Ativar o Azure Private Link como uma implantação simplificada

Este artigo explica como usar o Azure Private Link para habilitar a conectividade privada entre usuários e seus espaços de trabalho Databricks e também entre clusters no plano de computação clássico e os serviços principais no plano de controle dentro da infraestrutura do espaço de trabalho Databricks.

Nota

• Para obter os requisitos e uma visão geral do Private Link, consulte Habilitar conexões back-end e front-end do Azure Private Link.
• Existem dois tipos de implantação: padrão e simplificada. Este artigo descreve a implantação simplificada. Para comparar esses tipos de implantação, consulte Escolher implantação padrão ou simplificada.

Introdução às conexões front-end em uma implantação padrão

Para dar suporte a conexões front-end privadas com o aplicativo Web Azure Databricks para clientes sem conectividade pública com a Internet, você deve adicionar um ponto de extremidade privado de autenticação do navegador para dar suporte a retornos de chamada de logon único (SSO) para o aplicativo Web Azure Databricks. Normalmente, essas conexões de usuário viriam por meio de uma VNet que lida com conexões com redes locais e VPNs, chamada de VNet de trânsito. No entanto, para o estilo de implantação simplificado para a integração do Azure Private Link com Databricks, você usa uma sub-rede de trânsito em vez de uma VNet de trânsito.

Um ponto de extremidade privado de autenticação do navegador é uma conexão privada com o tipo browser_authenticationde sub-recurso . Ele hospeda uma conexão privada de uma sub-rede de trânsito que permite que a ID do Microsoft Entra redirecione os usuários após o logon para a instância correta do plano de controle do Azure Databricks.

• Se você planeja permitir conexões da rede de trânsito do cliente do usuário para a Internet pública, a adição de um ponto de extremidade privado de autenticação do navegador da Web é recomendada, mas não necessária.
• Se você planeja não permitir conexões da rede de trânsito do cliente com a Internet pública, é necessário adicionar um ponto de extremidade privado de autenticação do navegador da Web.

O ponto de extremidade privado de autenticação do navegador é compartilhado entre todos os espaços de trabalho na região que compartilham a mesma zona DNS privada. Além disso, observe que algumas soluções de DNS corporativo efetivamente limitam você a um ponto de extremidade privado regional para autenticação do navegador.

Importante

Para hospedar as configurações de rede privada de autenticação da Web, o Databricks recomenda vivamente a criação de um espaço de trabalho chamado espaço de trabalho privado de autenticação da Web para cada região. Isso resolve o problema de excluir um espaço de trabalho que pode afetar outros espaços de trabalho nessa região. Para obter mais contexto e detalhes, consulte Etapa 4: Criar um ponto de extremidade privado para dar suporte ao SSO para acesso ao navegador da Web.

Fluxo de rede e diagramas de objetos de rede

O diagrama a seguir mostra o fluxo de rede em uma implementação típica da implantação simplificada do Private Link:

O diagrama a seguir mostra a arquitetura do objeto de rede:

Para comparar isso com a implantação padrão do Link Privado, consulte Diagramas de fluxo de rede e objeto de rede

Etapa 1: Criar grupos de recursos

1. No portal do Azure, vá para a folha de grupos de recursos.
2. Clique em Criar grupo de recursos para criar um grupo de recursos para seu espaço de trabalho. Defina a assinatura do Azure, a região e o nome do grupo de recursos. Clique em Rever e Criar e, em seguida, em Criar.

Etapa 2: Criar ou preparar a rede virtual do espaço de trabalho

Talvez você já tenha uma VNet que usará ou pode criar uma nova VNet especificamente para o Azure Databricks.

Para obter os requisitos para intervalos de IP da rede virtual e as duas sub-redes necessárias para o espaço de trabalho, consulte o artigo Implantar o Azure Databricks em sua rede virtual do Azure (injeção de rede virtual).

Os intervalos de IP de rede virtual e de sub-rede que você usa para o Azure Databricks definem o número máximo de nós de cluster que você pode usar ao mesmo tempo. Escolha esses valores cuidadosamente para corresponder aos requisitos de rede da sua própria organização e ao máximo de nós de cluster que você espera usar de uma só vez com o Azure Databricks. Consulte Espaço de endereçamento e nó máximo de cluster.

Por exemplo, você pode criar uma VNet com estes valores:

• Intervalo de IP: primeiro remova o intervalo de IP padrão e, em seguida, adicione o intervalo de 10.28.0.0/23IP.
• Criar sub-rede public-subnet com intervalo 10.28.0.0/25.
• Criar sub-rede private-subnet com intervalo 10.28.0.128/25.
• Criar sub-rede private-link com intervalo 10.28.1.0/27. Na implantação simplificada, essa é a sua sub-rede de trânsito.

Etapa 3: provisionar um espaço de trabalho do Azure Databricks e pontos de extremidade privados

Implante um novo espaço de trabalho do Azure Databricks com as seguintes configurações:

• Para a rede para recursos de computação, implante seu espaço de trabalho do Azure Databricks em sua própria rede virtual. Esse recurso é conhecido como Implantar o Azure Databricks em sua rede virtual do Azure (injeção de VNet).
• Conectividade de cluster segura (também conhecida como No-Public-IP/NPIP).
• Suporte de Link Privado.

Para implantar um espaço de trabalho com essas configurações, você tem várias opções, incluindo uma interface do usuário no portal do Azure, um modelo personalizado (que você pode aplicar na interface do usuário, com CLI do Azure ou PowerShell) ou Terraform. Para usar um modelo personalizado para criar um espaço de trabalho habilitado para Link Privado, use este modelo.

Não importa qual abordagem você escolha, defina cuidadosamente estes três valores ao criar seu novo espaço de trabalho:

• Acesso à rede pública (para Link Privado front-end) (no modelo como publicNetworkAccess): Controla suas configurações para o caso de uso front-end do Link Privado.
  • Se você definir isso como Enabled (o padrão), os usuários e clientes de API REST na Internet pública poderão acessar o Azure Databricks, embora você possa limitar o acesso a intervalos de IP específicos de redes de origem aprovadas usando Configurar listas de acesso IP para espaços de trabalho.
  • Se você definir isso como Disabled, há várias implicações. Não é permitido o acesso de utilizadores a partir da Internet pública. A conexão front-end pode ser acessada apenas usando conectividade Private Link e não a partir da Internet pública. As listas de acesso IP não são eficazes em conexões Private Link. Também com essa configuração, você deve habilitar o Link privado back-end.
  • Se você deseja usar apenas o Link Privado back-end (sem Link Privado front-end), você deve definir o acesso à rede pública como Enabled.
• Regras NSG necessárias (para back-end Private Link) (no modelo como requiredNsgRules): Valores possíveis:
  • Todas as regras (o padrão): esse valor está no modelo como AllRules. Isso indica que seu plano de computação de espaço de trabalho precisa de um grupo de segurança de rede que inclua regras do Azure Databricks que permitam conexões na Internet pública do plano de computação para o plano de controle. Se você não estiver usando o Link Privado de back-end, use essa configuração.
  • Sem Regras do Azure Databricks: esse valor está no modelo como NoAzureDatabricksRules: Use esse valor se estiver usando o Link Privado back-end, o que significa que seu plano de computação do espaço de trabalho não precisa de regras de grupo de segurança de rede para se conectar ao plano de controle do Azure Databricks. Se você estiver usando o Link Privado back-end, use essa configuração.
• Habilite a conectividade de cluster seguro (No-Public-IP/NPIP) (no modelo como enableNoPublicIp): Sempre definido como Sim (true), que habilita a conectividade segura do cluster.

A combinação das configurações Acesso à rede pública (no modelo) publicNetworkAccesse Regras NSG necessárias (no modelo, requiredNsgRules) definem quais tipos de Link privado são suportados.

A tabela a seguir mostra os cenários suportados para os dois principais casos de uso de Link Privado, que são front-end e back-end. Esta tabela se aplica somente à implantação simplificada do Private Link. Alguns cenários adicionais estão disponíveis com a implantação padrão do Link Privado.

Cenário	Definir o acesso à rede pública para este valor	Definir regras NSG necessárias para este valor	Crie estes pontos de extremidade
Sem Link Privado para front-end ou back-end	Ativado(a)	Todas as regras	n/d
Configuração recomendada: Link privado front-end e back-end. A conectividade front-end está bloqueada para exigir o Private Link.	Desativado	NoAzureDatabricksRules	Um ponto de extremidade privado que é usado para conectividade back-end e front-end. Adicionalmente, um ponto final privado de autenticação do browser por região.
Link privado front-end e back-end. A conectividade front-end híbrida permite o Private Link ou a Internet pública, normalmente usando Configurar listas de acesso IP para espaços de trabalho. Use essa abordagem híbrida se você usar o Private Link para acesso de usuário local, mas precisar permitir intervalos CIDR específicos da Internet. Os intervalos adicionais podem ser usados para serviços do Azure, como SCIM ou Azure Machine Learning, ou para fornecer acesso externo para JDBC, automação de nuvem ou ferramentas de administração.	Ativado(a)	NoAzureDatabricksRules	Um ponto de extremidade privado para conectividade back-end e front-end. Adicionalmente, um ponto final privado de autenticação do browser por região.
Front-end apenas Private Link. A conectividade front-end está bloqueada para exigir Private Link (o acesso à rede pública está desativado). Nenhum link privado para back-end.	Este é um cenário sem suporte.	Este é um cenário sem suporte.	Este é um cenário sem suporte.
Front-end apenas Private Link. A conectividade front-end híbrida permite Private Link ou internet pública, talvez usando Configurar listas de acesso IP para espaços de trabalho. Nenhum link privado para back-end.	Ativado(a)	Todas as regras	Um ponto de extremidade para front-end (opcional). Adicionalmente, um ponto final privado de autenticação do browser por região.

