Udostępnij za pośrednictwem

Ustawienia trasy zdefiniowanej przez użytkownika dla usługi Azure Databricks

  • Artykuł

Jeśli obszar roboczy usługi Azure Databricks zostanie wdrożony we własnej sieci wirtualnej, możesz użyć tras niestandardowych, znanych również jako trasy zdefiniowane przez użytkownika (UDR), aby upewnić się, że ruch sieciowy jest prawidłowo kierowany dla obszaru roboczego. Jeśli na przykład połączysz sieć wirtualną z siecią lokalną, ruch może być kierowany przez sieć lokalną i nie może nawiązać połączenia z płaszczyzną sterowania usługi Azure Databricks. Trasy zdefiniowane przez użytkownika mogą rozwiązać ten problem.

Potrzebujesz UDR (trasę zdefiniowaną przez użytkownika) dla każdego typu połączenia wychodzącego z sieci wirtualnej. Możesz użyć zarówno tagów usługi platformy Azure, jak i adresów IP, aby zdefiniować mechanizmy kontroli dostępu do sieci na trasach zdefiniowanych przez użytkownika. Usługa Databricks zaleca używanie tagów usługi platformy Azure, aby zapobiec awariom usługi z powodu zmian adresów IP.

Konfigurowanie tras zdefiniowanych przez użytkownika za pomocą tagów usługi platformy Azure

Usługa Databricks zaleca używanie tagów usługi platformy Azure, które reprezentują grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Pomaga to zapobiec awariom usługi z powodu zmian adresów IP i usuwa konieczność okresowego wyszukiwania tych adresów IP i aktualizowania ich w tabeli tras. Jeśli jednak zasady organizacji nie zezwalają na tagi usług, możesz opcjonalnie określić trasy jako adresy IP.

Używając tagów usług, trasy zdefiniowane przez użytkownika powinny używać następujących reguł i skojarzyć tabelę tras z podsieciami publicznymi i prywatnymi sieci wirtualnej.

Źródło Prefiks adresu Typ następnego przeskoku
Domyślne Tag usługi Azure Databricks Internet
Domyślne Tag usługi Azure SQL Internet
Domyślne Tag usługi Azure Storage Internet
Domyślne Tag usługi Azure Event Hubs Internet

Uwaga

Możesz dodać tag usługi Microsoft Entra ID, aby ułatwić uwierzytelnianie identyfikatora Entra firmy Microsoft z klastrów usługi Azure Databricks do zasobów platformy Azure.

Jeśli usługa Azure Private Link jest włączona w obszarze roboczym, tag usługi Azure Databricks nie jest wymagany.

Tag usługi Azure Databricks reprezentuje adresy IP dla niezbędnych połączeń wychodzących do płaszczyzny sterowania Azure Databricks, secure cluster connectivity (SCC)oraz aplikacji internetowej Azure Databricks.

Tag usługi Azure SQL reprezentuje adresy IP dla wymaganych połączeń wychodzących z magazynem metadanych usługi Azure Databricks, a tag usługi Azure Storage reprezentuje adresy IP dla usługi Artifact Blob Storage i log Blob Storage. Tag usługi Azure Event Hubs reprezentuje wymagane połączenia wychodzące na potrzeby rejestrowania w usłudze Azure Event Hub.

Niektóre tagi usługi umożliwiają bardziej szczegółową kontrolę przez ograniczenie zakresów adresów IP do określonego regionu. Na przykład tabela routingu dla obszaru roboczego usługi Azure Databricks w regionach Zachodnich USA może wyglądać następująco:

Nazwisko Prefiks adresu Typ następnego przeskoku
adb-servicetag AzureDatabricks Internet
magazyn metadanych adb Sql.WestUS Internet
adb-storage Storage.WestUS Internet
adb-eventhub EventHub.WestUS Internet

Aby uzyskać tagi usługi wymagane dla tras zdefiniowanych przez użytkownika, zobacz Tagi usługi sieci wirtualnej.

Konfigurowanie tras zdefiniowanych przez użytkownika przy użyciu adresów IP

Usługa Databricks zaleca używanie tagów usługi platformy Azure, ale jeśli zasady organizacji nie zezwalają na tagi usług, możesz użyć adresów IP do zdefiniowania mechanizmów kontroli dostępu do sieci na trasach zdefiniowanych przez użytkownika.

Szczegóły różnią się w zależności od tego, czy włączono bezpieczną łączność klastra (SCC) dla obszaru roboczego:

  • Jeśli dla obszaru roboczego włączono bezpieczną łączność klastra, potrzebujesz trasę zdefiniowaną przez użytkownika, aby umożliwić klastrom łączenie się z bezpiecznym przekaźnikiem łączności klastra na płaszczyźnie sterowania. Pamiętaj, aby uwzględnić systemy oznaczone jako adres IP przekaźnika SCC dla twojego regionu.
  • Jeśli bezpieczna łączność klastra jest wyłączona dla obszaru roboczego, istnieje połączenie przychodzące z NAT płaszczyzny sterowania, ale protokół TCP SYN-ACK niskiego poziomu do tego połączenia technicznie jest danymi wychodzącymi, które wymagają UDR. Pamiętaj, aby uwzględnić systemy oznaczone jako adres IP NAT płaszczyzny sterowania dla swojego regionu.

Trasy zdefiniowane przez użytkownika powinny używać następujących reguł i kojarzyć tabelę tras z podsieciami publicznymi i prywatnymi sieci wirtualnej.

Źródło Prefiks adresu Typ następnego przeskoku
Domyślne Adres IP NAT płaszczyzny kontrolnej (jeśli SCC jest wyłączony) Internet
Domyślne Adres IP przekaźnika SCC (jeśli protokół SCC jest włączony) Internet
Domyślne Adres IP aplikacji internetowej Internet
Domyślne Adres IP magazynu metadanych Internet
Domyślne IP magazynu Artifact Blob Internet
Domyślne Rejestrowanie adresów IP dla magazynu Blob Internet
Domyślne Adres IP magazynu obszarów roboczych — punkt końcowy usługi Blob Storage Internet
Domyślne Adres IP magazynu obszaru roboczego — punkt końcowy usługi ADLS (dfs) Internet
Domyślne Event Hubs IP Internet

Jeśli usługa Azure Private Link jest włączona w obszarze roboczym, trasy zdefiniowane przez użytkownika powinny używać następujących reguł i skojarzyć tabelę tras z podsieciami publicznymi i prywatnymi sieci wirtualnej.

Źródło Prefiks adresu Typ następnego przeskoku
Domyślne Adres IP magazynu metadanych Internet
Domyślne Artifact Blob storage IP Internet
Domyślne Rejestracja IP dla magazynu Blob Internet
Domyślne Event Hubs IP Internet

Aby uzyskać adresy IP wymagane dla tras zdefiniowanych przez użytkownika, użyj tabel i instrukcji w regionach usługi Azure Databricks, w szczególności: