Udostępnij za pośrednictwem

Konfigurowanie łączności prywatnej z zasobów obliczeniowych bezserwerowych

  • Artykuł

W tym artykule opisano sposób konfigurowania łączności prywatnej z zasobów obliczeniowych bezserwerowych przy użyciu interfejsu użytkownika konsoli konta usługi Azure Databricks. Możesz również użyć interfejsu API konfiguracji łączności sieciowej.

Jeśli skonfigurujesz zasób platformy Azure tak, aby akceptował tylko połączenia z prywatnych punktów końcowych, wszelkie połączenia z zasobem z klasycznych zasobów obliczeniowych usługi Databricks również muszą używać prywatnych punktów końcowych.

Aby skonfigurować zaporę usługi Azure Storage umożliwiającą bezserwerowy dostęp do zasobów obliczeniowych przy użyciu podsieci, zamiast tego przejdź do Konfigurowanie zapory dla dostępu bezserwerowego do zasobów obliczeniowych. Aby zarządzać istniejącymi regułami prywatnego punktu końcowego, zobacz Zarządzanie regułami prywatnego punktu końcowego.

Ważne

Od 4 grudnia 2024 r. usługa Azure Databricks zaczęła pobierać opłaty za koszty sieci związane z obciążeniami bezserwerowymi łączącymi się z zasobami klientów. Obecnie jesteś obciążany opłatami za korzystanie z prywatnego punktu końcowego według stawki godzinowej dla twoich zasobów. Opłaty za przetwarzanie danych dla połączeń usługi Private Link są usuwane na czas nieokreślony. Rozliczenia dla innych kosztów sieci będą wdrażane stopniowo, w tym:

  • Publiczny dostęp do zasobów, na przykład przez bramę NAT.
  • Opłaty za transfer danych, takie jak w przypadku, gdy zasoby obliczeniowe bezserwerowe i docelowe znajdują się w różnych regionach.

Opłaty nie będą stosowane wstecznie.

Omówienie łączności prywatnej dla obliczeń bezserwerowych

Bezserwerowa łączność sieciowa jest zarządzana przy użyciu konfiguracji łączności sieciowej (NCC). Administratorzy konta tworzą NCC w konsoli konta, a NCC może być przypisane do jednej lub więcej przestrzeni roboczych.

Po dodaniu prywatnego punktu końcowego w NCC, usługa Azure Databricks tworzy żądanie prywatnego punktu końcowego dla zasobu platformy Azure. Po zaakceptowaniu żądania po stronie zasobu prywatny punkt końcowy jest używany do uzyskiwania dostępu do zasobów z bezserwerowej płaszczyzny obliczeniowej. Prywatny punkt końcowy jest przeznaczony dla konta usługi Azure Databricks i dostępny tylko z autoryzowanych obszarów roboczych.

Prywatne punkty końcowe NCC są obsługiwane w magazynach SQL, zadaniach, notesach, DLT i punktach końcowych obsługujących modele.

Uwaga

Prywatne punkty końcowe NCC są obsługiwane tylko w przypadku źródeł danych, którymi zarządzasz. Aby nawiązać połączenie z kontem magazynu obszaru roboczego, skontaktuj się z zespołem konta usługi Azure Databricks.

Uwaga

Obsługa modelu używa ścieżki magazynu obiektów blob platformy Azure do pobierania artefaktów modelu, więc utwórz prywatny punkt końcowy dla obiektu blob identyfikatora zasobu podrzędnego. Aby rejestrować modele w Unity Catalog z bezserwerowych notesów, potrzebujesz DFS.

Aby uzyskać więcej informacji na temat kontrolerów sieci, zobacz Co to jest konfiguracja łączności sieciowej (NCC)?.

Wymagania

  • Obszar roboczy musi znajdować się w planie Premium.
  • Musisz być administratorem konta usługi Azure Databricks.
  • Każde konto usługi Azure Databricks może mieć maksymalnie 10 NCC na region.
  • Każdy region może mieć 100 prywatnych punktów końcowych, rozmieszczonych według potrzeb w 1–10 NCC.
  • Każde NCC może być dołączone do maksymalnie 50 obszarów roboczych.

Krok 1. Tworzenie konfiguracji łączności sieciowej

Usługa Databricks zaleca udostępnianie NCC między obszarami roboczymi w ramach tej samej jednostki biznesowej i tymi, które współużytkują te same właściwości regionalnej łączności. Jeśli na przykład niektóre obszary robocze używają usługi Private Link, a inne obszary robocze używają włączania funkcji zapory, użyj oddzielnych NCC dla tych przypadków użycia.

  1. Jako administrator konta przejdź do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zasoby w chmurze.
  3. Kliknij pozycję Konfiguracje łączności sieciowej.
  4. Kliknij pozycję Dodaj konfigurację łączności sieciowej.
  5. Wpisz nazwę dla NCC.
  6. Wybierz region. Musi to być zgodne z regionem obszaru roboczego.
  7. Kliknij przycisk Dodaj.