Em todos os casos, você deve definir estas definições de configuração do espaço de trabalho:

• Defina o nível de preço como Premium (em um modelo, esse valor é premium)
• Defina Desativar IP Público (conectividade de cluster seguro) como Sim (em um modelo, esse valor é true).
• Definir Rede > Implantar o espaço de trabalho do Azure Databricks em sua própria Rede Virtual (VNet) como Sim (em um modelo, esse valor é true)

Nota

Em geral, você precisa habilitar o Private Link ao criar um espaço de trabalho. No entanto, se você tiver um espaço de trabalho existente que nunca teve acesso front-end ou back-end de Link Privado, ou se tiver usado os valores padrão para Acesso à rede Pública (Habilitado) e Regras NSG Necessárias (Todas as Regras), poderá optar por adicionar o Link Privado front-end mais tarde. No entanto, o acesso à rede pública permanecerá habilitado, portanto, apenas algumas das opções de configuração estarão disponíveis para você.

Há duas maneiras de criar o espaço de trabalho:

Criar o espaço de trabalho e os pontos de extremidade privados na interface do usuário do portal do Azure

O portal do Azure inclui automaticamente os dois campos de Link Privado (Acesso à rede pública e Regras NSG necessárias) ao criar um novo espaço de trabalho do Azure Databricks.

1. Para criar o espaço de trabalho com sua própria VNet (injeção de VNet). Para configurar e dimensionar suas sub-redes, siga o procedimento de espaço de trabalho em Implantar o Azure Databricks em sua rede virtual do Azure (injeção de VNet), mas ainda não pressione Criar.

   Defina os seguintes campos:

   1. Defina o Nível de Preço como premium ou você não verá os campos Link privado na interface do usuário.
   2. Defina Rede > Implantar o espaço de trabalho do Azure Databricks com Conectividade de Cluster Seguro (Sem IP Público) (no modelo como Disable Public Ip) como Sim.
   3. Defina Rede > Implantar o espaço de trabalho do Azure Databricks em sua própria Rede Virtual (VNet) como Sim.
   4. Defina as sub-redes de acordo com a VNet que você criou em uma etapa anterior. Para obter detalhes, consulte o artigo sobre injeção de VNet.
   5. Defina os campos do espaço de trabalho Link Privado Acesso à Rede Pública e Regras Nsg Necessárias de acordo com a tabela de cenários em Etapa 3: provisionar um espaço de trabalho do Azure Databricks e pontos de extremidade privados.

   A captura de tela a seguir mostra os quatro campos mais importantes para a conectividade do Link Privado.

   

2. Crie um ponto de extremidade privado para usar para conectividade back-end e front-end:

   1. Procure a seção Pontos finais privados abaixo dos campos mostrados na captura de tela anterior. Se você não vê-los, provavelmente não definiu o Nível de Preço como Premium.

      

   2. Clique em + Adicionar.

      O portal do Azure mostra a folha Criar ponto de extremidade privado dentro do espaço de trabalho de criação.

      

      Quando você cria o ponto de extremidade privado de dentro do espaço de trabalho, alguns campos do Azure para esse tipo de objeto não são mostrados porque são preenchidos automaticamente e não editáveis. Alguns campos são visíveis, mas não precisam ser editados:

      • O campo de subrecurso do Azure Databricks é visível e preenchido automaticamente com o valor databricks_ui_api. Esse valor de subrecurso representa o plano de controle atual do Azure Databricks para seu espaço de trabalho. Esse valor de nome de subrecurso é usado para pontos de extremidade privados para conectividade back-end e front-end.

      • Depois de definir seu grupo de recursos, VNet e sub-rede, a Zona DNS Privada será preenchida automaticamente com um valor se você usar o DNS interno criado pelo Azure em vez de um DNS personalizado.

        Importante

        O Azure pode não escolher automaticamente a zona DNS privada que você deseja usar. Revise o valor do campo Zona DNS Privada e modifique-o conforme necessário.

   3. Defina o Local para corresponder à região do seu espaço de trabalho. Observe que, para back-end, região de ponto de extremidade privada e região de espaço de trabalho devem corresponder, embora para conexões de ponto de extremidade privado front-end, as regiões não precisam corresponder.

   4. Defina a rede virtual para sua rede virtual de espaço de trabalho.

   5. Defina a sub-rede como Sub-rede específica do Link privado em seu espaço de trabalho. Essa sub-rede não deve ser nenhuma das sub-redes padrão usadas para injeção de VNet. Para obter informações relacionadas, consulte Requisitos de rede.

   6. Para uso típico com o DNS interno do Azure, defina Integrar com zona DNS privada como Sim. O resto destas instruções pressupõem que escolheu Sim.

      Se a sua organização mantiver o seu próprio DNS personalizado, poderá querer defini-lo como Não, mas reveja este artigo da Microsoft sobre configuração de DNS antes de continuar. Entre em contato com sua equipe de conta do Azure Databricks se tiver dúvidas.

