Что такое бессерверный элемент управления исходящего трафика?
Внимание
Эта функция предоставляется в режиме общедоступной предварительной версии.
В этой статье объясняется, как бессерверный элемент управления исходящим трафиком позволяет управлять исходящими сетевыми подключениями из бессерверных вычислительных ресурсов.
Управление бессерверным исходящим трафиком повышает уровень безопасности, позволяя управлять исходящими подключениями из бессерверных рабочих нагрузок, уменьшая риск кражи данных.
С помощью политик сети можно:
- Обеспечьте отказ в доступе по умолчанию: Управляйте исходящим доступом с высокой точностью, включив политику отказа по умолчанию для подключений к Интернету, облачному хранилищу и API Databricks.
- Упростите управление: Определите единый подход к контролю исходящего трафика для всех ваших бессерверных нагрузок в различных бессерверных продуктах.
- Удобное управление на большом масштабе: централизованно управлять поведением в нескольких рабочих областях и применять стандартную политику для учетной записи Databricks.
- Безопасное развертывание политик: Снизить риски путем оценки последствий любой новой политики в тестовом режиме до полного внедрения.
Эта предварительная версия поддерживает следующие бессерверные продукты: блокноты, рабочие процессы, SQL-хранилища, конвейеры Delta Live Tables, обслуживание моделей ИИ Mosaic, мониторинг Lakehouse и приложения Databricks с ограниченной поддержкой.
Заметка
Включение ограничений исходящего трафика для рабочей области запрещает Databricks Apps получать доступ к несанкционированным ресурсам. Однако реализация ограничений исходящего трафика может повлиять на функциональные возможности приложений.
Общие сведения о политике сети
Политика сети — это объект конфигурации, применяемый на уровне учетной записи Azure Databricks. Хотя одна сетевая политика может быть связана с несколькими рабочими областями Azure Databricks, каждая рабочая область может быть связана только с одной политикой одновременно.
Политики сети определяют режим доступа к сети для бессерверных рабочих нагрузок в связанных рабочих областях. Существует два основных режима:
- Полный доступ. Бессерверные рабочие нагрузки имеют неограниченный исходящий доступ к Интернету и другим сетевым ресурсам.
-
Ограниченный доступ: исходящий доступ ограничен:
- Назначения каталога Unity: расположения и подключения, настроенные в каталоге Unity, доступные из рабочей области.
- Явно определенные назначения: FQDN и учетная запись хранения Azure перечислены в политике сети.
Состояние безопасности
Если для политики сети задан режим ограниченного доступа, исходящие сетевые подключения из бессерверных рабочих нагрузок жестко контролируются.
| Поведение | Подробности |
|---|---|
| Запретить исходящее подключение по умолчанию | Бессерверные рабочие нагрузки имеют доступ только к следующим ресурсам: назначениям, которые настроены через местоположения каталога Unity или соединения, разрешенные по умолчанию; полным доменным именам (FQDN) или местоположениям хранилища, определенным в политике; и API той же рабочей области, что и сама нагрузка. Доступ между рабочими областями запрещен. |
| Нет прямого доступа к хранилищу | Прямой доступ из пользовательского кода в определяемых пользователем файлах и записных книжках запрещен. Вместо этого используйте абстракции Databricks, такие как каталог Unity или подключения DBFS. Подключения DBFS позволяют обеспечить безопасный доступ к данным в учетной записи хранения Azure, указанной в политике сети. |
| Неявно разрешенные назначения | Вы всегда можете получить доступ к учетной записи хранения Azure, связанной с рабочей областью, основными системными таблицами и примерами наборов данных (только для чтения). |
| Принудительное применение политик для частных конечных точек | Исходящий доступ через частные конечные точки также распространяется на правила, определенные в политике сети. Назначение должно быть указано в каталоге Unity или в политике. Это обеспечивает согласованное применение безопасности во всех методах сетевого доступа. |