Klasyczna sieć płaszczyzn obliczeniowych
W tym artykule przedstawiono funkcje dostosowywania dostępu sieciowego między płaszczyzną sterowania usługi Azure Databricks a klasyczną płaszczyzną obliczeniową. Łączność między płaszczyzną sterowania a bezserwerową płaszczyzną obliczeniową jest zawsze za pośrednictwem sieci szkieletowej sieci w chmurze, a nie publicznego Internetu.
Aby dowiedzieć się więcej na temat płaszczyzny sterowania i płaszczyzny obliczeniowej, zobacz Omówienie architektury usługi Azure Databricks.
Aby dowiedzieć się więcej o klasycznych obliczeniach i bezserwerowych obliczeniach, zobacz Typy obliczeń.
Funkcje w tej sekcji koncentrują się na ustanawianiu i zabezpieczaniu połączenia między płaszczyzną sterowania usługi Azure Databricks a klasyczną płaszczyzną obliczeniową. To połączenie jest oznaczone jako 2 na poniższym diagramie:
Aby uzyskać więcej informacji na temat konfigurowania funkcji sieci platformy Azure między usługą Azure Databricks i usługą Azure Storage, zobacz Udzielanie obszarowi roboczemu usługi Azure Databricks dostępu do usługi Azure Data Lake Storage Gen2.
Włączanie bezpiecznej łączności z klastrem
Usługa Databricks zaleca włączenie bezpiecznej łączności klastra w obszarach roboczych usługi Azure Databricks. Po włączeniu bezpiecznej łączności klastra zasoby obliczeniowe na klasycznej płaszczyźnie obliczeniowej łączą się z płaszczyzną sterowania za pośrednictwem przekaźnika. Oznacza to, że sieci wirtualne klienta nie mają otwartych portów, a zasoby płaszczyzny obliczeniowej nie mają publicznych adresów IP. Upraszcza to administrowanie siecią, usuwając konieczność konfigurowania portów w grupach zabezpieczeń lub komunikacji równorzędnej sieci. Aby dowiedzieć się więcej na temat wdrażania obszaru roboczego z bezpieczną łącznością klastra, zobacz Zabezpieczanie łączności klastra.
Wdrażanie obszaru roboczego we własnej sieci wirtualnej
Domyślnie każde wdrożenie usługi Azure Databricks tworzy zablokowaną sieć wirtualną w subskrypcji platformy Azure. Klasyczne zasoby obliczeniowe są tworzone w tej sieci wirtualnej. Zamiast tego możesz utworzyć nowy obszar roboczy we własnej sieci wirtualnej zarządzanej przez klienta (nazywanej również iniekcją sieci wirtualnej), umożliwiając:
- Zabezpiecz połączenie z usługi Azure Databricks do usługi Azure Storage przy użyciu punktów końcowych usługi lub prywatnych punktów końcowych. Zobacz Udzielanie obszarowi roboczemu usługi Azure Databricks dostępu do usługi Azure Data Lake Storage Gen2.
- Ogranicz ruch wychodzący z sieci wirtualnej przy użyciu reguł sieciowej grupy zabezpieczeń.
- Zabezpieczanie połączenia z siecią lokalną z usługi Azure Databricks przy użyciu tras zdefiniowanych przez użytkownika. Zobacz Łączenie obszaru roboczego usługi Azure Databricks z siecią lokalną i ustawieniami tras zdefiniowanymi przez użytkownika dla usługi Azure Databricks.
Aby wdrożyć obszar roboczy we własnej sieci wirtualnej, zobacz Wdrażanie usługi Azure Databricks w sieci wirtualnej platformy Azure (iniekcja sieci wirtualnej). Możesz również połączyć równorzędną sieć wirtualną usługi Azure Databricks z inną siecią wirtualną platformy Azure, zobacz Równorzędne sieci wirtualne.
Włączanie łączności prywatnej z płaszczyzny sterowania do klasycznej płaszczyzny obliczeniowej
Usługa Azure Private Link zapewnia łączność prywatną z sieci wirtualnych platformy Azure i sieci lokalnych do usług platformy Azure bez ujawniania ruchu do sieci publicznej. Możesz włączyć łączność prywatną z klasycznej płaszczyzny obliczeniowej do podstawowych usług obszaru roboczego usługi Azure Databricks na płaszczyźnie sterowania, włączając usługę Azure Private Link.
Aby uzyskać więcej informacji, zobacz Włączanie połączeń zaplecza i frontonu usługi Azure Private Link.