Azure Private Link 백 엔드 및 프런트 엔드 연결 사용
이 문서에서는 Azure Private Link를 사용하여 사용자와 해당 Databricks 작업 영역 간의 프라이빗 연결을 사용하도록 설정하고, 클래식 컴퓨팅 평면의 클러스터와 Databricks 작업 영역 인프라 내의 컨트롤 플레인의 핵심 서비스 간에도 프라이빗 연결을 사용하도록 설정하는 방법을 요약합니다.
서버리스 SQL 웨어하우스에 대한 네트워크 액세스를 변경하려면 서버리스 컴퓨팅에서 프라이빗 연결 구성을 참조 하세요.
개요
Private Link는 공용 네트워크에 트래픽을 노출하지 않고 Azure VNet 및 온-프레미스 네트워크에서 Azure 서비스로의 프라이빗 연결을 제공합니다. Azure Databricks는 다음과 같은 Private Link 연결 형식을 지원합니다.
- 프런트 엔드 Private Link(“사용자-작업 영역”라고도 함): 프런트 엔드 Private Link 연결을 사용하면 사용자가 VNet 인터페이스 엔드포인트를 통해 Azure Databricks 웹 애플리케이션, REST API 및 Databricks Connect API에 연결할 수 있습니다. 프런트 엔드 연결은 JDBC/ODBC 및 Power BI 통합에서도 사용됩니다. 전송 VNet과 작업 영역의 Azure Databricks 컨트롤 플레인 간의 프런트 엔드 Private Link 연결에 대한 네트워크 트래픽은 Microsoft 백본 네트워크를 통과합니다.
- 제어 평면을 제어하는 컴퓨팅 평면이라고도 하는 백 엔드 Private Link: 고객 관리 VNet(컴퓨팅 평면)의 Databricks 런타임 클러스터는 Azure Databricks 클라우드 계정에서 Azure Databricks 작업 영역의 핵심 서비스(컨트롤 플레인)에 연결됩니다. 이를 통해 클러스터에서 보안 클러스터 연결 릴레이 엔드포인트 및 REST API 엔드포인트로의 프라이빗 연결이 설정됩니다.
-
브라우저 인증 프라이빗 엔드포인트: 공용 인터넷 연결이 없는 클라이언트에 대해 Azure Databricks 웹 애플리케이션에 대한 프라이빗 프런트 엔드 연결을 지원하려면 Microsoft Entra ID에서 Azure Databricks 웹 애플리케이션에 대한 SSO(Single Sign-On) 로그인 콜백을 지원하기 위해 브라우저 인증 프라이빗 엔드포인트를 추가해야 합니다. 네트워크에서 공용 인터넷으로의 연결을 허용하는 경우 브라우저 인증 프라이빗 엔드포인트를 추가하는 것이 좋지만 필수는 아닙니다. 브라우저 인증 프라이빗 엔드포인트는 하위 리소스 유형을
browser_authentication
사용하는 프라이빗 연결입니다.
프런트 엔드 및 백 엔드 연결 모두에 대해 Private Link를 구현하는 경우 필요에 따라 작업 영역에 대한 프라이빗 연결을 위임할 수 있습니다. 즉, Azure Databricks가 공용 네트워크를 통한 연결을 거부합니다. 프런트 엔드 또는 백 엔드 연결 형식 둘 다의 구현을 거부하는 경우 이 요구 사항을 적용할 수 없습니다.
백 엔드 Private Link가 구성된 경우 샘플 Unity 카탈로그 데이터 세트 및 Azure Databricks 데이터 세트를 사용할 수 없습니다. 샘플 데이터 세트를 참조 하세요.
이 문서의 대부분은 새 작업 영역을 만드는 방법에 관한 것이지만 기존 작업 영역에서 Private Link를 사용하거나 사용하지 않도록 설정할 수 있습니다. 기존 작업 영역에서 Azure Private Link 사용 또는 사용 안 함을 참조 하세요.
용어
다음 표에서는 중요한 용어에 대해 설명합니다.
용어 | 설명 |
---|---|
Azure Private Link | 공용 네트워크에 트래픽을 노출하지 않고 Azure VNet 및 온-프레미스 네트워크에서 Azure 서비스로 프라이빗 연결을 제공하는 Azure 기술입니다. |
Azure Private Link 서비스 | Private Link 연결의 대상이 될 수 있는 서비스입니다. 각 Azure Databricks 컨트롤 플레인 인스턴스는 Azure Private Link 서비스를 게시합니다. |
Azure 프라이빗 엔드포인트 | Azure 프라이빗 엔드포인트를 사용하면 VNet과 Private Link 서비스 간에 프라이빗 연결을 사용할 수 있습니다. 프런트 엔드 및 백 엔드 연결의 경우 Azure 프라이빗 엔드포인트의 대상은 Azure Databricks 컨트롤 플레인입니다. |
프라이빗 엔드포인트에 대한 일반적인 내용은 Microsoft 문서 프라이빗 엔드포인트란?을 참조하세요.
표준 또는 간소화된 배포 선택
Azure Databricks에서 지원하는 두 가지 유형의 Private Link 배포가 있으며 다음 중 하나를 선택해야 합니다.
- 표준 배포(권장): 보안 향상을 위해 Databricks는 별도의 전송 VNet에서 프런트 엔드 연결에 별도의 프라이빗 엔드포인트를 사용하는 것이 좋습니다. 프런트 엔드 및 백 엔드 Private Link 연결 또는 백 엔드 연결만 구현할 수 있습니다. 클래식 컴퓨팅 평면의 컴퓨팅 리소스에 사용하는 VNet과는 별도로 별도의 VNet을 사용하여 사용자 액세스를 캡슐화합니다. 백 엔드 및 프런트 엔드 액세스를 위한 별도의 Private Link 엔드포인트를 만듭니다. Azure Private Link를 표준 배포로 사용하도록 설정의 지침을 따릅니다.
- 간소화된 배포: 일부 조직에서는 둘 이상의 프라이빗 엔드포인트를 허용하지 않거나 별도의 전송 VNet을 중단하는 등 다양한 네트워크 정책 이유로 표준 배포를 사용할 수 없습니다. 또는 Private Link 간소화된 배포를 사용할 수 있습니다. 별도의 VNet은 클래식 컴퓨팅 평면의 컴퓨팅 리소스에 사용하는 VNet과 사용자 액세스를 구분하지 않습니다. 대신 컴퓨팅 평면 VNet의 전송 서브넷 이 사용자 액세스에 사용됩니다. Private Link 엔드포인트는 하나만 있습니다. 일반적으로 프런트 엔드 및 백 엔드 연결이 모두 구성됩니다. 필요에 따라 백 엔드 연결만 구성할 수 있습니다. 이 배포 유형에서는 프런트 엔드 연결만 사용하도록 선택할 수 없습니다. 간소화된 배포로 Azure Private Link 사용의 지침을 따릅니다.
요구 사항
Azure 구독
Azure Databricks 작업 영역은 프리미엄 플랜에 있어야 합니다.
Azure Databricks 작업 영역 네트워크 아키텍처
- Azure Databricks 작업 영역은 VNet 삽입을 사용하여 모든 Private Link 연결(프런트 엔드 전용 연결도 해당)을 추가해야 합니다.
- 백 엔드 Private Link 연결을 구현하는 경우 Azure Databricks 작업 영역에서 보안 클러스터 연결(SCC/공용 IP 없음/NPIP)을 사용해야 합니다.
-
VNet 삽입의 요구 사항을 충족하는 VNet이 필요합니다.
- 두 개의 서브넷을 정의해야 합니다(공용 서브넷 및 프라이빗 서브넷으로 UI에서 참조됨). Azure Databricks에 사용하는 VNet 및 서브넷 IP 범위는 한 번에 사용할 수 있는 최대 클러스터 노드 수를 정의합니다.
- 프런트 엔드 Private Link, 백 엔드 Private Link 또는 둘 다를 구현하려면 작업 영역 VNet에 Private Link 엔드포인트가 포함된 세 번째 서브넷이 필요하며 해당 IP 주소 범위는 다른 작업 영역 서브넷의 범위와 겹치지 않아야 합니다. 이 문서에서는 이 세 번째 서브넷을 프라이빗 엔드포인트 서브넷이라고 합니다. 예제 및 스크린샷은 서브넷 이름을
private-link
로 가정합니다. 이것은 CIDR 범위/27
만큼 작을 수 있습니다. 프라이빗 엔드포인트가 포함된 서브넷에 대한 NSG 규칙을 정의하지 마세요. - UI를 사용하여 개체를 만드는 경우 Azure Databricks 작업 영역을 만들기 전에 네트워크 및 서브넷을 수동으로 만들어야 합니다. 템플릿을 사용하려는 경우 Azure Databricks에서 제공하는 템플릿은 1개의 VNet과 두 개의 일반 서브넷과 프라이빗 엔드포인트용 다른 서브넷을 비롯한 적절한 서브넷을 만듭니다.
- 프라이빗 엔드포인트에서 네트워크 보안 그룹 정책을 사용하도록 설정한 경우 프라이빗 엔드포인트가 배포된 서브넷의 네트워크 보안 그룹에서 인바운드 보안 규칙에 대한 포트 443, 6666, 3306 및 8443-8451을 허용해야 합니다.
- 네트워크와 Azure Portal 및 해당 서비스 간에 연결하려면 허용 목록에 Azure Portal URL을 추가해야 할 수 있습니다. 방화벽 또는 프록시 서버에서 Azure Portal URL 허용을 참조 하세요.
프런트 엔드 연결 네트워크 아키텍처
프런트 엔드 Private Link만의 경우 사용자가 온-프레미스 네트워크에서 작업 영역에 액세스하려면 해당 네트워크에서 Azure 네트워크에 프라이빗 연결을 추가해야 합니다. Private Link를 구성하기 전에 이 연결을 추가합니다. 세부 정보는 Private Link 표준 배포 또는 간소화된 배포를 선택하는지 여부에 따라 달라집니다.
- 표준 배포의 경우 요새 VNet 또는 허브 VNet이라고도 하는 기존 전송 VNet을 만들거나 사용합니다. 이 VNet은 Expressroute 또는 VPN Gateway 연결을 사용하여 온-프레미스 사용자 환경에서 연결할 수 있어야 합니다. 프런트 엔드 Private Link 경우 작업 영역 VNet을 공유하는 대신 컨트롤 플레인에 연결할 별도의 VNet을 만드는 것이 좋습니다. 전송 VNet 및 해당 서브넷은 작업 영역 VNet 및 해당 서브넷과 동일한 지역, 영역 및 리소스 그룹에 있을 수 있지만 일치시킬 필요는 없습니다. 별도의 전송 VNet에 대한 리소스 그룹을 만들고 해당 프라이빗 엔드포인트에 대해 다른 프라이빗 DNS 영역을 사용합니다. 두 개의 개별 프라이빗 엔드포인트를 사용하는 경우 DNS 영역을 공유할 수 없습니다.
- 간소화된 배포의 경우 작업 영역 VNet에 전송 서브넷을 만듭니다. 이 배포에서 전송 서브넷에는 별도의 프라이빗 엔드포인트가 없습니다. 작업 영역 VNet의 전송 서브넷은 백 엔드 및 프런트 엔드 연결 모두에 단일 프라이빗 엔드포인트를 사용합니다.
Azure 사용자 권한
Azure 사용자는 다음을 수행할 수 있는 읽기/쓰기 권한이 있어야 합니다.
- 새 Azure Databricks 작업 영역을 프로비저닝합니다.
- 작업 영역 VNet에서 Azure Private Link 엔드포인트를 만들고 (프런트 엔드 사용의 경우) 전송 VNet을 만듭니다.
전송 VNet에 대한 프라이빗 엔드포인트를 만든 사용자에게 작업 영역에 대한 소유자/기여자 권한이 없는 경우 작업 영역에 대한 소유자/기여자 권한이 있는 별도의 사용자가 프라이빗 엔드포인트 만들기 요청을 수동으로 승인해야 합니다.
기존 작업 영역에서 Azure Private Link 사용 또는 사용 안 함
기존 작업 영역에서 Private Link를 사용하도록 설정할 수 있습니다. 업그레이드하려면 작업 영역에서 VNet 삽입, 보안 클러스터 연결 및 프리미엄 가격 책정 계층을 사용해야 합니다. 업데이트하는 동안 보안 클러스터 연결 및 프리미엄 가격 책정 계층으로 업데이트할 수 있습니다.
ARM 템플릿 또는 azurerm
Terraform 공급자 버전 3.41.0+을 사용할 수 있습니다. Azure Portal을 사용하여 사용자 지정 템플릿을 적용하고 UI에서 매개 변수를 수정할 수 있습니다. 그러나 Azure Databricks 작업 영역 인스턴스 자체에서 이 업그레이드에 대한 Azure Portal 사용자 인터페이스 지원은 없습니다.
업그레이드에 문제가 발생하여 작업 영역 업데이트 단계를 반복할 수 있지만 대신 Private Link를 사용하지 않도록 필드를 설정할 수 있습니다.
이 섹션의 초점은 기존 작업 영역에서 Private Link를 사용하도록 설정하지만 ARM 템플릿 또는 Terraform 업데이트와 동일한 작업 영역 업데이트 호출을 사용하여 기존 작업 영역에서 이를 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 4단계 : 작업 영역 업데이트 적용을 참조하세요.
1단계: 이 페이지에서 요구 사항 및 설명서 읽기
Private Link로 업그레이드를 시도하기 전에 읽어야 하는 중요한 개념과 요구 사항이 있습니다.
- 계속하기 전에 개념 및 요구 사항을 포함하여 이 문서를 읽어보세요.
- 표준 배포 또는 간소화된 배포를 사용할지 여부를 결정합니다.
- 표준 배포 또는 간소화된 배포(사용하는 방법)에 대한 페이지에서 다양한 시나리오를 포함하여 페이지를 주의 깊게 검토합니다. 사용 사례와 일치하는 시나리오를 찾습니다. 사용
publicNetworkAccess
하려는 값 및requiredNsgRules
. 프런트 엔드 연결이 잠긴 프런트 엔드 및 백 엔드 Private Link의 권장 구성을 위해 설정publicNetworkAccess=Disabled
및requiredNsgRules=NoAzureDatabricksRules
2단계: 모든 컴퓨팅 리소스 중지
이 업그레이드를 시도하기 전에 클러스터, 풀 또는 클래식 SQL 웨어하우스와 같은 모든 컴퓨팅 리소스를 중지해야 합니다. 작업 영역 컴퓨팅 리소스를 실행할 수 없거나 업그레이드 시도가 실패합니다. Databricks는 가동 중지 시간에 대한 업그레이드 타이밍을 계획하는 것이 좋습니다.
Important
업데이트하는 동안 컴퓨팅 리소스를 시작하지 마세요. Azure Databricks에서 컴퓨팅 리소스가 시작되었거나 아직 시작 중이라고 판단하는 경우 Azure Databricks는 업데이트 후에 종료합니다.
3단계: 서브넷 및 프라이빗 엔드포인트 만들기
백 엔드 프라이빗 엔드포인트에 대한 작업 영역 VNet에 서브넷을 추가합니다.
표준 배포 또는 간소화된 배포(사용하는 방법)에 대한 문서를 엽니다.
해당 페이지의 지침에 따라 배포 유형과 일치하는 프라이빗 엔드포인트를 만듭니다.
작업 영역 업데이트를 수행하기 전에 백 엔드 지원을 위한 모든 프라이빗 엔드포인트를 만듭니다.
UI 액세스의 경우 전송 VNet에서 SSO를 지원하는 하위 리소스
databricks_ui_api
가 있는 프라이빗 엔드포인트를 만듭니다. 프런트 엔드 액세스를 위해 작업 영역에 액세스하는 둘 이상의 전송 VNet이 있는 경우 하위 리소스databricks_ui_api
를 사용하여 여러 프라이빗 엔드포인트를 만듭니다.
4단계: 작업 영역 업데이트 적용
새 작업 영역을 만드는 대신 작업 영역 업데이트를 적용해야 합니다.
이전 단계에서 선택한 값으로 및 publicNetworkAccess
매개 변수를 업데이트 requiredNsgRules
해야 합니다.
