Определяемые пользователем параметры маршрута для Azure Databricks
Если рабочая область Azure Databricks развертывается в вашей виртуальной сети, можете использовать настраиваемые маршруты, также известные как определяемые пользователем маршруты (UDR), чтобы обеспечить правильную маршрутизацию сетевого трафика для рабочей области. Например, если подключить виртуальную сеть к локальной сети, трафик может проходить через локальную сеть и не дойти до уровня управления Azure Databricks. Эту проблему могут решить определяемые пользователем маршруты.
Определяемые пользователем маршруты требуются для каждого типа исходящих подключений из виртуальной сети. Теги служб Azure и IP-адреса можно использовать для определения элементов управления доступом к сети в определяемых пользователем маршрутах. Databricks рекомендует использовать теги служб Azure, чтобы предотвратить сбои служб из-за изменений IP-адресов.
Настройка определяемых пользователем маршрутов с помощью тегов службы Azure
Databricks рекомендует использовать теги службы Azure, представляющие группу префиксов IP-адресов из данной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов. Это помогает предотвратить сбои служб из-за изменений IP-адресов и удаляет необходимость периодически искать эти IP-адреса и обновлять их в таблице маршрутов. Однако если политики организации запрещают теги служб, можно также указать маршруты в качестве IP-адресов.
Используя теги служб, определяемые пользователем маршруты должны использовать следующие правила и связать таблицу маршрутов с общедоступными и частными подсетями виртуальной сети.
| Исходный код | Префикс адреса | Тип следующего прыжка |
|---|---|---|
| Значение по умолчанию | Тег службы Azure Databricks | Интернет |
| По умолчанию. | Тег службы SQL Azure | Интернет |
| По умолчанию. | тег службы служба хранилища Azure | Интернет |
| По умолчанию. | тег службы Центры событий Azure | Интернет |
Примечание.
Вы можете добавить тег службы идентификатора Microsoft Entra, чтобы упростить проверку подлинности идентификатора Microsoft Entra из кластеров Azure Databricks в ресурсы Azure.
Если в рабочей области включена Приватный канал Azure, тег службы Azure Databricks не требуется.
Тег службы Azure Databricks представляет IP-адреса для необходимых исходящих подключений к плоскости управления Azure Databricks, безопасного подключения к кластеру (SCC) и веб-приложения Azure Databricks.
Тег службы SQL Azure представляет IP-адреса для необходимых исходящих подключений к хранилищу метаданных Azure Databricks, а тег службы служба хранилища Azure представляет IP-адреса для хранилища BLOB-объектов артефактов и хранилища BLOB-объектов журнала. Тег службы Центры событий Azure представляет необходимые исходящие подключения для ведения журнала в Концентратор событий Azure.
Некоторые теги служб позволяют более детально контролировать, ограничив диапазоны IP-адресов указанным регионом. Например, таблица маршрутов для рабочей области Azure Databricks в регионах западной части США может выглядеть следующим образом:
| Имя. | Префикс адреса | Тип следующего прыжка |
|---|---|---|
| adb-servicetag | AzureDatabricks | Интернет |
| хранилище метаданных adb | Sql.WestUS | Интернет |
| хранилище adb-storage | Storage.WestUS | Интернет |
| adb-eventhub | EventHub.WestUS | Интернет |
Чтобы получить теги служб, необходимые для определяемых пользователем маршрутов, см . теги службы виртуальной сети.
Настройка определяемых пользователем маршрутов с IP-адресами
Databricks рекомендует использовать теги службы Azure, но если политики организации не разрешают теги служб, можно использовать IP-адреса для определения элементов управления доступом к сети на определяемых пользователем маршрутах.
Сведения зависят от того, включена ли для рабочей области Служба безопасного подключения кластера (SCC):
- Если для рабочей области включено безопасное подключение кластера, вам потребуется определяемый пользователем маршрут, чтобы разрешить кластерам подключаться к ретранслятору с защитным подключением кластера на уровне управления. Не забудьте включить системы, отмеченные как IP-адрес ретрансляции безопасного подключения кластера для вашего региона.
- Если для рабочей области отключено безопасное подключение кластера, то существует входящее подключение от преобразования сетевых адресов уровня управления, однако TCP SYN-ACK низкого уровня для этого подключения, с технической точки зрения являются исходящими данными, для которых требуется определяемый пользователем маршрут. Не забудьте включить системы, помеченные как IP-адрес преобразования сетевых адресов для уровня управления для своего региона.
В определяемых пользователем маршрутах должны использоваться следующие правила. Они должны связывать таблицу маршрутов с общедоступными и частными подсетями виртуальной сети.
| Исходный код | Префикс адреса | Тип следующего прыжка |
|---|---|---|
| Значение по умолчанию | IP-адрес преобразования сетевых адресов (NAT) уровня управления (если безопасное подключение кластера отключено) | Интернет |
| По умолчанию. | IP-адрес ретранслятора безопасного подключения кластера (если функция безопасного подключения кластера включена) | Интернет |
| По умолчанию. | IP-адрес Webapp | Интернет |
| По умолчанию. | IP-адрес хранилища метаданных | Интернет |
| По умолчанию. | IP-адрес хранилища больших двоичных объектов артефакта | Интернет |
| По умолчанию. | IP-адрес хранилища больших двоичных объектов журнала | Интернет |
| По умолчанию. | IP-адрес хранилища рабочей области — конечная точка хранилища BLOB-объектов | Интернет |
| По умолчанию. | IP-адрес хранилища рабочей области — конечная точка ADLS 2-гоdfs поколения |
Интернет |
| По умолчанию. | IP-адрес Центров событий | Интернет |
Если в рабочей области включена Приватный канал Azure, определяемые пользователем маршруты должны использовать следующие правила и связать таблицу маршрутов с общедоступными и частными подсетями виртуальной сети.
| Исходный код | Префикс адреса | Тип следующего прыжка |
|---|---|---|
| Значение по умолчанию | IP-адрес хранилища метаданных | Интернет |
| По умолчанию. | IP-адрес хранилища больших двоичных объектов артефакта | Интернет |
| По умолчанию. | IP-адрес хранилища больших двоичных объектов журнала | Интернет |
| По умолчанию. | IP-адрес Центров событий | Интернет |
Чтобы получить IP-адреса, необходимые для определяемых пользователем маршрутов, используйте таблицы и инструкции в регионах Azure Databricks, в частности: