Azure Private Link inschakelen als een versimpelde implementatie

In dit artikel wordt uitgelegd hoe u Azure Private Link gebruikt om privéconnectiviteit tussen gebruikers en hun Databricks-werkruimten mogelijk te maken, en ook tussen clusters op het klassieke rekenvlak en de kernservices op het besturingsvlak in de Databricks-werkruimte-infrastructuur.

Notitie

• Zie Back-end- en front-endverbindingen van Azure Private Link inschakelenvoor vereisten en een overzicht van Private Link.
• Er zijn twee implementatietypen: standaard en vereenvoudigd. In dit artikel wordt de vereenvoudigde implementatie beschreven. Zie Standaard of vereenvoudigde implementatie kiezen om deze implementatietypen te vergelijken.

Inleiding tot front-endverbindingen in een standaardimplementatie

Als u privé-front-endverbindingen met de Azure Databricks-webtoepassing wilt ondersteunen voor clients zonder openbare internetverbinding, moet u een privé-eindpunt voor browserverificatie toevoegen ter ondersteuning van callbacks voor eenmalige aanmelding (SSO) bij de Azure Databricks-webtoepassing. Normaal gesproken komen deze gebruikersverbindingen via een VNet dat verbindingen met on-premises netwerken en VPN's verwerkt, een zogenaamde transit-VNet. Voor de vereenvoudigde implementatiestijl voor Azure Private Link-integratie met Databricks gebruikt u echter een transitsubnet in plaats van een transit-VNet.

Een privé-eindpunt voor browserverificatie is een privéverbinding met subresourcetype browser_authentication. Het host een privéverbinding vanaf een transitsubnet waarmee Microsoft Entra ID gebruikers kan omleiden na aanmelding bij het juiste exemplaar van het Azure Databricks-besturingsvlak.

• Als u van plan bent om verbindingen van uw gebruikersclientoverdrachtnetwerk naar het openbare internet toe te staan, wordt het toevoegen van een privé-eindpunt voor webbrowserverificatie aanbevolen, maar niet vereist.
• Als u van plan bent om verbindingen van uw clientoverdrachtnetwerk naar het openbare internet niet toe te laten, is het toevoegen van een privé-eindpunt voor webbrowserverificatie vereist.

Het privé-eindpunt voor browserverificatie wordt gedeeld tussen alle werkruimten in de regio die dezelfde privé-DNS-zone delen. Houd er ook rekening mee dat sommige bedrijfs-DNS-oplossingen u effectief beperken tot één regionaal privé-eindpunt voor browserverificatie.

Belangrijk

Als u de instellingen voor het privénetwerk voor webverificatie wilt hosten, raadt Databricks ten zeerste aan om een werkruimte te maken die een privéwerkruimte voor webverificatie wordt genoemd voor elke regio. Hiermee lost u het probleem op van het verwijderen van een werkruimte die mogelijk van invloed is op andere werkruimten in die regio. Zie stap 4 voor meer context en details: Een privé-eindpunt maken ter ondersteuning van eenmalige aanmelding voor toegang tot webbrowsers.

Netwerkstroom- en netwerkobjectdiagrammen

In het volgende diagram ziet u de netwerkstroom in een typische implementatie van de vereenvoudigde Private Link-implementatie:

In het volgende diagram ziet u de netwerkobjectarchitectuur:

Als u dit wilt vergelijken met de standaardimplementatie van Private Link, raadpleegt u netwerkstroom- en netwerkobjectdiagrammen

Stap 1: Resourcegroepen maken

1. Ga in Azure Portal naar de blade resourcegroepen .
2. Klik op Resourcegroep maken om een resourcegroep voor uw werkruimte te maken. Stel het Azure-abonnement, de regio en de naam van de resourcegroep in. Klik op Controleren en maken en vervolgens op Maken.

Stap 2: Het VNet van de werkruimte maken of voorbereiden

Mogelijk hebt u al een VNet dat u gaat gebruiken of kunt u een nieuw VNet maken dat specifiek is bedoeld voor Azure Databricks.

Zie het artikel Azure Databricks implementeren in uw virtuele Azure-netwerk (VNet-injectie) voor de vereisten voor IP-bereiken van het VNet en de twee vereiste subnetten voor de werkruimte.

De IP-bereiken van het VNet en het subnet die u voor Azure Databricks gebruikt, definiëren het maximum aantal clusterknooppunten dat u tegelijk kunt gebruiken. Kies deze waarden zorgvuldig zodat deze overeenkomen met de netwerkvereisten van uw eigen organisatie en de maximale clusterknooppunten die u in één keer verwacht te gebruiken met Azure Databricks. Zie Adresruimte en maximale clusterknooppunten.

U kunt bijvoorbeeld een VNet maken met deze waarden:

• IP-bereik: verwijder eerst het standaard-IP-bereik en voeg vervolgens het IP-bereik toe 10.28.0.0/23.
• Maak subnet public-subnet met bereik 10.28.0.0/25.
• Maak subnet private-subnet met bereik 10.28.0.128/25.
• Maak subnet private-link met bereik 10.28.1.0/27. In de vereenvoudigde implementatie is dit uw transitsubnet.

Stap 3: Een Azure Databricks-werkruimte en privé-eindpunten inrichten

Implementeer een nieuwe Azure Databricks-werkruimte met de volgende instellingen:

• Implementeer uw Azure Databricks-werkruimte in uw eigen VNet voor het netwerk voor rekenresources. Deze functie staat bekend als Azure Databricks implementeren in uw virtuele Azure-netwerk (VNet-injectie).
• Beveiligde clusterconnectiviteit (ook wel bekend als No-Public-IP/NPIP).
• Ondersteuning voor Private Link.