다음 방법 중 하나를 사용합니다.
-
Azure Portal UI 사용(템플릿 없음)
Azure Portal에서 Azure Databricks Service 인스턴스로 이동합니다.
설정 아래의 왼쪽 탐색 영역에서 네트워킹을 클릭합니다.
공용 네트워크 액세스 허용 및 필수 NSG 규칙을 사용 사례에 따라 적절한 값으로 설정합니다. 1단계: 이 페이지에서 요구 사항 및 설명서를 읽어보세요.
참고 항목
Azure Private Link를 사용하도록 설정하려면 작업 영역에서 보안 클러스터 연결(공용 IP 없음이라고도 함)을 사용하도록 설정해야 합니다. 아직 사용하도록 설정되지 않은 경우 Private Link 업데이트와 동시에 공용 IP 를 True로 설정하여 보안 클러스터 연결을 사용하도록 선택할 수 있습니다. 그러나 Azure Databricks는 Private Link를 사용하도록 설정하기 전에 보안 클러스터 연결을 별도의 단계로 사용하도록 설정하여 성공의 유효성을 별도로 검사할 것을 권장합니다.
저장을 클릭합니다.
네트워크 업데이트를 완료하는 데 15분 이상 걸릴 수 있습니다.
Azure Portal을 사용하여 업데이트된 ARM 템플릿 적용
참고 항목
관리되는 리소스 그룹에 사용자 지정 이름이 있는 경우 템플릿을 적절하게 수정해야 합니다. 더 자세한 내용은 Azure Databricks 계정 팀에 문의하세요.
다음 업그레이드 ARM 템플릿 JSON을 복사합니다.
{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "location": { "defaultValue": "[resourceGroup().location]", "type": "String", "metadata": { "description": "Location for all resources." } }, "workspaceName": { "type": "String", "metadata": { "description": "The name of the Azure Databricks workspace to create." } }, "apiVersion": { "defaultValue": "2023-02-01", "allowedValues": [ "2018-04-01", "2020-02-15", "2022-04-01-preview", "2023-02-01" ], "type": "String", "metadata": { "description": "2018-03-15 for 'full region isolation control plane' and 2020-02-15 for 'FedRAMP certified' regions" } }, "publicNetworkAccess": { "defaultValue": "Enabled", "allowedValues": [ "Enabled", "Disabled" ], "type": "String", "metadata": { "description": "Whether the workspace allows access from the public Internet" } }, "requiredNsgRules": { "defaultValue": "AllRules", "allowedValues": [ "AllRules", "NoAzureDatabricksRules" ], "type": "String", "metadata": { "description": "The security rules that are applied to the security group of the Vnet" } }, "enableNoPublicIp": { "defaultValue": true, "type": "Bool" }, "pricingTier": { "defaultValue": "premium", "allowedValues": [ "premium", "standard", "trial" ], "type": "String", "metadata": { "description": "The pricing tier of workspace." } }, "privateSubnetName": { "defaultValue": "private-subnet", "type": "String", "metadata": { "description": "The name of the private subnet." } }, "publicSubnetName": { "defaultValue": "public-subnet", "type": "String", "metadata": { "description": "The name of the public subnet." } }, "vnetId": { "type": "String", "metadata": { "description": "The virtual network Resource ID." } } }, "variables": { "managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]", "managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', variables('managedResourceGroupName'))]" }, "resources": [ { "type": "Microsoft.Databricks/workspaces", "apiVersion": "[parameters('apiVersion')]", "name": "[parameters('workspaceName')]", "location": "[parameters('location')]", "sku": { "name": "[parameters('pricingTier')]" }, "properties": { "ManagedResourceGroupId": "[variables('managedResourceGroupId')]", "publicNetworkAccess": "[parameters('publicNetworkAccess')]", "requiredNsgRules": "[parameters('requiredNsgRules')]", "parameters": { "enableNoPublicIp": { "value": "[parameters('enableNoPublicIp')]" }, "customVirtualNetworkId": { "value": "[parameters('vnetId')]" }, "customPublicSubnetName": { "value": "[parameters('publicSubnetName')]" }, "customPrivateSubnetName": { "value": "[parameters('privateSubnetName')]" } } } } ] }
Azure Portal 사용자 지정 배포 페이지로 이동합니다.
