서버리스 송신 제어란?

Important

이 기능은 공개 미리 보기 상태입니다.

이 문서에서는 서버리스 송신 제어를 사용하여 서버리스 컴퓨팅 리소스에서 아웃바운드 네트워크 연결을 관리하는 방법을 설명합니다.

서버리스 아웃바운드 제어는 서버리스 워크로드의 외부 연결을 관리하여 데이터 탈취 위험을 줄이고, 보안 태세를 강화합니다.

네트워크 정책을 사용하여 다음을 수행할 수 있습니다.

기본값으로 거부 상태적용: 인터넷, 클라우드 스토리지 및 Databricks API 연결에 대해 기본 거부 정책을 사용하도록 설정하여 세분화된 정밀도로 아웃바운드 액세스를 제어합니다.
관리 간소화: 여러 서버리스 제품에서 모든 서버리스 워크로드에 대해 일관된 송신 제어 정책을 정의합니다.
규모에 맞게 쉽게 관리: 여러 작업 공간에서의 상태를 중앙에서 관리하고 Databricks 계정에 기본 정책을 강제 적용합니다.
안전한 롤아웃 정책: 전체 적용 전에 로그 전용 모드에서 새 정책의 효과를 평가하여 위험을 완화합니다.

이 프리뷰는 다음의 서버리스 제품을 지원합니다: 노트북, 워크플로우, SQL 웨어하우스, 델타 라이브 테이블 파이프라인, 모자이크 AI 모델 서빙, 레이크하우스 모니터링 및 제한적으로 지원되는 Databricks 앱.

메모

작업 영역에서 송신 제한을 사용하도록 설정하면 Databricks 앱에서 권한 없는 리소스에 액세스할 수 없게 됩니다. 이그레스 제한을 도입하면 애플리케이션 기능에 영향을 줄 수 있습니다.

네트워크 정책 개요

네트워크 정책은 Azure Databricks 계정 수준에서 적용되는 구성 개체입니다. 단일 네트워크 정책을 여러 Azure Databricks 작업 영역과 연결할 수 있지만 각 작업 영역은 한 번에 하나의 정책에만 연결할 수 있습니다.

네트워크 정책은 연결된 작업 영역 내의 서버리스 워크로드에 대한 네트워크 액세스 모드를 정의합니다. 두 가지 기본 모드가 있습니다.

전체 액세스: 서버리스 워크로드에는 인터넷 및 기타 네트워크 리소스에 대한 무제한 아웃바운드 액세스 권한이 있습니다.
제한된 액세스: 아웃바운드 액세스는 다음으로 제한됩니다.
- Unity 카탈로그 대상: 작업 영역에서 액세스할 수 있는 Unity 카탈로그 내에서 구성된 위치 및 연결입니다.
- 명시적으로 정의된 대상: FQDN 및 Azure Storage 계정이 네트워크 정책에 나열됩니다.

네트워크 정책이 제한된 액세스 모드로 설정되면 서버리스 워크로드의 아웃바운드 네트워크 연결이 엄격하게 제어됩니다.

행동	세부 정보
기본적으로 아웃바운드 연결 거부	서버리스 워크로드는 기본적으로 허용되는 Unity 카탈로그 위치 또는 연결, 정책에 정의된 FQDN 또는 스토리지 위치, 워크로드와 동일한 작업 영역의 작업 영역 API를 통해 구성된 대상에만 액세스할 수 있습니다. 작업 영역 간 액세스가 거부되었습니다.
직접 스토리지 액세스 없음	UDF 및 Notebook의 사용자 코드에서 직접 액세스할 수 없습니다. 대신 Unity 카탈로그 또는 DBFS 탑재와 같은 Databricks 추상화를 사용합니다. DBFS 탑재를 사용하면 네트워크 정책에 나열된 Azure Storage 계정의 데이터에 안전하게 액세스할 수 있습니다.
암시적으로 허용된 목적지	작업 영역, 필수 시스템 테이블 및 샘플 데이터 세트와 연결된 Azure Storage 계정에 항상 액세스할 수 있습니다(읽기 전용).
프라이빗 엔드포인트에 대한 정책 적용	프라이빗 엔드포인트를 통한 아웃바운드 액세스는 네트워크 정책에 정의된 규칙의 적용을 받습니다. 대상은 Unity 카탈로그에 나열되거나 정책에 포함되어야 합니다. 이렇게 하면 모든 네트워크 액세스 방법에서 일관된 보안 적용이 보장됩니다.