   7. Clique em OK para criar o ponto de extremidade privado e retornar à folha de criação do espaço de trabalho.

   8. Para finalizar a criação do espaço de trabalho, clique em Rever + criar e, em seguida, em Criar.

      Aguarde até que o espaço de trabalho seja implantado e clique em Ir para recurso. Este é o objeto do portal do Azure para seu espaço de trabalho do Azure Databricks.

Criar o espaço de trabalho usando um modelo personalizado

Se você não quiser usar a interface do usuário padrão do portal do Azure para criar o espaço de trabalho, poderá usar um modelo para implantar seu espaço de trabalho. Você pode usar o modelo com:

• Interface do portal do Azure
• CLI do Azure
• Azure PowerShell
• Terraform

O modelo ARM de implantação tudo-em-um para Private Link cria os seguintes recursos:

• Grupos de segurança de rede
• Grupos de recursos
• VNet incluindo sub-redes para o espaço de trabalho (as duas sub-redes padrão) e Private Link (uma sub-rede adicional)
• Espaço de trabalho do Azure Databricks
• O ponto de extremidade Private Link com zona DNS privada

1. Você pode implantar o modelo diretamente da página principal do modelo.

2. Para implantá-lo diretamente, clique em Implantar no Azure. Para visualizar a fonte, clique em Procurar no GitHub.

   Em ambos os casos, defina os seguintes valores de parâmetro para o modelo:

   • Defina pricingTier como premium. Se você deixar isso como standard, o portal do Azure ocultará os campos de configuração específicos do Link Privado.
   • Defina enableNoPublicIp como true
   • Definir publicNetworkAccess e requiredNsgRules de acordo com a tabela em Etapa 3: provisionar um espaço de trabalho do Azure Databricks e pontos de extremidade privados
   • Defina o networkSecurityGroup como o ID do NSG do seu espaço de trabalho.

3. Aguarde a implantação do espaço de trabalho.

4. Navegue até o novo recurso do Serviço Azure Databricks que representa seu espaço de trabalho. Este é o objeto do portal do Azure para seu espaço de trabalho do Azure Databricks.

Etapa 4: Criar um ponto de extremidade privado para dar suporte ao SSO para acesso ao navegador da Web

Importante

Ignore esta etapa se você não implementar o link privado front-end. Além disso, se todos os seus espaços de trabalho na região suportarem conexões front-end de Link Privado e a rede do cliente (a sub-rede de trânsito) permitir acesso público à Internet, a configuração descrita nesta etapa é recomendada, mas opcional.

A autenticação do usuário no aplicativo Web Azure Databricks usa OAuth como parte da implementação do Microsoft Entra ID SSO. Durante a autenticação, o navegador do usuário se conecta ao plano de controle do Azure Databricks. Além disso, o fluxo OAuth requer um redirecionamento de retorno de chamada de rede do Microsoft Entra ID. Se você configurou o Link Privado front-end, sem configuração adicional, o redirecionamento de rede SSO falhará. Isso significa que os usuários não poderão se autenticar no Azure Databricks. Observe que esse problema se aplica ao login do usuário na interface do usuário do aplicativo Web em uma conexão front-end, mas não se aplica às conexões da API REST porque a autenticação da API REST não usa retornos de chamada SSO.

Para dar suporte à autenticação do navegador da Web, se sua rede cliente (a sub-rede de trânsito) não permitir o acesso à Internet pública, você deverá criar um ponto de extremidade privado de autenticação do navegador para oferecer suporte a retornos de chamada de autenticação de logon único (SSO) a partir do ID do Microsoft Entra. Um ponto de extremidade privado de autenticação do navegador é um ponto de extremidade privado com o subrecurso chamado browser_authentication. A criação de um ponto de extremidade privado de autenticação do navegador faz com que o Azure Databricks configure automaticamente os registros DNS para o retorno de chamada da ID do Microsoft Entra durante o logon do SSO. As alterações de DNS são feitas por padrão na zona DNS privada associada à rede virtual do espaço de trabalho.

Para uma organização com vários espaços de trabalho, é importante entender que uma configuração de rede configurada corretamente é exatamente um ponto de extremidade privado de autenticação de navegador para cada região do Azure Databricks para cada zona DNS privada. O ponto de extremidade privado de autenticação do navegador configura a autenticação da Web privada para todos os espaços de trabalho de Link Privado na região que compartilham a mesma zona DNS privada.

Por exemplo, se você tiver 10 espaços de trabalho de produção na região Oeste dos EUA que compartilham a mesma zona DNS privada, terá um ponto de extremidade privado de autenticação do navegador para dar suporte a esses espaços de trabalho.

Importante

• Se alguém excluir o espaço de trabalho que hospeda o ponto de extremidade privado de autenticação do navegador para essa região, isso interromperá a autenticação da Web do usuário para quaisquer outros espaços de trabalho nessa região que dependiam desse ponto de extremidade privado de autenticação do navegador e da configuração DNS relacionada para retornos de chamada SSO.
• Para reduzir os riscos de exclusão do espaço de trabalho e incentivar a configuração padrão do espaço de trabalho para seus espaços de trabalho de produção, o Databricks recomenda que você crie um espaço de trabalho privado de autenticação da Web para cada região.
• Para implantações que não sejam de produção, você pode simplificar a implementação omitindo o espaço de trabalho de autenticação da Web privado adicional. Nesse caso, seu ponto de extremidade de autenticação da Web se conectaria a um de seus outros espaços de trabalho nessa região.

Um espaço de trabalho de autenticação da Web privado é um espaço de trabalho que você cria na mesma região que seus espaços de trabalho do Azure Databricks, e sua única finalidade é hospedar a conexão de ponto de extremidade privado de autenticação do navegador para seus espaços de trabalho do Azure Databricks de produção real nessa região. De todas as outras maneiras, o espaço de trabalho privado de autenticação da Web não é usado para nada, por exemplo, não o use para executar trabalhos ou outras cargas de trabalho. Ele não precisa de nenhum dado real do usuário ou conectividade de rede de entrada além do ponto de extremidade privado de autenticação do navegador. Você pode configurá-lo para não ter acesso de usuário. Ao definir a configuração do espaço de trabalho Acesso à rede pública como Desabilitado e não criar nenhum ponto de extremidade privado front-end para o espaço de trabalho, os usuários não têm acesso ao login do usuário no espaço de trabalho.

Para visualizar como o espaço de trabalho de autenticação da Web privado funciona com outros objetos para conectividade de Link Privado, consulte o diagrama anteriormente neste artigo.

O espaço de trabalho privado de autenticação da Web atua como um serviço de retorno de chamada para todos os espaços de trabalho na região para SSO do usuário durante o login. Após a conclusão do login em seus espaços de trabalho regulares, o espaço de trabalho privado de autenticação da Web não será usado até o próximo login.

Quer você opte ou não por criar um espaço de trabalho privado de autenticação da Web, você deve escolher um espaço de trabalho na região que hospedará o destino do ponto de extremidade privado de autenticação do navegador. No portal do Azure, escolha um objeto de espaço de trabalho do Azure Databricks que contenha o ponto de extremidade privado de autenticação do navegador. Em tempo de execução, o acesso real à rede é da sua sub-rede de trânsito para o Microsoft Entra ID. Após o login bem-sucedido usando o Microsoft Entra ID, o navegador da Web do usuário é redirecionado para a instância correta do plano de controle.

Gorjeta

O Databricks recomenda enfaticamente a configuração do espaço de trabalho de autenticação da Web privado se você tiver vários espaços de trabalho que compartilham uma configuração de DNS privado. Você pode optar por omitir o espaço de trabalho privado de autenticação da Web para qualquer uma das seguintes condições:

• Você tem apenas um espaço de trabalho na região e está confiante de que não adicionará mais mais tarde.
• Você tem certeza de que não precisará excluir nenhum espaço de trabalho.
• Implantações que não são de produção.

Em qualquer um desses casos, omita o espaço de trabalho privado de autenticação da Web e, em vez disso, escolha um dos espaços de trabalho de produção para hospedar o ponto de extremidade privado de autenticação do navegador. No entanto, esteja ciente dos riscos de que a eventual exclusão desse espaço de trabalho impeça imediatamente a autenticação do usuário para outros espaços de trabalho na região com suporte front-end Private Link.

Para criar um ponto de extremidade privado para dar suporte ao SSO:

1. Etapa recomendada, mas opcional: crie um espaço de trabalho privado de autenticação da Web para hospedar o serviço de autenticação da Web.

   1. Crie um grupo de recursos para hospedar o espaço de trabalho privado de autenticação da Web. Crie um para cada região na qual você implantou espaços de trabalho do Azure Databricks.

   2. Crie um espaço de trabalho de autenticação da Web privado para cada região na qual você implantou espaços de trabalho do Azure Databricks.

      • Você pode usar o portal do Azure, a CLI do Azure, o Powershell ou o Terraform para criar um novo espaço de trabalho do Azure Databricks.
      • Defina o nível como Premium.
      • Defina o nome do espaço de trabalho para WEB_AUTH_DO_NOT_DELETE_<region> garantir que ele não seja excluído.
      • Defina Required NSG Rules (requiredNsgRules) para o valor NoAzureDatabricksRules.
      • Defina a conectividade de cluster seguro (NPIP) (enableNoPublicIp) como Enabled.
      • Defina a região para a mesma região que seus outros espaços de trabalho de produção.
      • Utilize a injeção de VNet. Crie ou use uma VNet separada da VNet que você usa para sua VNet de espaço de trabalho principal.
      • Defina Acesso à rede pública (publicNetworkAccess) como Desativado.
      • Não coloque nenhuma carga de trabalho do Azure Databricks neste espaço de trabalho.
      • Não adicione nenhum ponto de extremidade privado além do ponto de extremidade privado de autenticação do navegador. Por exemplo, não crie nenhum ponto de extremidade privado com o subrecurso, o databricks_ui_api que permitiria conexões front-end ou back-end com o espaço de trabalho, o que não é necessário.

