le regole dell'endpoint privato.

Importante

A partire dal 4 dicembre 2024, Azure Databricks ha iniziato a pagare i costi di rete associati ai carichi di lavoro serverless che si connettono alle risorse dei clienti. Attualmente ti vengono addebitati costi orari per l'endpoint privato delle tue risorse. Gli addebiti per l'elaborazione dei dati per le connessioni Private Link sono esentati a tempo indeterminato. La fatturazione per altri costi di rete verrà implementata gradualmente, tra cui:

  • Connettività pubblica alle risorse, ad esempio tramite un gateway NAT.
  • Addebiti per il trasferimento dei dati, ad esempio quando il calcolo serverless e la risorsa di destinazione si trovano in aree diverse.

Gli addebiti non verranno applicati retroattivamente.

Panoramica della connettività privata per il calcolo serverless

La connettività di rete serverless viene gestita con le configurazioni di connettività di rete (NCC). Gli amministratori dell'account creano i NCC nella console dell'amministrazione e un NCC può essere associato a una o più aree di lavoro.

Quando si aggiunge un endpoint privato in un NCC, Azure Databricks crea una richiesta di endpoint privato alla risorsa di Azure. Dopo aver accettato la richiesta sul lato risorsa, l'endpoint privato viene usato per accedere alle risorse dal piano di calcolo serverless. L'endpoint privato è dedicato all'account Azure Databricks ed è accessibile solo dalle aree di lavoro autorizzate.

Gli endpoint privati NCC sono supportati da sql warehouse, processi, notebook, DLT e endpoint di gestione dei modelli.

Nota

Gli endpoint privati NCC sono supportati solo per le origini dati gestite. Per la connessione all'account di archiviazione dell'area di lavoro, contattare il team del tuo account Azure Databricks.

Nota

La gestione del modello usa il percorso di archiviazione BLOB di Azure per scaricare gli artefatti del modello, quindi creare un endpoint privato per il BLOB dell'ID risorsa secondaria. Avrai bisogno di DFS per registrare i modelli in Unity Catalog dai notebook senza server.

Per altre informazioni sui controller di rete, vedere Che cos'è una configurazione della connessione di rete(NCC)?.

Requisiti

  • L'area di lavoro deve essere nel piano Premium.
  • È necessario essere un amministratore dell'account in Azure Databricks.
  • Ogni account Azure Databricks può avere fino a 10 NCC per area.
  • Ogni regione può avere 100 endpoint privati, distribuiti in base alle esigenze tra 1 e 10 NCC.
  • Ogni NCC può essere collegato a un massimo di 50 aree di lavoro.

Passaggio 1: Creare una configurazione di connettività di rete

Databricks consiglia di condividere un NCC tra aree di lavoro all'interno della stessa business unit e di quelle che condividono le stesse proprietà di connettività dell'area. Ad esempio, se alcune aree di lavoro usano collegamento privato e altre aree di lavoro usano l'abilitazione del firewall, usare controller di rete separati per tali casi d'uso.

  1. In qualità di amministratore dell'account, passare alla console dell'account.
  2. Nella barra laterale, fare clic su Risorse cloud.
  3. Fare clic su Configurazioni di connettività di rete.
  4. Fare clic su Aggiungi configurazione connettività di rete.
  5. Inserisci un nome per il NCC.
  6. Seleziona l'area. Deve corrispondere alla regione dell'area di lavoro.
  7. Fare clic su Aggiungi.

Passaggio 2: Collegare un NCC a un'area di lavoro

  1. Nella barra laterale della console dell'account fare clic su Aree di lavoro.
  2. Fare clic sul nome dell'area di lavoro.
  3. Fare clic su Aggiorna area di lavoro.
  4. Nel campo Configurazione della Connettività di Rete, selezionare il proprio NCC. Se non è visibile, verificare di aver selezionato la stessa area di Azure sia per l'area di lavoro che per il NCC.
  5. Clicca su Aggiorna.
  6. Attendere 10 minuti affinché le modifiche abbiano effetto.
  7. Riavviare tutti i servizi serverless in esecuzione nell'area di lavoro.