Krok 2. Dołącz NCC do obszaru roboczego

  1. Na pasku bocznym konsoli konta kliknij pozycję Obszary robocze.
  2. Kliknij nazwę obszaru roboczego.
  3. Kliknij pozycję Aktualizuj obszar roboczy.
  4. W polu Konfiguracja łączności sieciowej wybierz kontroler sieci. Jeśli go nie widać, upewnij się, że wybrano ten sam region Azure zarówno dla obszaru roboczego, jak i dla Centrum Konfiguracji Sieci (NCC).
  5. Kliknij Aktualizuj.
  6. Poczekaj 10 minut na zastosowanie zmiany.
  7. Uruchom ponownie wszystkie uruchomione usługi bezserwerowe w obszarze roboczym.

Krok 3. Tworzenie reguł prywatnego punktu końcowego

Musisz utworzyć regułę prywatnego punktu końcowego w kontrolerze domeny dla każdego zasobu platformy Azure.

  1. Pobierz listę identyfikatorów zasobów platformy Azure dla wszystkich miejsc docelowych.
    1. Na innej karcie przeglądarki użyj portalu Azure, aby przejść do usług Azure źródła danych.
    2. Na stronie Przegląd poszukaj w sekcji Podstawy.
    3. Kliknij link JSON Widok. Identyfikator zasobu usługi jest wyświetlany w górnej części strony.
    4. Skopiuj ten identyfikator zasobu do innej lokalizacji. Powtórz dla wszystkich miejsc docelowych. Aby uzyskać więcej informacji na temat znajdowania identyfikatora zasobu, zobacz Wartości prywatnej strefy DNS prywatnego punktu końcowego platformy Azure.
  2. Wróć do karty przeglądarki konsolowej konta.
  3. Na pasku bocznym kliknij pozycję Zasoby w chmurze.
  4. Kliknij pozycję Konfiguracje łączności sieciowej.
  5. Wybierz NCC utworzony w kroku 1.
  6. W obszarze Reguły prywatnego punktu końcowego kliknij pozycję Dodaj regułę prywatnego punktu końcowego.
  7. W polu Identyfikator zasobu platformy Azure wklej identyfikator dla swojego zasobu.
  8. W polu Identyfikator podzasobu platformy Azure określ identyfikator docelowy i typ podzasobu. Każda reguła prywatnego punktu końcowego musi używać innego identyfikatora podsieci. Aby uzyskać listę obsługiwanych typów podźródła, zobacz Dostępność usługi Azure Private Link.
  9. Kliknij przycisk Dodaj.
  10. Poczekaj kilka minut, aż wszystkie reguły punktu końcowego mają stan PENDING.

Krok 4. Zatwierdzanie nowych prywatnych punktów końcowych w zasobach

Punkty końcowe nie będą obowiązywać, dopóki administrator z uprawnieniami do zasobu nie zatwierdzi nowego prywatnego punktu końcowego. Aby zatwierdzić prywatny punkt końcowy przy użyciu witryny Azure Portal, wykonaj następujące czynności:

  1. W witrynie Azure Portal przejdź do zasobu.

  2. Na pasku bocznym kliknij pozycję Sieć.

  3. Kliknij pozycję Połączenia prywatnego punktu końcowego.

  4. Kliknij kartę Dostęp prywatny.

  5. W sekcji Połączenia prywatnych punktów końcowych, sprawdź listę prywatnych punktów końcowych.

  6. Kliknij pole wyboru obok każdego z nich, aby zatwierdzić, a następnie kliknij przycisk Zatwierdź nad listą.

  7. Wróć do swojego NCC w usłudze Azure Databricks i odśwież stronę przeglądarki, dopóki wszystkie reguły punktu końcowego nie będą miały stanu ESTABLISHED.

    Lista prywatnych punktów końcowych

(Opcjonalnie) Krok 5. Ustawienie konta magazynowego w celu zablokowania dostępu do sieci publicznej

Jeśli nie masz jeszcze ograniczonego dostępu do konta usługi Azure Storage tylko do sieci dozwolonych, możesz to zrobić.

  1. Przejdź do portalu Azure Portal.
  2. Przejdź do konta magazynowego źródła danych.
  3. Na pasku bocznym kliknij pozycję Sieć.
  4. W polu Dostęp do sieci publicznej sprawdź wartość. Domyślnie wartość to włączone we wszystkich sieciach. Zmień to na Wyłączone

Krok 6. Ponowne uruchamianie bezserwerowych zasobów płaszczyzny obliczeniowej i testowanie połączenia

  1. Po poprzednim kroku poczekaj pięć dodatkowych minut na propagację zmian.
  2. Uruchom ponownie wszystkie uruchomione bezserwerowe zasoby płaszczyzny obliczeniowej w obszarach roboczych, do których dołączony jest Twój NCC. Jeśli nie masz żadnych uruchomionych zasobów bezserwerowej płaszczyzny obliczeniowej, uruchom je teraz.
  3. Upewnij się, że wszystkie zasoby zostały uruchomione pomyślnie.
  4. Uruchom co najmniej jedno zapytanie w źródle danych, aby potwierdzić, że bezserwerowa usługa SQL Warehouse może uzyskać dostęp do źródła danych.