      Para obter detalhes sobre como implantar um espaço de trabalho usando a injeção de VNet, consulte Implantar o Azure Databricks em sua rede virtual do Azure (injeção de VNet).

      Para criar o espaço de trabalho, você pode usar o modelo ARM tudo-em-um padrão e seguir os requisitos listados acima para a configuração do espaço de trabalho.

   3. Depois de criar o espaço de trabalho privado de autenticação da Web, defina um bloqueio nele para impedir que o espaço de trabalho seja excluído. Navegue até a instância de serviço do Azure Databricks no portal do Azure. Na navegação à esquerda, clique em Bloqueios. Clique em +Adicionar. Defina Tipo de bloqueio como Excluir. Dê um nome ao cadeado. Clique em OK.

      

2. No portal do Azure, navegue até a instância do Serviço Azure Databricks que representa seu espaço de trabalho.

   • Se você estiver usando um espaço de trabalho de autenticação da Web privado, vá para o objeto de instância do Serviço Azure Databricks para o espaço de trabalho de autenticação da Web privado.
   • Se você não estiver usando um espaço de trabalho privado de autenticação da Web, escolha um espaço de trabalho que hospedará o ponto de extremidade privado de autenticação da Web. Lembre-se de que a exclusão desse espaço de trabalho excluirá os registros DNS necessários para todos os outros espaços de trabalho nessa região que usam conexões front-end de Link Privado. no portal do Azure, abra a folha de instância do Serviço Azure Databricks deste espaço de trabalho.

3. Vá para Configurações>Conexões de ponto de extremidade privadas de rede.>

4. Clique no botão + Adicionar para criar um ponto de extremidade privado para este espaço de trabalho.

5. O portal do Azure mostra a folha Criar ponto de extremidade privado dentro do fluxo de espaço de trabalho de criação.

   

6. Na etapa Recurso, defina o campo Subrecurso de destino como browser_authentication.

   Observe que os campos Tipo de recurso e Recurso fazem referência automática à instância do espaço de trabalho do Serviço Azure Databricks que você está editando.

   

7. Na etapa Rede Virtual:

   1. Defina a rede virtual para sua rede virtual que contém sua sub-rede de trânsito. Seguindo as recomendações neste artigo, esta seria a VNet do seu espaço de trabalho.
   2. Defina a sub-rede para a sub-rede de trânsito.

8. Na etapa DNS:

   

   • Para uso típico com o DNS interno do Azure, defina Integrar com zona DNS privada como Sim.

     Se sua organização mantiver seu próprio DNS personalizado, você poderá definir Integrar com zona DNS privada como Não, mas leia este artigo da Microsoft sobre configuração de DNS antes de continuar. Entre em contato com sua equipe de conta do Azure Databricks se tiver dúvidas.

     O resto das instruções neste artigo assumem que você escolheu Sim.

   • Verifique se o campo Grupo de recursos está definido como o grupo de recursos correto. Pode ter sido pré-preenchido para o grupo de recursos correto, mas não é garantido que o faça. Defina-o para a mesma VNet que o ponto de extremidade privado front-end.

     Importante

     Este é um passo comum para erros de configuração, por isso faça este passo com cuidado.

9. Clique em OK para criar o ponto de extremidade privado.

10. Se você se integrar ao DNS interno do Azure, agora poderá confirmar que seu DNS foi configurado automaticamente pelo ponto de extremidade privado de autenticação do navegador que você criou. Por exemplo, se você olhar para dentro de sua zona DNS privada, verá um ou mais novos A registros com nomes que terminam em .pl-auth. Esses são registros que representam os retornos de chamada SSO para cada instância do plano de controle na região. Se houver mais de uma instância do plano de controle do Azure Databricks nessa região, haverá mais de um A registro.

DNS Personalizado

Se você usar o DNS personalizado, deverá garantir que a configuração DNS apropriada esteja configurada para oferecer suporte a retornos de chamada de autenticação SSO. Para obter orientação, entre em contato com sua equipe de conta do Azure Databricks.

Se você estiver usando um ponto de extremidade privado front-end e os usuários acessarem o espaço de trabalho do Azure Databricks a partir de uma sub-rede de trânsito para a qual você habilitou o DNS personalizado, deverá habilitar o endereço IP do ponto de extremidade privado para que o espaço de trabalho seja acessível usando a URL do espaço de trabalho.

Talvez seja necessário configurar o encaminhamento condicional para o Azure ou criar um registro DNS A para a URL do espaço de trabalho no DNS personalizado (DNS local ou interno). Para obter instruções detalhadas sobre como habilitar o acesso a serviços habilitados para Link Privado, consulte Configuração de DNS do Ponto de Extremidade Privado do Azure.

Por exemplo, se você mapear diretamente as URLs de recursos para os endereços IP de ponto de extremidade privado front-end em seu DNS interno, precisará de duas entradas:

• Um registro DNS A mapeia a URL por espaço de trabalho (adb-1111111111111.15.azuredatabricks.net) para o endereço IP do ponto de extremidade privado front-end.

• Um ou mais registros DNS A mapeiam a URL de resposta de fluxo OAuth do Microsoft Entra ID para o endereço IP do ponto de extremidade privado front-end, por exemplo westus.pl-auth.azuredatabricks.net. Como uma região pode ter mais de uma instância de plano de controle, talvez seja necessário adicionar vários A registros, um para cada instância de plano de controle.

  Nota

  Se você estiver usando DNS personalizado, para obter o conjunto de domínios de instância do plano de controle que você deve usar para a região que deseja usar, entre em contato com sua equipe de conta do Azure Databricks. Algumas regiões têm mais de uma instância de plano de controle.

Além dos registros individuais A necessários para o acesso ao ponto de extremidade privado do espaço de trabalho, você deve configurar pelo menos um conjunto de registros DNS OAuth (browser_authentication) por região. Isso fornece acesso de cliente privado através do acesso OAuth a todos os espaços de trabalho na região, porque o browser_authentication ponto de extremidade privado para o plano de controle é compartilhado entre espaços de trabalho nessa região.

Como alternativa, você pode permitir que o tráfego OAuth saia pela rede pública se o acesso à Internet pública for permitido e compartilhar um único endereço IP de ponto de extremidade privado de usuário para espaço de trabalho para todas as unidades de negócios seria um problema devido ao DNS comum.

Depois que essas configurações forem preparadas, você poderá acessar o espaço de trabalho do Azure Databricks e iniciar clusters para suas cargas de trabalho.

Etapa 5: Testar a autenticação SSO do usuário em seu espaço de trabalho

Você deve testar a autenticação em seu novo espaço de trabalho. Para a tentativa de autenticação inicial, inicie o espaço de trabalho de dentro do portal do Azure. No objeto de espaço de trabalho, há um botão Iniciar espaço de trabalho, que é importante. Quando você clica nele, o Azure Databricks tenta fazer logon no espaço de trabalho e provisionar sua conta de usuário de administrador inicial do espaço de trabalho. É importante testar a autenticação para garantir que seu espaço de trabalho esteja funcionando corretamente.

1. Clique no botão Iniciar espaço de trabalho.

2. Teste o acesso à rede a partir da sua sub-rede de trânsito ou de um local de rede que se associe a ela. Por exemplo, se sua rede local tiver acesso à sub-rede de trânsito, você poderá verificar o SSO do usuário em sua rede local. Confirme o acesso à rede de teste para a sub-rede de trânsito.

   Se você não estiver em um local de rede que possa acessar sua sub-rede de trânsito, poderá testar a conectividade criando uma máquina virtual em sua sub-rede de trânsito ou um local de rede que possa alcançá-la. Por exemplo, use uma máquina virtual do Windows 10:

   1. Vá para a folha Máquina Virtual no portal do Azure.
   2. Crie uma máquina virtual do Windows 10 na VNet e sub-rede de teste.
   3. Conecte-se a ele com um cliente RDP, como a Área de Trabalho Remota da Microsoft.

3. Na VM ou em outro computador de teste, use um navegador da Web para se conectar ao portal do Azure e iniciar o espaço de trabalho.

   1. No portal do Azure, localize o objeto de espaço de trabalho do Azure Databricks.
   2. Clique em Iniciar Espaço de Trabalho para iniciar uma guia de janela que faz logon no Azure Databricks usando sua ID de usuário usada para fazer logon no portal do Azure.
   3. Confirme se o login foi bem-sucedido.

   Nota

   Se sua VM não tiver acesso ao portal do Azure, você poderá testar o acesso ao Link Privado acessando diretamente a URL por espaço de trabalho para seu espaço de trabalho.

Solução de problemas de autenticação

Erro: Se vir uma mensagem "As definições de privacidade configuradas não permitem o acesso à área de trabalho <your-workspace-id> na sua rede atual. Entre em contato com o administrador para obter mais informações."

Este erro provavelmente significa:

• Você está se conectando ao espaço de trabalho pela Internet pública (não a partir de uma conexão de link privado).
• Você configurou o espaço de trabalho para não oferecer suporte ao acesso à rede pública.

Analise as etapas anteriores nesta seção.

Erro: "Falha do navegador com código de erro DNS_PROBE_FINISHED_NXDOMAIN

Este erro significa que o início de sessão de um utilizador na aplicação Web Azure Databricks falhou porque não conseguiu encontrar a configuração DNS adequada para a instância do plano de controlo do Azure Databricks na região de destino. O registro DNS que aponta para o <control-plane-instance-short-name>.pl-auth nome não foi encontrado. Você pode ter configurado incorretamente o ponto de extremidade privado de autenticação do navegador. Analise cuidadosamente a seção novamente em Etapa 4: Criar um ponto de extremidade privado para oferecer suporte ao SSO para acesso ao navegador da Web. Se você tiver dúvidas, entre em contato com sua equipe de conta do Azure Databricks.

Etapa 6: Testar a conexão de link privado back-end (necessária para uma conexão back-end)

Se você adicionou uma conexão de link privado back-end, é importante testar se ela está funcionando corretamente. Simplesmente fazer logon no aplicativo Web Azure Databricks não testa a conexão back-end.