Als u een werkruimte met deze instellingen wilt implementeren, hebt u verschillende opties, waaronder een gebruikersinterface in Azure Portal, een aangepaste sjabloon (die u kunt toepassen in de gebruikersinterface, met Azure CLI of PowerShell) of Terraform. Als u een aangepaste sjabloon wilt gebruiken om een werkruimte met Private Link te maken, gebruikt u deze sjabloon.

Ongeacht welke benadering u kiest, stel deze drie waarden zorgvuldig in terwijl u uw nieuwe werkruimte maakt:

• Openbare netwerktoegang (voor front-end Private Link) (in de sjabloon als publicNetworkAccess): Bepaalt uw instellingen voor het front-endgebruik van Private Link.
  • Als u dit instelt op Enabled (de standaardinstelling), hebben gebruikers en REST API-clients op het openbare internet toegang tot Azure Databricks, hoewel u de toegang tot specifieke IP-bereiken van goedgekeurde bronnetwerken kunt beperken met behulp van IP-toegangslijsten configureren voor werkruimten.
  • Als u dit instelt op Disabled, zijn er verschillende gevolgen. Er is geen gebruikerstoegang toegestaan vanaf het openbare internet. De front-endverbinding kan alleen worden geopend via Private Link-connectiviteit en niet via het openbare internet. IP-toegangslijsten zijn niet effectief voor Private Link-verbindingen. Met deze instelling moet u ook back-end Private Link inschakelen.
  • Als u alleen back-end Private Link (geen front-end Private Link) wilt gebruiken, moet u openbare netwerktoegang instellen op Enabled.
• Vereiste NSG-regels (voor back-end Private Link) (in de sjabloon als requiredNsgRules): Mogelijke waarden:
  • Alle regels (de standaardinstelling): deze waarde staat in de sjabloon als AllRules. Dit geeft aan dat uw werkruimte-rekenvlak een netwerkbeveiligingsgroep nodig heeft die Azure Databricks-regels bevat waarmee verbindingen op het openbare internet vanaf het rekenvlak naar het besturingsvlak zijn toegestaan. Als u geen back-end Private Link gebruikt, gebruikt u deze instelling.
  • Geen Azure Databricks-regels: deze waarde bevindt zich in de sjabloon als NoAzureDatabricksRules: Gebruik deze waarde als u back-end Private Link gebruikt. Dit betekent dat uw rekenvlak voor de werkruimte geen regels voor netwerkbeveiligingsgroepen nodig heeft om verbinding te maken met het azure Databricks-besturingsvlak. Als u back-end Private Link gebruikt, gebruikt u deze instelling.
• Beveiligde clusterconnectiviteit (Geen openbaar IP/NPIP) inschakelen (in de sjabloon als enableNoPublicIp): Altijd ingesteld op Ja (true), waarmee beveiligde clusterconnectiviteitmogelijk is.

De combinatie van de instellingen openbare netwerktoegang (in de sjabloon, publicNetworkAccess) en vereiste NSG-regels (in de sjabloon requiredNsgRules) definiëren welke typen Private Link worden ondersteund.

In de volgende tabel ziet u de ondersteunde scenario's voor de twee belangrijkste private link-use cases, die front-end en back-end zijn. Deze tabel is alleen van toepassing op de vereenvoudigde implementatie van Private Link. Er zijn enkele aanvullende scenario's beschikbaar voor de standaardimplementatie van Private Link.

Scenario	Openbare netwerktoegang tot deze waarde instellen	Vereiste NSG-regels instellen op deze waarde	Deze eindpunten maken
Geen Private Link voor front-end of back-end	Ingeschakeld	Alle regels	n.v.t.
Aanbevolen configuratie: Zowel front-end als back-end Private Link. Front-endconnectiviteit is vergrendeld om Private Link te vereisen.	Uitgeschakeld	NoAzureDatabricksRules	Eén privé-eindpunt dat wordt gebruikt voor zowel back-end- als front-endconnectiviteit. Daarnaast, is er één privé-eindpunt voor verificatie per browser per regio.
Zowel front-end als back-end Private Link. Hybride front-endconnectiviteit maakt Private Link of openbaar internet mogelijk, meestal met behulp van IP-toegangslijsten configureren voor werkruimten. Gebruik deze hybride benadering als u Private Link gebruikt voor on-premises gebruikerstoegang, maar specifieke CIDR-bereiken voor internet moet toestaan. De extra bereiken kunnen worden gebruikt voor Azure-services, zoals SCIM of Azure Machine Learning, of voor externe toegang voor JDBC, cloudautomatisering of beheerhulpprogramma's.	Ingeschakeld	NoAzureDatabricksRules	Eén privé-eindpunt voor zowel back-end- als front-endconnectiviteit. Daarnaast, is er één privé-eindpunt voor verificatie per browser per regio.
Alleen front-end Private Link. Front-endconnectiviteit is vergrendeld om Private Link te vereisen (openbare netwerktoegang is uitgeschakeld). Geen Private Link voor back-end.	Dit is een niet-ondersteund scenario.	Dit is een niet-ondersteund scenario.	Dit is een niet-ondersteund scenario.
Alleen front-end Private Link. Hybride front-endconnectiviteit maakt Private Link of openbaar internet mogelijk, mogelijk met behulp van IP-toegangslijsten configureren voor werkruimten. Geen Private Link voor back-end.	Ingeschakeld	Alle regels	Eén eindpunt voor front-end (optioneel). Daarnaast, is er één privé-eindpunt voor verificatie per browser per regio.

In alle gevallen moet u deze configuratie-instellingen voor de werkruimte instellen:

• Stel prijscategorie in op Premium- (in een sjabloon is deze waarde premium)
• Stel Openbare IP- (beveiligde clusterconnectiviteit) in op Ja- (in een sjabloon is deze waarde true).
• Configureer Networking > Azure Databricks-werkruimte implementeren in uw eigen VNet (Virtual Network) op Ja (in een sjabloon is deze waarde true)

Notitie

Over het algemeen moet u Private Link inschakelen wanneer u een werkruimte maakt. Als u echter een bestaande werkruimte hebt die nooit front-end- of back-endtoegang tot Private Link had, of als u de standaardwaarden hebt gebruikt voor openbare netwerktoegang (ingeschakeld) en vereiste NSG-regels (alle regels), kunt u er later voor kiezen om front-end Private Link toe te voegen. Openbare netwerktoegang blijft echter ingeschakeld, zodat slechts enkele configuratieopties voor u beschikbaar zijn.

U kunt de werkruimte op twee manieren maken:

De werkruimte en privé-eindpunten maken in de gebruikersinterface van Azure Portal

Azure Portal bevat automatisch de twee Private Link-velden (openbare netwerktoegang en vereiste NSG-regels) bij het maken van een nieuwe Azure Databricks-werkruimte.

1. De werkruimte maken met uw eigen VNet (VNet-injectie). Als u uw subnetten wilt configureren en de grootte wilt wijzigen, volgt u de werkruimteprocedure in Azure Databricks implementeren in uw virtuele Azure-netwerk (VNet-injectie), maar drukt u nog niet op Maken.

   Stel de volgende velden in:

   1. Stel prijscategorie in op premium of anders ziet u de velden Private Link niet in de gebruikersinterface.
   2. Stel Networking > Deploy Azure Databricks workspace met Secure Cluster Connectivity (Zonder Public IP) (in de sjabloon als Disable Public Ip) in op Ja.
   3. Stel Networking > Azure Databricks-werkruimte implementeren in uw eigen VNet - (Virtual Network) in op Ja-.
   4. Stel de subnetten in op basis van het VNet dat u in een vorige stap hebt gemaakt. Zie het artikel voor VNet-injectie voor meer informatie.
   5. Private Link-werkruimtevelden instellen openbare netwerktoegang en vereiste Nsg-regels volgens de scenariotabel in stap 3: Een Azure Databricks-werkruimte en privé-eindpunten inrichten.

   In de volgende schermopname ziet u de vier belangrijkste velden voor Private Link-connectiviteit.

   

2. Maak een privé-eindpunt dat moet worden gebruikt voor zowel back-end- als front-endconnectiviteit:

   1. Zoek de sectie Privé-eindpunten onder de velden die in de vorige schermafbeelding worden weergegeven. Als u ze niet ziet, hebt u waarschijnlijk de prijscategorie niet ingesteld op Premium-.

      

   2. Klik op + Toevoegen.

      Azure Portal toont de blade Privé-eindpunt maken in de werkruimte maken.

      

      Wanneer u het privé-eindpunt maakt vanuit de werkruimte, worden sommige Azure-velden voor dit objecttype niet weergegeven omdat ze automatisch worden ingevuld en niet kunnen worden bewerkt. Sommige velden zijn zichtbaar, maar hoeven niet te worden bewerkt:

      • Het subresourceveld van Azure Databricks is zichtbaar en wordt automatisch gevuld met de waarde databricks_ui_api. Deze subresourcewaarde vertegenwoordigt het huidige azure Databricks-besturingsvlak voor uw werkruimte. Deze waarde van de subresourcenaam wordt gebruikt voor privé-eindpunten voor zowel back-end- als front-endconnectiviteit.

      • Nadat u de resourcegroep, het VNet en het subnet hebt ingesteld, wordt de privé-DNS-zone automatisch gevuld met een waarde als u de door Azure gemaakte ingebouwde DNS gebruikt in plaats van een aangepaste DNS.

        Belangrijk

        Azure kiest mogelijk niet automatisch de Privé-DNS zone die u wilt gebruiken. Controleer de waarde voor het veld Privé-DNS Zone en wijzig deze indien nodig.

   3. Stel de locatie zo in dat deze overeenkomt met de regio van uw werkruimte. Houd er rekening mee dat de back-end privé-eindpuntregio en de werkruimteregio moeten overeenkomen, ook al hoeven de regio's voor front-end privé-eindpuntverbindingen niet overeen te komen.

   4. Stel het virtuele netwerk in op het VNet van uw werkruimte.

   5. Stel het subnet in op een specifiek subnet van Private Link in uw werkruimte. Dit subnet mag geen van de standaardsubnetten zijn die worden gebruikt voor VNet-injectie. Zie netwerkvereisten voor gerelateerde informatie.

   6. Voor typisch gebruik met de ingebouwde Azure DNS stelt u Integreren met privé-DNS-zone in op Ja-. In de rest van deze instructies wordt ervan uitgegaan dat u Ja hebt gekozen.

      Als uw organisatie een eigen aangepaste DNS onderhoudt, kunt u dit instellen op Geen, maar raadpleeg dit Microsoft-artikel over DNS-configuratie voordat u doorgaat. Neem contact op met uw Azure Databricks-accountteam als u vragen hebt.

   7. Klik op OK om het privé-eindpunt te maken en terug te keren naar de blade voor het maken van de werkruimte.

   8. Als u het maken van de werkruimte wilt voltooien, klikt u op Controleren en maken en vervolgens op Maken.

      Wacht totdat de werkruimte is geïmplementeerd en klik vervolgens op Ga naar de resource. Dit is het Azure Portal-object voor uw Azure Databricks-werkruimte.

De werkruimte maken met behulp van een aangepaste sjabloon

Als u de standaardgebruikersinterface van Azure Portal niet wilt gebruiken om de werkruimte te maken, kunt u een sjabloon gebruiken om uw werkruimte te implementeren. U kunt de sjabloon gebruiken met:

• Azure Portal-interface
• Azure-CLI
• Azure Powershell
• Terraform

Met de all-in-one-implementatie-ARM-sjabloon voor Private Link worden de volgende resources gemaakt:

• Netwerkbeveiligingsgroepen
• Resourcegroepen
• VNet inclusief subnetten voor de werkruimte (de standaard twee subnetten) en Private Link (een extra subnet)
• Azure Databricks-werkruimte
• Het Private Link-eindpunt met privé-DNS-zone

1. U kunt de sjabloon rechtstreeks vanaf de hoofdpagina voor de sjabloon implementeren.

2. Als u deze rechtstreeks wilt implementeren, klikt u op Implementeren in Azure. Als u de bron wilt weergeven, klikt u op Bladeren op GitHub.

   Stel in beide gevallen de volgende parameterwaarden in voor de sjabloon:

   • Stel pricingTier in op premium. Als u dit standardals volgt laat, verbergt Azure Portal de configuratievelden die specifiek zijn voor Private Link.
   • enableNoPublicIp instellen op true
   • Stel publicNetworkAccess en requiredNsgRules in volgens de tabel in stap 3: Een Azure Databricks-werkruimte en privé-eindpunten inrichten
   • Stel de networkSecurityGroup in op de ID voor de NSG van uw werkruimte.

3. Wacht totdat de werkruimte is geïmplementeerd.

4. Navigeer naar de nieuwe Azure Databricks Service-resource die uw werkruimte vertegenwoordigt. Dit is het Azure Portal-object voor uw Azure Databricks-werkruimte.

Stap 4: Een privé-eindpunt maken ter ondersteuning van eenmalige aanmelding voor toegang tot webbrowsers

Belangrijk

Sla deze stap over als u geen front-end Private Link implementeert. Als al uw werkruimten in de regio ondersteuning bieden voor front-endverbindingen van Private Link en het clientnetwerk (het subnet) openbare internettoegang toestaat, wordt de configuratie die in deze stap wordt beschreven, aanbevolen, maar optioneel.

Gebruikersverificatie voor de Azure Databricks-webtoepassing maakt gebruik van OAuth als onderdeel van de microsoft Entra ID SSO-implementatie. Tijdens verificatie maakt de gebruikersbrowser verbinding met het Azure Databricks-besturingsvlak. Daarnaast vereist de OAuth-stroom een omleiding voor netwerkaanroep vanuit Microsoft Entra-id. Als u front-end Private Link hebt geconfigureerd, mislukt de omleiding van het SSO-netwerk zonder extra configuratie. Dit betekent dat gebruikers zich niet kunnen verifiëren bij Azure Databricks. Houd er rekening mee dat dit probleem van toepassing is op gebruikersaanmelding bij de gebruikersinterface van de webtoepassing via een front-endverbinding, maar niet van toepassing is op REST API-verbindingen omdat REST API-verificatie geen SSO-callbacks gebruikt.

Als uw clientnetwerk (het transitsubnet) geen toegang tot het openbare internet toekent, moet u een privé-eindpunt voor browserverificatie maken ter ondersteuning van callbacks voor eenmalige aanmelding (SSO) van Microsoft Entra ID om ondersteuning te bieden voor verificatie van webbrowserverificatie. Een privé-eindpunt voor browserverificatie is een privé-eindpunt met de subresource genaamd browser_authentication. Als u een privé-eindpunt voor browserverificatie maakt, worden de DNS-records voor de callback van Microsoft Entra ID automatisch door Azure Databricks geconfigureerd tijdens aanmelding bij eenmalige aanmelding. De DNS-wijzigingen worden standaard aangebracht in de privé-DNS-zone die is gekoppeld aan het VNet van de werkruimte.

Voor een organisatie met meerdere werkruimten is het belangrijk om te begrijpen dat een correct geconfigureerde netwerkconfiguratie precies één privé-eindpunt voor browserverificatie is voor elke Azure Databricks-regio voor elke privé-DNS-zone. Het privé-eindpunt voor browserverificatie configureert privéwebverificatie voor alle Private Link-werkruimten in de regio die dezelfde privé-DNS-zone delen.

Als u bijvoorbeeld 10 productiewerkruimten hebt in de regio VS - west die dezelfde privé-DNS-zone delen, hebt u één privé-eindpunt voor browserverificatie ter ondersteuning van deze werkruimten.

