Поделиться через


Настройка списков IP-доступа для рабочих областей

В этой статье описывается настройка списков IP-доступа для рабочих областей Azure Databricks. В этой статье рассматриваются наиболее распространенные задачи, которые можно выполнять с помощью интерфейса командной строки Databricks. Вы также можете использовать API списков IP-адресов.

Требования

  • Для этой функции требуется план "Премиум".

  • Списки IP-адресов поддерживают только ip-адреса версии 4 (IPv4).

  • Если вы включите безопасное подключение к кластеру в рабочей области, все общедоступные IP-адреса, которые вычислительная плоскость использует для доступа к плоскости управления, необходимо добавить в список разрешённых или настроить приватное подключение через серверную часть. В противном случае классические вычислительные ресурсы не могут запускаться.

    Например, если вы включите безопасное подключение к кластеру в рабочей области, которая использует внедрение виртуальной сети, Databricks рекомендует использовать стабильный общедоступный IP-адрес исходящего трафика. Этот общедоступный IP-адрес и все остальные должны присутствовать в списке разрешений. Ознакомьтесь с IP-адресами исходящего трафика при использовании безопасного подключения к кластеру. Кроме того, если вы используете виртуальную сеть, управляемую Azure Databricks, и вы настраиваете управляемый шлюз NAT для доступа к общедоступным IP-адресам, эти IP-адреса должны присутствовать в списке разрешений. Дополнительные сведения см. в записи сообщества Databricks.

Проверьте, включена ли в рабочей области функция списка доступа к IP-адресам

Чтобы проверить, включена ли в рабочей области функция списка доступа к IP-адресам:

databricks workspace-conf get-status enableIpAccessLists

Включение или отключение функции списка доступа к IP-адресам для рабочей области

В текстовой области запроса JSON укажите enableIpAccessLists со значением true (включено) или false (отключено).

databricks workspace-conf set-status --json '{
  "enableIpAccessLists": "true"
}'

Добавление списка доступа к IP-адресам

Если включена функция списков ДОСТУПА к IP-адресам и нет списков разрешений или списков блокировок для рабочей области, все IP-адреса разрешены. Добавление IP-адресов в список разрешений блокирует все IP-адреса, которые не находятся в списке. Убедитесь, что вы добавили все общедоступные IP-адреса, которые вычислительная плоскость использует для доступа к плоскости управления, в список разрешенных. Внимательно просмотрите изменения, чтобы избежать непреднамеренных ограничений доступа.

Списки IP-доступа имеют метку, которая является именем списка и типом списка. Тип списка — ALLOW (разрешенный список) или BLOCK (список блокировок, то есть исключить даже в списке разрешений).

Например, чтобы добавить список разрешений:

databricks ip-access-lists create --json '{
  "label": "office",
  "list_type": "ALLOW",
  "ip_addresses": [
    "1.1.1.0/24",
    "2.2.2.2/32"
  ]
}'

Список списков IP-доступа

databricks ip-access-lists list

Обновление списка IP-доступа

Укажите по крайней мере одно из следующих значений для обновления:

  • label — метка для этого списка.
  • list_type — либо ALLOW (список разрешений), либо BLOCK (список блокировок, то есть исключить, даже если в списке разрешений).
  • ip_addresses — массив JSON IP-адресов и диапазонов CIDR в виде строковых значений.
  • enabled — указывает, включен ли этот список. Передайте true или false.

Отклик представляет собой копию объекта, переданного с дополнительными полями для идентификатора и дат изменения.

Например, чтобы отключить список:

databricks  ip-access-lists update <list-id> --json '{
  "enabled": false
}'

Удаление списка доступа к IP-адресам

Чтобы удалить IP-доступ, выполните приведенные действия.

databricks  ip-access-lists delete <list-id>