Delen via

Privéconnectiviteit configureren vanuit serverloze berekeningen

  • Artikel

In dit artikel wordt beschreven hoe u privéconnectiviteit configureert vanuit serverloze berekeningen met behulp van de gebruikersinterface van de Azure Databricks-accountconsole. U kunt ook de API voor netwerkconnectiviteitsconfiguraties gebruiken.

Als u uw Azure-resource zo configureert dat alleen verbindingen van privé-eindpunten worden geaccepteerd, moet elke verbinding met de resource vanuit uw klassieke Databricks-rekenresources ook privé-eindpunten gebruiken.

Om een Azure Storage-firewall te configureren voor serverloze rekentoegang met behulp van subnetten, raadpleegt u in plaats daarvan een firewall configureren voor serverloze rekentoegang. Zie Regels voor privé-eindpunten beheren als u bestaande regels voor privé-eindpunten wilt beheren.

Belangrijk

Vanaf 4 december 2024 begon Azure Databricks kosten in rekening te brengen voor netwerkkosten die zijn gekoppeld aan serverloze workloads die verbinding maken met klantresources. U wordt momenteel gefactureerd voor de per-uur kosten van privé-eindpunten voor uw resources. Kosten voor gegevensverwerking voor Private Link-verbindingen worden voor onbepaalde tijd kwijtgescholden. Facturering voor andere netwerkkosten wordt geleidelijk geïmplementeerd, waaronder:

  • Openbare connectiviteit met uw resources, zoals via een NAT-gateway.
  • Kosten voor gegevensoverdracht, zoals wanneer serverloze berekeningen en de doelresource zich in verschillende regio's bevinden.

Kosten worden niet met terugwerkende kracht toegepast.

Overzicht van privéconnectiviteit voor serverloze compute

Serverloze netwerkconnectiviteit wordt beheerd met netwerkconnectiviteitsconfiguraties (NCC's). Accountbeheerders maken NCC's in de accountconsole en een NCC kunnen worden gekoppeld aan een of meer werkruimten

Wanneer u een privé-eindpunt aan een NCC toevoegt, maakt Azure Databricks een privé-eindpuntaanvraag voor uw Azure-resource. Zodra de aanvraag aan de resourcezijde is geaccepteerd, wordt het privé-eindpunt gebruikt voor toegang tot resources vanuit het serverloze rekenvlak. Het privé-eindpunt is toegewezen aan uw Azure Databricks-account en is alleen toegankelijk vanuit geautoriseerde werkruimten.

NCC-privé-eindpunten worden ondersteund vanuit SQL-magazijnen, taken, notebooks, DLT en modelbedieningseindpunten.

Notitie

NCC-privé-eindpunten worden alleen ondersteund voor gegevensbronnen die u beheert. Neem voor verbinding met het opslagaccount van de werkruimte contact op met uw Azure Databricks-accountteam.

Notitie

Modelverwerking gebruikt het Azure Blob Storage-pad om modelartefacten te downloaden, dus maak een privé-eindpunt voor de subresource-ID van je blob. U hebt DFS nodig om modellen in Unity Catalog te registreren vanuit serverloze notebooks.

Zie Wat is een netwerkverbindingsconfiguratie (NCC)? voor meer informatie over NCC's.

Vereisten

  • Uw werkruimte moet zich in het Premium-abonnement bevinden.
  • U moet een Azure Databricks-accountbeheerder zijn.
  • Elk Azure Databricks-account kan maximaal 10 NCC's per regio hebben.
  • Elke regio kan 100 privé-eindpunten hebben, die naar behoefte zijn verdeeld over 1-10 NCC's.
  • Elke NCC kan worden gekoppeld aan maximaal 50 werkruimten.

Stap 1: een netwerkverbindingsconfiguratie maken

Databricks raadt aan om een NCC te delen tussen werkruimten binnen dezelfde bedrijfseenheid en de werkruimten die dezelfde regioconnectiviteitseigenschappen delen. Als sommige werkruimten bijvoorbeeld Gebruikmaken van Private Link en andere werkruimten gebruikmaken van firewall-activering, gebruikt u afzonderlijke NCC's voor deze use cases.

  1. Als accountbeheerder gaat u naar de accountconsole.
  2. Klik in de zijbalk op Cloudresources.
  3. Klik op Netwerkconnectiviteitsconfiguraties.
  4. Klik op Netwerkconnectiviteitsconfiguratie toevoegen.
  5. Typ een naam voor de NCC.
  6. Kies de regio. Dit moet overeenkomen met uw werkruimteregio.
  7. Klik op Toevoegen.