Belangrijk

• Als iemand de werkruimte verwijdert die als host fungeert voor het privé-eindpunt voor browserverificatie voor die regio, wordt gebruikerswebverificatie onderbroken voor andere werkruimten in die regio die afhankelijk zijn van dat privé-eindpunt voor browserverificatie en gerelateerde DNS-configuratie voor callbacks voor eenmalige aanmelding.
• Databricks raadt u ten zeerste aan om een privéwerkruimtewerkruimte te maken voor elke regio om de risico's van het verwijderen van werkruimten te verminderen en de standaardwerkruimte voor werkruimten aan te moedigen.
• Voor niet-productie-implementaties kunt u de implementatie vereenvoudigen door de extra privéwerkruimte voor webverificatie weg te laten. In dat geval maakt uw eindpunt voor webauth verbinding met een van uw andere werkruimten in die regio.

Een privéwerkruimte voor webverificatie is een werkruimte die u maakt in dezelfde regio als uw Azure Databricks-werkruimten. Het enige doel hiervan is het hosten van de privé-eindpuntverbinding voor browserverificatie voor uw azure Databricks-werkruimten in die regio. Op alle andere manieren wordt de privéwerkruimte voor webverificatie niet voor iets gebruikt, bijvoorbeeld niet voor het uitvoeren van taken of andere workloads. Er zijn geen werkelijke gebruikersgegevens of binnenkomende netwerkconnectiviteit nodig, behalve het privé-eindpunt voor browserverificatie. U kunt deze zodanig configureren dat deze geen gebruikerstoegang heeft. Door de werkruimte-instelling Openbare netwerktoegang in te stellen op Uitgeschakeld en geen front-end privé-eindpunten voor de werkruimte te maken, hebben gebruikers geen toegang tot gebruikersaanmelding bij de werkruimte.

Zie het diagram eerder in dit artikel om te visualiseren hoe de werkruimte voor privéwebverificatie werkt met andere objecten voor Private Link-connectiviteit.

De privéwerkruimte voor webauth fungeert als een callback-service voor alle werkruimten in de regio voor eenmalige aanmelding van gebruikers. Nadat de aanmelding bij uw normale werkruimten is voltooid, wordt de privéwerkruimte voor webverificatie niet gebruikt tot de volgende aanmelding.

Ongeacht of u ervoor kiest om een privéwebverificatiewerkruimte te maken, moet u één werkruimte kiezen in de regio die als host fungeert voor het privé-eindpunt van de browserverificatie. Kies in Azure Portal één Azure Databricks-werkruimteobject dat het privé-eindpunt voor browserverificatie bevat. Tijdens runtime is de werkelijke netwerktoegang afkomstig van uw transitsubnet naar Microsoft Entra-id. Nadat u zich hebt aangemeld met behulp van Microsoft Entra ID, wordt de webbrowser van de gebruiker omgeleid naar het juiste exemplaar van het besturingsvlak.

Tip

Databricks raadt de configuratie van de privéwebverificatiewerkruimte ten zeerste aan als u meerdere werkruimten hebt die een privé-DNS-configuratie delen. U kunt ervoor kiezen om de privéwebverificatiewerkruimte weg te laten voor een van de volgende voorwaarden:

• U hebt slechts één werkruimte in de regio en u bent ervan overtuigd dat u later niet meer toevoegt.
• U weet zeker dat u geen werkruimte hoeft te verwijderen.
• Niet-productie-implementaties.

Laat in een van deze gevallen de privéwebverificatiewerkruimte weg en kies in plaats daarvan een van uw productiewerkruimten om het privé-eindpunt voor browserverificatie te hosten. Houd echter rekening met de risico's dat uiteindelijke verwijdering van die werkruimte onmiddellijk gebruikersverificatie voor andere werkruimten in de regio voorkomt met ondersteuning voor front-end Private Link.

Een privé-eindpunt maken ter ondersteuning van eenmalige aanmelding:

1. Aanbevolen maar optionele stap: maak een privéwerkruimte voor webverificatie om de webverificatieservice te hosten.

   1. Maak een resourcegroep voor het hosten van de privéwerkruimte voor webverificatie. Maak er een voor elke regio waarin u Azure Databricks-werkruimten hebt geïmplementeerd.

   2. Maak één privéwerkruimte voor webverificatie voor elke regio waarin u Azure Databricks-werkruimten hebt geïmplementeerd.

      • U kunt Azure Portal, Azure CLI, Powershell of Terraform gebruiken om een nieuwe Azure Databricks-werkruimte te maken.
      • Stel de laag in op Premium.
      • Stel de naam van de werkruimte in op WEB_AUTH_DO_NOT_DELETE_<region> om ervoor te zorgen dat deze niet wordt verwijderd.
      • Stel de vereiste NSG-regels (requiredNsgRules) in op de waarde NoAzureDatabricksRules.
      • Stel de veilige clusternetwerkverbinding (NPIP) (enableNoPublicIp) in op Enabled.
      • Stel de regio in op dezelfde regio als uw andere productiewerkruimtes.
      • Gebruik VNet-injectie. Maak of gebruik een VNet gescheiden van het VNet dat u voor uw hoofdwerkruimte-VNet gebruikt.
      • Stel openbare netwerktoegang (publicNetworkAccess) in op Uitgeschakeld.
      • Plaats geen Azure Databricks-workload in deze werkruimte.
      • Voeg geen andere privé-eindpunten toe dan het privé-eindpunt voor browserverificatie. Maak bijvoorbeeld geen privé-eindpunt maken met de databricks_ui_api subresource, waardoor front-end- of back-endverbindingen met de werkruimte mogelijk zijn, wat niet nodig is.

      Zie Azure Databricks implementeren in uw virtuele Azure-netwerk (VNet-injectie) voor meer informatie over het implementeren van een werkruimte met behulp van VNet-injectie.

      Als u de werkruimte wilt maken, kunt u de standaard all-in-one ARM-sjabloon gebruiken en de bovenstaande vereisten voor de werkruimteconfiguratie volgen.

   3. Nadat u de privéwerkruimte voor webverificatie hebt gemaakt, stelt u een vergrendeling in om te voorkomen dat de werkruimte wordt verwijderd. Navigeer naar het Azure Databricks-service-exemplaar in Azure Portal. Klik in het linkernavigatievenster op Vergrendelingen. Klik op +Toevoegen. Stel vergrendelingstype in op verwijderen. Geef de vergrendeling een naam. Klik op OK.

      

2. Navigeer in Azure Portal naar het Azure Databricks Service-exemplaar dat uw werkruimte vertegenwoordigt.

   • Als u een privéwerkruimte voor webverificatie gebruikt, gaat u naar het exemplaarobject van azure Databricks Service voor de privéwerkruimte voor webverificatie.
   • Als u geen privéwerkruimte voor webverificatie gebruikt, kiest u één werkruimte die als host fungeert voor het privé-eindpunt voor webverificatie. Houd er rekening mee dat het verwijderen van die werkruimte DNS-records verwijdert die vereist zijn voor alle andere werkruimten in die regio die gebruikmaken van front-endverbindingen van Private Link. open in Azure Portal de blade Azure Databricks Service-exemplaar van deze werkruimte.

3. Ga naar Instellingen>Netwerken>Privé-eindpuntverbindingen.

4. Klik op de knop + Toevoegen om een privé-eindpunt voor deze werkruimte te maken.

5. Azure Portal toont de blade Privé-eindpunt maken in de stroom werkruimte maken.

   

6. Stel in de stap Resource het veld doelsubresource in op browser_authentication.

   Houd er rekening mee dat het resourcetype en de resourcevelden automatisch verwijzen naar het azure Databricks Service-werkruimte-exemplaar dat u bewerkt.

   

7. In de stap Virtueel netwerk :

   1. Stel het virtuele netwerk in op uw VNet dat uw transitsubnet bevat. Als u de aanbevelingen in dit artikel volgt, is dit uw werkruimte-VNet.
   2. Stel het subnet in op het transitsubnet.

8. In de DNS-stap :

   

   • Voor typisch gebruik met de ingebouwde Azure DNS stelt u Integreren met privé-DNS-zone in op Ja-.

     Als uw organisatie een eigen aangepaste DNS onderhoudt, kunt u Integreren met privé-DNS-zone instellen op Geen, maar lees dit Microsoft-artikel over DNS-configuratie voordat u doorgaat. Neem contact op met uw Azure Databricks-accountteam als u vragen hebt.

     In de rest van de instructies in dit artikel wordt ervan uitgegaan dat u Ja hebt gekozen.

   • Controleer of het veld Resourcegroep is ingesteld op de juiste resourcegroep. Het is mogelijk vooraf ingevuld in de juiste resourcegroep, maar dit is niet gegarandeerd. Stel dit in op hetzelfde VNet als het front-end-privé-eindpunt.

     Belangrijk

     Dit is een veelvoorkomende stap voor onjuiste configuratie, dus doe deze stap zorgvuldig.

9. Klik op OK om het privé-eindpunt te maken.

10. Als u integreert met ingebouwde Azure DNS, kunt u nu bevestigen dat uw DNS automatisch is geconfigureerd door het privé-eindpunt voor browserverificatie dat u hebt gemaakt. Als u bijvoorbeeld binnen uw privé-DNS-zone kijkt, ziet u een of meer nieuwe A records met namen die eindigen op .pl-auth. Dit zijn records die de callbacks voor eenmalige aanmelding vertegenwoordigen voor elk exemplaar van het besturingsvlak in de regio. Als er meer dan één instantie van het Azure Databricks-besturingsvlak in die regio is, is er meer dan één A record.

Aangepaste DNS

Als u aangepaste DNS gebruikt, moet u ervoor zorgen dat de juiste DNS-configuratie is geconfigureerd ter ondersteuning van callbacks voor eenmalige aanmelding. Neem voor hulp contact op met uw Azure Databricks-accountteam.

Als u een front-end privé-eindpunt gebruikt en gebruikers toegang hebben tot de Azure Databricks-werkruimte vanuit een subnet waarvoor u aangepaste DNS hebt ingeschakeld, moet u het IP-adres van het privé-eindpunt voor de werkruimte inschakelen om toegankelijk te zijn met behulp van de werkruimte-URL.

Mogelijk moet u voorwaardelijk doorsturen naar Azure configureren of een DNS-record A maken voor de werkruimte-URL in aangepaste DNS (on-premises of interne DNS). Zie de DNS-configuratie van Azure Private Endpoint voor gedetailleerde instructies over het inschakelen van toegang tot services met Private Link.

Als u de resource-URL's bijvoorbeeld rechtstreeks toe wijzen aan de IP-adressen van het privé-eindpunt van de front-end in uw interne DNS, hebt u twee vermeldingen nodig:

• Eén DNS-record A wijst de URL per werkruimte (adb-1111111111111.15.azuredatabricks.net) toe aan het IP-adres van het privé-eindpunt van de front-end.

• Een of meer DNS-records wijzen de antwoord-URL A van de Microsoft Entra-id OAuth-stroom toe aan het IP-adres van het front-end-privé-eindpunt, bijvoorbeeld westus.pl-auth.azuredatabricks.net. Omdat één regio meerdere besturingsvlakexemplaren kan hebben, moet u mogelijk meerdere A records toevoegen, één voor elk exemplaar van het besturingsvlak.

  Notitie

  Als u aangepaste DNS gebruikt, neem dan contact op met uw Azure Databricks-accountteam om de set exemplaardomeinen van het control plane te verkrijgen die u moet gebruiken voor de gewenste regio. Sommige regio's hebben meer dan één exemplaar van het besturingsvlak.

Naast afzonderlijke A records die nodig zijn voor toegang tot privé-eindpunten voor de werkruimte, moet u ten minste één set DNS-records (browser_authentication) per regio configureren. Dit biedt privéclienttoegang via OAuth-toegang tot alle werkruimten in de regio, omdat het browser_authentication privé-eindpunt naar het besturingsvlak wordt gedeeld tussen werkruimten in die regio.

U kunt ook toestaan dat OAuth-verkeer via het openbare netwerk wordt verzonden als toegang tot openbaar internet is toegestaan en het delen van één privé-eindpuntadres voor gebruikers naar werkruimte voor alle bedrijfseenheden een probleem is vanwege veelvoorkomende DNS.

Nadat deze configuraties zijn voorbereid, moet u toegang hebben tot de Azure Databricks-werkruimte en clusters voor uw workloads kunnen starten.

Stap 5: Eenmalige aanmelding van gebruikers testen voor uw werkruimte

U moet verificatie testen voor uw nieuwe werkruimte. Start voor de eerste verificatiepoging de werkruimte vanuit Azure Portal. Op het werkruimteobject bevindt zich een knop Werkruimte starten. Dit is belangrijk. Wanneer u erop klikt, probeert Azure Databricks zich aan te melden bij de werkruimte en uw initiële gebruikersaccount voor werkruimtebeheerders in te richten. Het is belangrijk om verificatie te testen om ervoor te zorgen dat uw werkruimte correct werkt.

1. Klik op de knop Werkruimte starten.

2. Test netwerktoegang vanaf uw transitsubnet of een netwerklocatie die er peers aan koppelt. Als uw on-premises netwerk bijvoorbeeld toegang heeft tot het transitsubnet, kunt u eenmalige aanmelding van gebruikers controleren vanuit uw on-premises netwerk. Bevestig de netwerktoegang van uw testnetwerk naar uw transitsubnet.

   Als u zich niet op een netwerklocatie bevindt die toegang heeft tot uw transitsubnet, kunt u de connectiviteit testen door een virtuele machine te maken in uw transitsubnet of een netwerklocatie die het kan bereiken. Gebruik bijvoorbeeld een virtuele Windows 10-machine:

   1. Ga naar de blade Virtuele machine in Azure Portal.
   2. Maak een virtuele Windows 10-machine in het test-VNet en subnet.
   3. Maak er verbinding mee met een RDP-client, zoals Microsoft Extern bureaublad.

3. Gebruik vanuit de VIRTUELE machine of een andere testcomputer een webbrowser om verbinding te maken met Azure Portal en de werkruimte te starten.

   1. Zoek in Azure Portal het Azure Databricks-werkruimteobject.
   2. Klik op Werkruimte starten om een venstertabblad te openen waarmee u zich aanmeldt bij Azure Databricks met uw gebruikers-id die u hebt gebruikt om u aan te melden bij de Azure portal.
   3. Controleer of de aanmelding is geslaagd.

   Notitie

   Als uw virtuele machine geen toegang heeft tot de Azure-portal, kunt u Private Link testen door rechtstreeks toegang te krijgen tot de per-werkruimte URL .

Problemen met verificatie oplossen

Fout: Als u het bericht 'Geconfigureerde privacyinstellingen toegang voor werkruimte <your-workspace-id> via uw huidige netwerk niet toe staat. Neem contact op met uw beheerder voor meer informatie.

Deze fout betekent waarschijnlijk:

• U maakt verbinding met de werkruimte via het openbare internet (niet via een Private Link-verbinding).
• U hebt de werkruimte geconfigureerd om geen ondersteuning te bieden voor openbare netwerktoegang.

Bekijk de eerdere stappen in deze sectie.

Fout: 'Browserfout met foutcode DNS_PROBE_FINISHED_NXDOMAIN

Deze fout betekent dat de aanmelding van een gebruiker bij de Azure Databricks-webtoepassing is mislukt omdat de juiste DNS-configuratie voor het azure Databricks-besturingsvlakexemplaren in de doelregio niet is gevonden. De DNS-record die naar de <control-plane-instance-short-name>.pl-auth naam verwijst, is niet gevonden. Mogelijk hebt u het privé-eindpunt voor browserverificatie onjuist geconfigureerd. Bekijk de sectie in stap 4 zorgvuldig opnieuw : Maak een privé-eindpunt ter ondersteuning van eenmalige aanmelding voor webbrowsertoegang. Neem contact op met uw Azure Databricks-accountteam als u vragen hebt.

Stap 6: Een Back-end Private Link-verbinding testen (vereist voor een back-endverbinding)

Als u een back-end Private Link-verbinding hebt toegevoegd, is het belangrijk om te testen of deze correct werkt. Als u zich gewoon aanmeldt bij de Azure Databricks-webtoepassing, wordt de back-endverbinding niet getest.

1. Als u nog niet bent aangemeld bij uw Azure Databricks-werkruimte, meldt u zich opnieuw aan met de URL van uw werkruimte of via de knop Werkruimte starten in het Azure Databricks Service-exemplaar in Azure Portal.

2. Klik in het linkernavigatievenster op Compute

3. Klik op Cluster maken, typ een clusternaam en klik op Cluster maken. Zie de referentie voor compute-configuratie voor meer informatie over het maken van clusters.

   Wacht totdat het cluster lijkt te zijn gestart. Het kan enkele minuten duren. Vernieuw de pagina om de meest recente status op te halen.

   Als het niet kan worden gestart, klikt u op de clusterpagina op Gebeurtenislogboek en controleert u de meest recente vermeldingen. Voor veelvoorkomende onjuiste configuratie van Private Link bevat het gebeurtenislogboek een fout die vergelijkbaar is met het volgende na een wachttijd van 10-15 minuten:

   Cluster terminated. Reason: Control Plane Request Failure
   

   Als u deze fout krijgt, bekijkt u de instructies in dit artikel zorgvuldig opnieuw. Neem contact op met uw Azure Databricks-accountteam als u vragen hebt.

Een Azure Databricks-werkruimte verwijderen met privé-eindpunten

Belangrijk

Als u de aanbevolen maar optionele implementatiestijl gebruikt die gebruikmaakt van een privéwerkruimte voor webverificatie, is het belangrijk dat u de werkruimte of het privé-eindpunt voor browserverificatie dat is gekoppeld aan de werkruimte nooit verwijdert. Zie stap 4: Maak een privé-eindpunt ter ondersteuning van SSO voor toegang tot webbrowsers.

Azure blokkeert het verwijderen van een Azure Databricks-werkruimte als deze privé-eindpunten heeft.

Belangrijk

U moet de privé-eindpunten verwijderen voordat u de Azure Databricks-werkruimte verwijdert.

1. Open in Azure Portal het Azure Databricks Service-exemplaar dat uw werkruimte vertegenwoordigt.
2. Klik in het linkernavigatievenster op Instellingen > netwerken.
3. Klik op het tabblad Privé-eindpuntverbindingen.
4. Als u geen privéwerkruimte voor webverificatie gebruikt, controleert u of uw organisatie deze werkruimte mogelijk gebruikt als een OAuth CNAME-koppeling en deze kan worden gedeeld met andere werkruimten die gebruikmaken van hetzelfde exemplaar van het besturingsvlak. Als dit het geval is, moet u voordat u privé-eindpunten verwijdert die afhankelijk zijn van de CNAME uit deze werkruimte, de netwerkobjecten van de andere werkruimte configureren om ervoor te zorgen dat de CNAME nog steeds verwijst naar een geldig zonerecord A uit een andere werkruimte. Zie stap 4: Maak een privé-eindpunt ter ondersteuning van SSO voor toegang tot webbrowsers.
5. Voor elk privé-eindpunt, selecteer de rij en klik op het pictogram Verwijderen. Klik op Ja om het verwijderen te bevestigen.

Wanneer u klaar bent, kunt u de werkruimte verwijderen uit Azure Portal.

Controleren op goedkeuring in behandeling of goedkeuring in behandeling zijnde privé-eindpunten

Als de Azure-gebruiker die het privé-eindpunt voor het transitsubnet heeft gemaakt, geen machtigingen voor eigenaar/inzender heeft voor de werkruimte, moet een afzonderlijke gebruiker met machtigingen voor eigenaar/inzender voor de werkruimte de aanvraag voor het maken van het privé-eindpunt handmatig goedkeuren voordat deze is ingeschakeld.

Verbindingsstatussen zijn onder andere:

• Goedgekeurd: Eindpunt wordt goedgekeurd en er is geen verdere actie nodig.
• In behandeling: Eindpunt vereist goedkeuring van een gebruiker met machtigingen voor eigenaar/inzender voor de werkruimte.
• Verbinding verbroken: het eindpunt omdat een gerelateerd object voor deze verbinding is verwijderd.
• Geweigerd: het eindpunt is geweigerd.

De verbindingsstatus controleren:

1. Navigeer in Azure Portal naar uw werkruimte met een of meer privé-eindpunten die u onlangs hebt gemaakt.

2. Klik op Netwerken.

3. Klik op het tabblad Privé-eindpuntverbindingen.

4. Bekijk in de lijst met eindpunten de kolom verbindingsstatus.

   • Als ze allemaal de waarde van de verbindingsstatuswaarde Goedgekeurd hebben, is er geen actie nodig om het privé-eindpunt goed te keuren.
   • Als de waarde van een van de waarden in behandeling is, is goedkeuring vereist van iemand met machtigingen voor eigenaar/inzender voor de werkruimte.

5. Als u machtigingen voor eigenaar/inzender voor de werkruimte hebt:

   1. Selecteer een of meer eindpuntrijen die in behandeling zijn.

   2. Als u de verbinding goedkeurt, klikt u op de knop Goedkeuren .

      Als u de verbinding afkeurt, klikt u op de knop Weigeren .

   Als u geen machtigingen voor eigenaar/inzender voor de werkruimte hebt, neemt u contact op met de werkruimtebeheerder om de verbinding goed te keuren.