Passaggio 3: Creare regole di endpoint privato

È necessario creare una regola dell'endpoint privato nel NCC per ogni risorsa di Azure.

  1. Ottenere un elenco di ID risorsa di Azure per tutte le destinazioni.
    1. In un'altra scheda del browser, usare il portale di Azure per passare ai servizi di Azure dell'origine dati.
    2. Nella pagina Panoramica, cerca nella sezione Informazioni di base.
    3. Fare clic sul link Visualizzazione JSON. L'ID risorsa per il servizio viene visualizzato nella parte superiore della pagina.
    4. Copia l'ID risorsa in un'altra posizione. Ripetere per tutte le destinazioni. Per ulteriori informazioni sulla ricerca dell'ID risorsa, vedere i valori della zona DNS privata dell'endpoint privato di Azure.
  2. Tornare alla scheda del browser della console dell'account.
  3. Nella barra laterale, fare clic su Risorse cloud.
  4. Fare clic su Configurazioni di connettività di rete.
  5. Selezionare il NCC creato nel passaggio 1.
  6. In Regole degli endpoint privati, fare clic su Aggiungi regola endpoint privato.
  7. Nel campo ID risorsa di Azure di destinazione, incolla l'ID della tua risorsa.
  8. Nel campo ID sottorisorsa di Azure, specificare l'ID di destinazione e il tipo di sottorisorsa. Ogni regola dell'endpoint privato deve usare un ID di sottorisorsa diverso. Per un elenco dei tipi di sottorisorsa supportati, vedere disponibilità del collegamento privato di Azure.
  9. Fare clic su Aggiungi.
  10. Attendere alcuni minuti finché tutte le regole dell'endpoint hanno lo stato PENDING.

Passaggio 4: Approva i nuovi endpoint privati per le risorse

Gli endpoint non diventano effettivi finché un amministratore con diritti per la risorsa non approva il nuovo endpoint privato. Per approvare un endpoint privato usando il portale di Azure, eseguire le operazioni seguenti:

  1. Nel portale di Azure, passa alla risorsa.

  2. Nella barra laterale fare clic su Rete.

  3. Fare clic su Connessioni endpoint privati.

  4. Fare clic sulla scheda Accesso privato.

  5. In base a le connessioni degli endpoint privati, controllare l'elenco degli endpoint privati.

  6. Fare clic sulla casella di controllo accanto a ogni elemento da approvare, quindi fare clic sul pulsante Approva sopra l'elenco.

  7. Torna al tuo NCC in Azure Databricks e aggiorna la pagina del browser finché tutte le regole dell'endpoint non hanno lo stato ESTABLISHED.

    elenco di endpoint privati

(facoltativo) Passaggio 5: Impostare l'account di archiviazione per impedire l'accesso alla rete pubblica

Se non è già stato limitato l'accesso all'account di archiviazione di Azure solo per le reti consentite, è possibile scegliere di eseguire questa operazione.

  1. Vai al portale di Azure.
  2. Accedi al tuo account di archiviazione per la sorgente dati.
  3. Nella barra laterale fare clic su Rete.
  4. Controllare il valore nel campo Accesso alla rete pubblica. Per impostazione predefinita, il valore è Abilitato da tutte le reti. Impostare questa opzione su Disabilitato

Passaggio 6: Riavviare le risorse del piano di calcolo serverless e testare la connessione

  1. Dopo il passaggio precedente, attendere cinque minuti aggiuntivi per la propagazione delle modifiche.
  2. Riavviare eventuali risorse del piano di calcolo serverless in esecuzione negli spazi di lavoro a cui è collegato il vostro NCC. Se non si dispone di risorse del piano di calcolo serverless in esecuzione, avviatene una subito.
  3. Verificare che tutte le risorse siano state avviate correttamente.
  4. Esegui almeno una query sulla tua origine dati per confermare che il serverless SQL Warehouse possa raggiungere l'origine dati.