Stap 2: Een NCC koppelen aan een werkruimte

  1. Klik in de zijbalk van de accountconsole op Werkruimten.
  2. Klik op de naam van uw werkruimte.
  3. Klik op Werkruimte bijwerken.
  4. Selecteer uw NCC in het veld Netwerkverbindingsconfiguratie. Als deze niet zichtbaar is, controleert u of u dezelfde Azure-regio hebt geselecteerd voor zowel de werkruimte als de NCC.
  5. Klik op bijwerken.
  6. Wacht tien minuten totdat de wijziging is doorgevoerd.
  7. Start alle actieve serverloze services opnieuw op in de werkruimte.

Stap 3: regels voor privé-eindpunten maken

U moet een privé-eindpuntregel maken in uw NCC voor elke Azure-resource.

  1. Haal een lijst met Azure-resource-id's op voor al uw bestemmingen.
    1. Gebruik Azure Portal in een ander browsertabblad om naar de Azure-services van uw gegevensbron te gaan.
    2. Op de overzichtspagina, kijk in de Essentials sectie.
    3. Klik op de JSON Weergave link. De resource-id voor de service wordt boven aan de pagina weergegeven.
    4. Kopieer die resource-id naar een andere locatie. Herhaal dit voor alle bestemmingen. Voor meer informatie over het vinden van uw resource-id, zie de privé-DNS-zonewaarden van Azure Private Endpoint.
  2. Ga terug naar het browsertabblad van uw accountconsole.
  3. Klik in de zijbalk op Cloudresources.
  4. Klik op Netwerkconnectiviteitsconfiguraties.
  5. Selecteer de NCC die u in stap 1 hebt gemaakt.
  6. In Privé-eindpuntregels op Privé-eindpuntregel toevoegen klikken.
  7. Plak de resource-id van uw resource in het veld Doelresource-id.
  8. Geef in het veld Azure-subresource-id de doel-id en het subresourcetype op. Elke regel voor privé-eindpunten moet een andere subresource-id gebruiken. Zie azure Private Link-beschikbaarheidvoor een lijst met ondersteunde subresourcetypen.
  9. Klik op Toevoegen.
  10. Wacht enkele minuten totdat alle eindpuntregels de status PENDINGhebben.

Stap 4: De nieuwe privé-eindpunten voor uw resources goedkeuren

De eindpunten worden pas van kracht als een beheerder met rechten voor de resource het nieuwe privé-eindpunt goedkeurt. Ga als volgt te werk om een privé-eindpunt goed te keuren met behulp van Azure Portal:

  1. Navigeer in Azure Portal naar uw resource.

  2. Klik in de zijbalk op Netwerken.

  3. Klik op privé-eindpuntverbindingen.

  4. Klik op het tabblad Persoonlijke toegang .

  5. Controleer onder de Privé-eindpuntverbindingende lijst met privé-eindpunten.

  6. Klik op het selectievakje naast elk om goed te keuren en klik op de knop goedkeuren boven de lijst.

  7. Ga terug naar uw NCC in Azure Databricks en vernieuw de browserpagina totdat alle eindpuntregels de status ESTABLISHEDhebben.

    lijst met privé-eindpunten

(optioneel) Stap 5: Stel uw opslagaccount in om openbare netwerktoegang niet toe te laten

Als u de toegang tot het Azure-opslagaccount nog niet hebt beperkt tot alleen toegestane netwerken, kunt u dit doen.

  1. Ga naar de Azure Portal.
  2. Navigeer naar uw opslagaccount voor de gegevensbron.
  3. Klik in de zijbalk op Netwerken.
  4. Controleer de waarde in het veld Openbare netwerktoegang. Standaard is de waarde ingeschakeld vanuit alle netwerken. Wijzig dit in Uitgeschakeld

Stap 6: Start serverloze rekenvlakresources opnieuw op en test de verbinding

  1. Wacht na de vorige stap vijf extra minuten totdat de wijzigingen zijn doorgegeven.
  2. Start alle actieve serverloze rekenvlakresources opnieuw op in de werkruimten waaraan uw NCC is gekoppeld. Als u geen serverloze rekenvlakresources hebt, start u er nu een.
  3. Controleer of alle bronnen succesvol zijn gestart.
  4. Voer ten minste één query uit op uw gegevensbron om te bevestigen dat het serverloze SQL Warehouse uw gegevensbron kan bereiken.