Настройка списков IP-доступа для рабочих областей
В этой статье описывается настройка списков IP-доступа для рабочих областей Azure Databricks. В этой статье рассматриваются наиболее распространенные задачи, которые можно выполнять с помощью интерфейса командной строки Databricks. Вы также можете использовать API списков IP-адресов.
Требования
Для этой функции требуется план "Премиум".
Списки IP-адресов поддерживают только ip-адреса версии 4 (IPv4).
Если вы включите безопасное подключение к кластеру в рабочей области, все общедоступные IP-адреса, которые плоскость вычислений использует для доступа к плоскости управления, необходимо добавить в список разрешений или настроить серверную Приватный канал. В противном случае классические вычислительные ресурсы не могут запускаться.
Например, если вы включите безопасное подключение к кластеру в рабочей области, которая использует внедрение виртуальной сети, Databricks рекомендует использовать стабильный общедоступный IP-адрес исходящего трафика. Этот общедоступный IP-адрес и все остальные должны присутствовать в списке разрешений. Ознакомьтесь с IP-адресами исходящего трафика при использовании безопасного подключения к кластеру. Кроме того, если вы используете виртуальную сеть, управляемую Azure Databricks, и вы настраиваете управляемый шлюз NAT для доступа к общедоступным IP-адресам, эти IP-адреса должны присутствовать в списке разрешений. Дополнительные сведения см. в записи сообщества Databricks.
Проверьте, включена ли функция списка доступа по IP-адресу в рабочей области
Чтобы проверить, включена ли в рабочей области функция списка доступа к IP-адресам:
databricks workspace-conf get-status enableIpAccessLists
Включение или отключение возможности использования списка доступа по IP-адресу для рабочей области
В текстовой области запроса JSON укажите enableIpAccessLists со значением true (включено) или false (отключено).
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
Добавление списка доступа по IP-адресу
Если включена функция списков ДОСТУПА к IP-адресам и нет списков разрешений или списков блокировок для рабочей области, все IP-адреса разрешены. Добавление IP-адресов в список разрешений блокирует все IP-адреса, которые не находятся в списке. Убедитесь, что все общедоступные IP-адреса, которые плоскость вычислений использует для доступа к плоскости управления в список разрешений. Внимательно просмотрите изменения, чтобы избежать непреднамеренных ограничений доступа.
Списки IP-доступа имеют метку, которая является именем списка и типом списка. Тип списка — ALLOW (разрешенный список) или BLOCK (список блокировок, который означает исключение, даже если в списке разрешений).
Например, чтобы добавить список разрешений, выполните следующие действия:
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.1"
]
}'
Список списков IP-доступа
databricks ip-access-lists list
Удаление списка доступа по IP-адресу
Укажите по крайней мере одно из следующих значений для обновления:
label— Метка для этого списка.list_type— ЛибоALLOW(список разрешений), либоBLOCK(список блокировок, то есть IP-адрес исключается, даже если он внесен в список разрешений).ip_addresses— Массив JSON IP-адресов и диапазонов CIDR в виде строковых значений.enabled— Указывает, включен ли этот список. Передайтеtrueилиfalse.
Отклик представляет собой копию объекта, переданного с дополнительными полями для идентификатора и дат изменения.
Например, чтобы отключить список:
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
Удаление списка доступа по IP-адресу
Чтобы удалить IP-доступ, выполните приведенные действия.
databricks ip-access-lists delete <list-id>