1. Se você ainda não estiver conectado ao seu espaço de trabalho do Azure Databricks, faça logon novamente usando a URL do seu espaço de trabalho ou a partir do botão Iniciar Espaço de Trabalho na instância do Serviço Azure Databricks no portal do Azure.

2. No painel de navegação esquerdo, clique em Computação

3. Clique em Criar Cluster, digite um nome de cluster e clique em Criar Cluster. Para obter mais informações sobre como criar clusters, consulte Referência de configuração de computação.

   Aguarde até que o cluster pareça ter sido iniciado com êxito. Pode demorar vários minutos. Atualize a página para obter o estado mais recente.

   Se não conseguir iniciar, na página do cluster, clique em Registo de Eventos e reveja as entradas mais recentes. Para configurações incorretas típicas de Link Privado, o Log de Eventos inclui um erro semelhante ao seguinte após uma espera de 10 a 15 minutos:

   Cluster terminated. Reason: Control Plane Request Failure
   

   Se você receber esse erro, reveja cuidadosamente as instruções neste artigo. Se você tiver dúvidas, entre em contato com sua equipe de conta do Azure Databricks.

Como excluir um espaço de trabalho do Azure Databricks que tenha pontos de extremidade privados

Importante

Se você estiver usando o estilo de implantação recomendado, mas opcional, que usa um espaço de trabalho privado de autenticação da Web, é importante que você nunca exclua o espaço de trabalho ou o ponto de extremidade privado de autenticação do navegador associado ao espaço de trabalho. Consulte Etapa 4: Criar um ponto de extremidade privado para dar suporte ao SSO para acesso ao navegador da Web.

O Azure bloqueia a exclusão de um espaço de trabalho do Azure Databricks se ele tiver pontos de extremidade privados.

Importante

Você deve excluir os pontos de extremidade privados antes de tentar excluir o espaço de trabalho do Azure Databricks.

1. No portal do Azure, abra a instância do Serviço Azure Databricks que representa seu espaço de trabalho.
2. No painel de navegação esquerdo, clique em Configurações > de rede.
3. Clique na guia Private endpoint connections .
4. Se você não estiver usando um espaço de trabalho privado de autenticação da Web, verifique se sua organização pode estar usando esse espaço de trabalho como um link OAuth CNAME e se ele pode ser compartilhado com outros espaços de trabalho que usam a mesma instância do plano de controle. Em caso afirmativo, antes de excluir quaisquer pontos de extremidade privados que possam depender do CNAME deste espaço de trabalho, configure os objetos de rede do outro espaço de trabalho para garantir que o CNAME ainda aponte para um registro de zona A válido de outro espaço de trabalho. Consulte Etapa 4: Criar um ponto de extremidade privado para dar suporte ao SSO para acesso ao navegador da Web.
5. Para cada ponto de extremidade privado, selecione a linha e clique no ícone Remover . Clique em Sim para confirmar a remoção.

Quando terminar, você poderá excluir o espaço de trabalho do portal do Azure.

Verificar se há aprovação pendente ou aprovar pontos de extremidade privados pendentes

Se o usuário do Azure que criou o ponto de extremidade privado para a sub-rede de trânsito não tiver permissões de proprietário/colaborador para o espaço de trabalho, um usuário separado com permissões de proprietário/colaborador para o espaço de trabalho deverá aprovar manualmente a solicitação de criação de ponto de extremidade privado antes que ela seja habilitada.

Os estados de conexão incluem:

• Aprovado: o endpoint foi aprovado e nenhuma ação adicional é necessária.
• Pendente: o ponto de extremidade requer a aprovação de um usuário com permissões de proprietário/colaborador para o espaço de trabalho.
• Desconectado: o ponto de extremidade porque um objeto relacionado para essa conexão foi excluído.
• Rejeitado: O objetivo foi rejeitado.

Para verificar o estado da conexão:

1. No portal do Azure, navegue até seu espaço de trabalho que contém um ou mais pontos de extremidade privados que você criou recentemente.

2. Clique em Rede.

3. Clique na guia Private endpoint connections .

4. Na lista de pontos de extremidade, observe a coluna Estado da conexão .

   • Se todos eles tiverem o valor de estado de conexão valor Aprovado, não será necessária nenhuma ação para aprovar o ponto de extremidade privado.
   • Se o valor de qualquer estiver Pendente, eles exigirão a aprovação de alguém com permissões de proprietário/colaborador para o espaço de trabalho.

5. Se você tiver permissões de proprietário/colaborador para o espaço de trabalho:

   1. Selecione uma ou mais linhas de ponto de extremidade pendentes.

   2. Se você aprovar a conexão, clique no botão Aprovar .

      Se você reprovar a conexão, clique no botão Rejeitar .

   Se você não tiver permissões de proprietário/colaborador para o espaço de trabalho, entre em contato com o administrador do espaço de trabalho para aprovar a conexão.