Ustawienia trasy zdefiniowanej przez użytkownika dla usługi Azure Databricks
Jeśli obszar roboczy usługi Azure Databricks zostanie wdrożony we własnej sieci wirtualnej, możesz użyć tras niestandardowych, znanych również jako trasy zdefiniowane przez użytkownika (UDR), aby upewnić się, że ruch sieciowy jest prawidłowo kierowany dla obszaru roboczego. Jeśli na przykład połączysz sieć wirtualną z siecią lokalną, ruch może być kierowany przez sieć lokalną i nie może nawiązać połączenia z płaszczyzną sterowania usługi Azure Databricks. Trasy zdefiniowane przez użytkownika mogą rozwiązać ten problem.
Potrzebujesz trasy zdefiniowanej przez użytkownika dla każdego typu połączenia wychodzącego z sieci wirtualnej. Możesz użyć zarówno tagów usługi platformy Azure, jak i adresów IP, aby zdefiniować mechanizmy kontroli dostępu do sieci na trasach zdefiniowanych przez użytkownika. Usługa Databricks zaleca używanie tagów usługi platformy Azure, aby zapobiec awariom usługi z powodu zmian adresów IP.
Konfigurowanie tras zdefiniowanych przez użytkownika za pomocą tagów usługi platformy Azure
Usługa Databricks zaleca używanie tagów usługi platformy Azure, które reprezentują grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Pomaga to zapobiec awariom usługi z powodu zmian adresów IP i usuwa konieczność okresowego wyszukiwania tych adresów IP i aktualizowania ich w tabeli tras. Jeśli jednak zasady organizacji nie zezwalają na tagi usług, możesz opcjonalnie określić trasy jako adresy IP.
Używając tagów usług, trasy zdefiniowane przez użytkownika powinny używać następujących reguł i skojarzyć tabelę tras z podsieciami publicznymi i prywatnymi sieci wirtualnej.
| Źródło | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| Domyślne | Tag usługi Azure Databricks | Internet |
| Wartość domyślna | Tag usługi Azure SQL | Internet |
| Wartość domyślna | Tag usługi Azure Storage | Internet |
| Wartość domyślna | Tag usługi Azure Event Hubs | Internet |
Uwaga
Możesz dodać tag usługi Microsoft Entra ID, aby ułatwić uwierzytelnianie identyfikatora Entra firmy Microsoft z klastrów usługi Azure Databricks do zasobów platformy Azure.
Jeśli usługa Azure Private Link jest włączona w obszarze roboczym, tag usługi Azure Databricks nie jest wymagany.
Tag usługi Azure Databricks reprezentuje adresy IP dla wymaganych połączeń wychodzących z płaszczyzną sterowania usługi Azure Databricks, bezpieczną łącznością klastra (SCC) i aplikacją internetową usługi Azure Databricks.
Tag usługi Azure SQL reprezentuje adresy IP dla wymaganych połączeń wychodzących z magazynem metadanych usługi Azure Databricks, a tag usługi Azure Storage reprezentuje adresy IP dla usługi Artifact Blob Storage i log Blob Storage. Tag usługi Azure Event Hubs reprezentuje wymagane połączenia wychodzące na potrzeby rejestrowania w usłudze Azure Event Hub.
Niektóre tagi usługi umożliwiają bardziej szczegółową kontrolę przez ograniczenie zakresów adresów IP do określonego regionu. Na przykład tabela tras dla obszaru roboczego usługi Azure Databricks w regionach Zachodnie stany USA może wyglądać następująco:
| Nazwisko | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| adb-servicetag | AzureDatabricks | Internet |
| magazyn metadanych adb | Sql.WestUS | Internet |
| adb-storage | Storage.WestUS | Internet |
| adb-eventhub | EventHub.WestUS | Internet |
Aby uzyskać tagi usługi wymagane dla tras zdefiniowanych przez użytkownika, zobacz Tagi usługi sieci wirtualnej.
Konfigurowanie tras zdefiniowanych przez użytkownika przy użyciu adresów IP
Usługa Databricks zaleca używanie tagów usługi platformy Azure, ale jeśli zasady organizacji nie zezwalają na tagi usług, możesz użyć adresów IP do zdefiniowania mechanizmów kontroli dostępu do sieci na trasach zdefiniowanych przez użytkownika.
Szczegóły różnią się w zależności od tego, czy włączono bezpieczną łączność klastra (SCC) dla obszaru roboczego:
- Jeśli włączono bezpieczną łączność klastra dla obszaru roboczego, musisz mieć trasę zdefiniowaną przez użytkownika, aby umożliwić klastrom łączenie się z bezpiecznym przekaźnikiem łączności klastra na płaszczyźnie sterowania. Pamiętaj, aby uwzględnić systemy oznaczone jako adres IP przekaźnika SCC dla twojego regionu.
- Jeśli bezpieczna łączność klastra jest wyłączona dla obszaru roboczego, istnieje połączenie przychodzące z translatora adresów sieciowych płaszczyzny sterowania, ale protokół TCP SYN-ACK niskiego poziomu do tego połączenia technicznie jest danymi wychodzącym, które wymagają trasy zdefiniowanej przez użytkownika. Pamiętaj, aby uwzględnić systemy oznaczone jako adres IP translatora adresów sieciowych płaszczyzny sterowania dla twojego regionu.
Trasy zdefiniowane przez użytkownika powinny używać następujących reguł i kojarzyć tabelę tras z podsieciami publicznymi i prywatnymi sieci wirtualnej.
| Źródło | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| Domyślne | Adres IP translatora adresów sieciowych płaszczyzny sterowania (jeśli protokół SCC jest wyłączony) | Internet |
| Wartość domyślna | Adres IP przekaźnika SCC (jeśli protokół SCC jest włączony) | Internet |
| Wartość domyślna | Adres IP aplikacji internetowej | Internet |
| Wartość domyślna | Adres IP magazynu metadanych | Internet |
| Wartość domyślna | Artifact Blob storage IP | Internet |
| Wartość domyślna | Log Blob storage IP | Internet |
| Wartość domyślna | Adres IP magazynu obszarów roboczych — punkt końcowy usługi Blob Storage | Internet |
| Wartość domyślna | Adres IP magazynu obszaru roboczego — punkt końcowy usługi ADLS Gen2 (dfs) |
Internet |
| Wartość domyślna | Event Hubs IP | Internet |
Jeśli usługa Azure Private Link jest włączona w obszarze roboczym, trasy zdefiniowane przez użytkownika powinny używać następujących reguł i skojarzyć tabelę tras z podsieciami publicznymi i prywatnymi sieci wirtualnej.
| Źródło | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| Domyślne | Adres IP magazynu metadanych | Internet |
| Wartość domyślna | Artifact Blob storage IP | Internet |
| Wartość domyślna | Log Blob storage IP | Internet |
| Wartość domyślna | Event Hubs IP | Internet |
Aby uzyskać adresy IP wymagane dla tras zdefiniowanych przez użytkownika, użyj tabel i instrukcji w regionach usługi Azure Databricks, w szczególności: