Konfigurowanie zapory na potrzeby dostępu do zasobów obliczeniowych bezserwerowych
W tym artykule opisano sposób konfigurowania zapory usługi Azure Storage dla bezserwerowych obliczeń przy użyciu interfejsu użytkownika konsoli konta usługi Azure Databricks. Możesz również użyć API konfiguracji łączności sieciowej.
Aby skonfigurować prywatny punkt końcowy na potrzeby bezserwerowego dostępu obliczeniowego, zobacz Konfigurowanie łączności prywatnej z bezserwerowych obliczeń.
Ważne
Od 4 grudnia 2024 r. usługa Azure Databricks zaczęła pobierać opłaty za koszty sieci związane z obciążeniami bezserwerowymi łączącymi się z zasobami klientów. Obecnie opłaty są naliczane za prywatny punkt końcowy na godzinę na twoje zasoby. Opłaty za przetwarzanie danych dla połączeń usługi Private Link są usuwane na czas nieokreślony. Rozliczenia dla innych kosztów sieci będą wdrażane stopniowo, w tym:
- Publiczny dostęp do zasobów, na przykład przez bramę NAT.
- Opłaty za transfer danych, takie jak w przypadku, gdy zasoby obliczeniowe bezserwerowe i docelowe znajdują się w różnych regionach.
Opłaty nie będą stosowane wstecznie.
Omówienie włączenia zapory sieciowej dla obliczeń bezserwerowych
Bezserwerowa łączność sieciowa jest zarządzana przy użyciu konfiguracji łączności sieciowej (NCC). Administratorzy konta tworzą NCC w konsoli konta i NCC mogą być dołączone do jednego lub więcej obszarów roboczych.
Kontroler konfiguracji sieci (NCC) zawiera listę tożsamości sieciowych dla typu zasobu w Azure w postaci domyślnych reguł. Gdy NCC jest dołączone do obszaru roboczego, bezserwerowe obliczenia w tym obszarze używają jednej z tych sieci do łączenia się z zasobem Azure. Możesz zezwolić na listę tych sieci w zaporze zasobów platformy Azure. Jeśli masz zapory sieciowe dla zasobów platformy Azure niezwiązanych z magazynem, skontaktuj się z zespołem ds. kont, aby uzyskać informacje na temat korzystania ze stabilnych adresów IP NAT w usłudze Azure Databricks.
Włączanie zapory NCC jest obsługiwane w przypadku bezserwerowych magazynów SQL, zadań, notesów, potoków DLT i modeli obsługujących punkty końcowe.
Opcjonalnie możesz skonfigurować dostęp sieciowy do konta magazynu obszaru roboczego tylko z autoryzowanych sieci, w tym zasobów obliczeniowych bezserwerowych. Zobacz Włączanie obsługi zapory dla konta magazynu dla obszaru roboczego. Po dołączeniu kontrolera konfiguracji sieci (NCC) do obszaru roboczego reguły sieciowe są automatycznie dodawane do konta Azure Storage powiązanego z obszarem roboczym.
Aby uzyskać więcej informacji na temat kontrolerów sieci, zobacz Co to jest konfiguracja łączności sieciowej (NCC)?.
Wpływ na koszty dostępu do magazynu między regionami
Zapora ma zastosowanie tylko wtedy, gdy zasoby platformy Azure znajdują się w tym samym regionie co obszar roboczy usługi Azure Databricks. W przypadku ruchu między regionami z bezserwerowych zasobów obliczeniowych Azure Databricks (na przykład gdy workspace znajduje się w regionie Wschodnie USA, a magazyn danych ADLS w regionie Europa Zachodnia), ruch jest kierowany przez usługę Azure NAT Gateway.
Wymagania
- Obszar roboczy musi znajdować się w planie Premium.
- Musisz być administratorem konta usługi Azure Databricks.
- Każdy NCC może być dołączony do maksymalnie 50 obszarów roboczych.
- Każde konto usługi Azure Databricks może mieć maksymalnie 10 NCC na region.
- Musisz mieć
WRITE
dostęp do reguł sieci konta usługi Azure Storage.
Krok 1. Tworzenie konfiguracji łączności sieciowej i kopiowanie identyfikatorów podsieci
Databricks zaleca udostępnianie centr sterowania siecią między obszarami roboczymi w tej samej jednostce biznesowej oraz z tymi, które mają ten sam region i właściwości łączności. Jeśli na przykład niektóre obszary robocze używają zapory ogniowej dla magazynu, a inne obszary robocze używają alternatywnego podejścia w postaci technologii Private Link, użyj oddzielnych kontrolerów sieciowych dla tych scenariuszy użycia.
- Jako administrator konta przejdź do konsoli konta.
- Na pasku bocznym kliknij pozycję Zasoby w chmurze.
- Kliknij pozycję Konfiguracja łączności sieciowej.
- Kliknij pozycję Dodaj konfiguracje łączności sieciowej.
- Wpisz nazwę dla NCC.
- Wybierz region. Musi to być zgodne z regionem obszaru roboczego.
- Kliknij przycisk Dodaj.
- Na liście NCC kliknij swój nowy NCC.
- W Reguły domyślne pod Tożsamości sieciowe, kliknij Wyświetl wszystko.
- W oknie dialogowym kliknij na przycisk Kopiuj podsieci.
- Kliknij przycisk Zamknij.
Krok 2. Dołącz NCC do obszarów roboczych
Można dołączyć NCC do maksymalnie 50 obszarów roboczych w tym samym regionie co NCC.
Aby użyć interfejsu API w celu dołączenia NCC do obszaru roboczego, zapoznaj się z API obszarów roboczych konta.
- Na pasku bocznym konsoli konta kliknij pozycję Obszary robocze.
- Kliknij nazwę obszaru roboczego.
- Kliknij pozycję Aktualizuj obszar roboczy.
- W polu Konfiguracja łączności sieciowej wybierz swoją konfigurację NCC. Jeśli nie jest widoczny, upewnij się, że wybrano ten sam region zarówno dla obszaru roboczego, jak i NCC.
- Kliknij Aktualizuj.
- Poczekaj 10 minut na zastosowanie zmiany.
- Uruchom ponownie wszystkie uruchomione bezserwerowe zasoby obliczeniowe w obszarze roboczym.
Jeśli używasz tej funkcji do nawiązania połączenia z kontem magazynu obszaru roboczego, konfiguracja zostanie ukończona. Reguły sieciowe są automatycznie dodawane do konta magazynowego obszaru roboczego. Jeśli potrzebujesz dodatkowych kont magazynu, przejdź do następnego kroku.
Krok 3. Blokowanie konta magazynu
Jeśli nie masz jeszcze ograniczonego dostępu do konta usługi Azure Storage tylko do sieci dozwolonych, zrób to teraz. Nie musisz wykonywać tego kroku dla konta magazynu obszaru roboczego.
Utworzenie zapory magazynu wpływa również na łączność z klasycznej płaszczyzny obliczeniowej do zasobów. Należy również dodać reguły sieciowe, aby łączyć się z kontami magazynowymi z klasycznych zasobów obliczeniowych.
- Przejdź do portalu Azure Portal.
- Przejdź do konta magazynowego dla źródła danych.
- W lewym okienku nawigacyjnym kliknij pozycję Sieć.
- W polu Dostęp do sieci publicznej sprawdź wartość. Domyślnie wartość jest ustawiona na włączoną ze wszystkich sieci. Zmień tę opcję na Włączone dla wybranych sieci wirtualnych i adresów IP.
Krok 4. Dodawanie reguł sieci konta usługi Azure Storage
Nie musisz wykonywać tego kroku dla konta magazynu obszaru roboczego.
Dodaj jedną regułę sieciową konta usługi Azure Storage dla każdej podsieci. Można to zrobić przy użyciu interfejsu wiersza polecenia platformy Azure, programu PowerShell, programu Terraform lub innych narzędzi automatyzacji. Należy pamiętać, że nie można wykonać tego kroku w interfejsie użytkownika witryny Azure Portal.
W następującym przykładzie używany jest interfejs wiersza polecenia platformy Azure:
az storage account network-rule add --subscription "<sub>" \ --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
- Zastąp
<sub>
nazwą subskrypcji Azure dla konta magazynowego. - Zastąp
<res>
grupą zasobów konta magazynowego. - Zastąp
<account>
nazwą swojego konta magazynu - Zastąp
<subnet>
identyfikatorem zasobu ARM (resourceId
) bezserwerowej podsieci obliczeniowej.
Po uruchomieniu wszystkich poleceń możesz użyć portalu Azure, aby wyświetlić konto magazynu i potwierdzić, że istnieje wpis w tabeli Virtual Networks, który reprezentuje nową podsieć. Nie można jednak wprowadzać zmian reguł sieciowych w witrynie Azure Portal.
Napiwek
- Podczas dodawania reguł sieci konta magazynowego, użyj API do łączności sieciowej, aby pobrać najnowsze podsieci.
- Unikaj lokalnego przechowywania informacji NCC.
- Zignoruj wzmiankę "Niewystarczające uprawnienia" w kolumnie stan punktu końcowego lub ostrzeżenie poniżej listy sieciowej. Wskazują one tylko, że nie masz uprawnień do odczytu podsieci usługi Azure Databricks, ale nie zakłóca to możliwości, by bezserwerowa podsieć usługi Azure Databricks skontaktowała się z twoją usługą Azure Storage.
- Zastąp
Powtórz to polecenie raz dla każdej podsieci.
Aby potwierdzić, że konto magazynu używa tych ustawień w witrynie Azure Portal, przejdź do obszaru Sieć na koncie magazynu.
Upewnij się, że dostęp do sieci publicznej jest ustawiony na Włączone z wybranych sieci wirtualnych i adresów IP, a dozwolone sieci są wymienione w sekcji sieci wirtualnych.