편집기에서 사용자 고유의 템플릿을 빌드합니다.를 클릭합니다.
복사한 템플릿의 JSON에 붙여넣습니다.
저장을 클릭합니다.
Private Link를 사용하도록 설정하려면 사용 사례에 따라 매개 변수를 설정합니다
publicNetworkAccess
requiredNsgRules
.Private Link를 사용하지 않도록 설정하려면 다음으로
publicNetworkAccess
설정하고true
.로requiredNsgRules
설정합니다AllRules
.다른 필드의 경우 구독, 지역, 작업 영역 이름, 서브넷 이름, 기존 VNet의 리소스 ID와 같은 작업 영역을 만드는 데 사용한 것과 동일한 매개 변수를 사용합니다.
Important
리소스 그룹 이름, 작업 영역 이름 및 서브넷 이름은 이 명령이 새 작업 영역을 만드는 대신 기존 작업 영역을 업데이트하도록 기존 작업 영역과 동일해야 합니다.
검토 + 만들기를 클릭합니다.
유효성 검사 문제가 없으면 만들기를 클릭합니다.
네트워크 업데이트를 완료하는 데 15분 이상 걸릴 수 있습니다.
Terraform을 사용하여 업데이트 적용
Terraform으로 만든 작업 영역의 경우 Private Link를 사용하도록 작업 영역을 업데이트할 수 있습니다.
Important
버전 3.41.0 이상을 사용해야 terraform-provider-azurerm
하므로 필요에 따라 Terraform 공급자 버전을 업그레이드합니다. 이전 버전에서는 이러한 설정을 변경하는 경우 작업 영역을 다시 만들려고 시도합니다.
개략적인 단계는 다음과 같습니다.
다음 작업 영역 설정을 변경합니다.
-
public_network_access_enabled
: (사용) 또는true
(사용 안 함)으로false
설정 -
network_security_group_rules_required
: 설정 또는AllRules
NoAzureDatabricksRules
.
네트워크 업데이트를 완료하는 데 15분 이상 걸릴 수 있습니다.
-
프라이빗 엔드포인트를 만듭니다.
Private Link를 사용하도록 설정하고 프라이빗 엔드포인트를 만드는 방법에 대한 자세한 가이드는 다음과 같습니다.
- 표준 배포는 Azure Private Link 표준 배포에 대한 Terraform 가이드를 참조 하세요.
- 간소화된 배포는 Azure Private Link 간소화된 배포에 대한 Terraform 가이드를 참조 하세요.
네트워크 업데이트를 완료하는 데 15분 이상 걸릴 수 있습니다.
5단계: 사용자 SSO 인증 및 백 엔드 연결 테스트
다음 방법에 대한 자세한 내용은 기본 배포 페이지를 따르세요.
- 작업 영역에 대한 사용자 SSO 인증을 테스트합니다.
- 백 엔드 Private Link 연결 테스트(백 엔드 연결에 필요)
6단계: 업데이트 유효성 검사
- Azure Portal에서 Azure Databricks Service 인스턴스로 이동합니다.
- 설정 아래의 왼쪽 탐색 영역에서 네트워킹을 클릭합니다.
- 공용 네트워크 액세스 허용 값이 설정한 값과 일치하는지 확인합니다.
- 필수 NSG 규칙의 값이 설정한 값과 일치하는지 확인합니다.
오류 복구
작업 영역 업데이트가 실패하면 작업 영역이 실패한 상태로 표시될 수 있습니다. 즉, 작업 영역이 컴퓨팅 작업을 수행할 수 없습니다. 실패한 작업 영역을 다시 활성 상태로 복원하려면 업데이트 작업의 상태 메시지에서 지침을 검토합니다. 문제가 해결되면 실패한 작업 영역에서 업데이트를 다시 실행합니다. 업데이트가 성공적으로 완료될 때까지 단계를 반복합니다. 질문이 있는 경우 Azure Databricks 계정 팀에 문의하세요.