Udostępnij za pośrednictwem


Konfigurowanie list dostępu do adresów IP dla obszarów roboczych

W tym artykule opisano sposób konfigurowania list dostępu do adresów IP dla obszarów roboczych usługi Azure Databricks. W tym artykule omówiono najbardziej typowe zadania, które można wykonać za pomocą interfejsu wiersza polecenia usługi Databricks. Możesz również użyć interfejsu API list dostępu do adresów IP.

Wymagania

  • Ta funkcja wymaga planu Premium.

  • Listy dostępu do adresów IP obsługują tylko adresy protokołu internetowego w wersji 4 (IPv4).

  • Jeśli włączysz bezpieczną łączność klastra w obszarze roboczym, wszystkie publiczne adresy IP używane przez płaszczyznę obliczeniową do uzyskiwania dostępu do płaszczyzny sterowania muszą zostać dodane do listy dozwolonych lub należy skonfigurować usługę Private Link zaplecza. W przeciwnym razie nie można uruchomić klasycznych zasobów obliczeniowych.

    Jeśli na przykład włączysz bezpieczną łączność klastra w obszarze roboczym korzystającym z iniekcji sieci wirtualnej, usługa Databricks zaleca, aby obszar roboczy miał stabilny publiczny adres IP ruchu wychodzącego. Ten publiczny adres IP i inne osoby muszą znajdować się na liście dozwolonych. Zobacz Adresy IP ruchu wychodzącego podczas korzystania z bezpiecznej łączności klastra. Alternatywnie, jeśli używasz sieci wirtualnej zarządzanej przez usługę Azure Databricks i skonfigurujesz zarządzaną bramę translatora adresów sieciowych w celu uzyskania dostępu do publicznych adresów IP, te adresy IP muszą znajdować się na liście dozwolonych. Aby uzyskać więcej informacji, zobacz wpis Społeczności usługi Databricks.

Sprawdź, czy obszar roboczy ma włączoną funkcję listy dostępu do adresów IP

Aby sprawdzić, czy obszar roboczy ma włączoną funkcję listy dostępu do adresów IP:

databricks workspace-conf get-status enableIpAccessLists

Włączanie lub wyłączanie funkcji listy dostępu do adresów IP dla obszaru roboczego

W treści żądania JSON określ enableIpAccessLists jako true (włączone) lub false (wyłączone).

databricks workspace-conf set-status --json '{
  "enableIpAccessLists": "true"
}'

Dodawanie listy dostępu do adresów IP

Gdy funkcja listy dostępu do adresów IP jest włączona i nie ma list dozwolonych ani list zablokowanych dla obszaru roboczego, wszystkie adresy IP są dozwolone. Dodanie adresów IP do listy dozwolonych blokuje wszystkie adresy IP, które nie znajdują się na liście. Upewnij się, że dodano wszystkie publiczne adresy IP używane przez płaszczyznę obliczeniową w celu uzyskania dostępu do płaszczyzny sterowania do listy dozwolonych. Uważnie przejrzyj zmiany, aby uniknąć niezamierzonych ograniczeń dostępu.

Listy dostępu do adresów IP mają etykietę, która jest nazwą listy i typem listy. Typ listy to ALLOW (lista dozwolonych) lub BLOCK (lista zablokowanych, co oznacza wykluczenie, nawet jeśli na liście dozwolonych).

Aby na przykład dodać listę dozwolonych:

databricks  ip-access-lists create --json '{
 "label": "office",
 "list_type": "ALLOW",
 "ip_addresses": [
   "1.1.1.1"
  ]
}'

Wyświetlanie listy dostępu do adresów IP

databricks ip-access-lists list

Aktualizowanie listy dostępu do adresów IP

Określ co najmniej jedną z następujących wartości do zaktualizowania:

  • label — Etykieta dla tej listy.
  • list_typeALLOW — (lista dozwolonych) lub BLOCK (lista zablokowanych, co oznacza wykluczenie nawet w przypadku listy dozwolonych).
  • ip_addresses — tablica JSON adresów IP i zakresów CIDR jako wartości ciągu.
  • enabled — określa, czy ta lista jest włączona. Przekaż true lub false.

Odpowiedź to kopia obiektu przekazanego z dodatkowymi polami dla daty identyfikatora i modyfikacji.

Aby na przykład wyłączyć listę:

databricks  ip-access-lists update <list-id> --json '{
  "enabled": false
}'

Usuwanie listy dostępu do adresów IP

Aby usunąć dostęp do adresu IP:

databricks  ip-access-lists delete <list-id>