Шаблон ARM для поддержки брандмауэра для учетной записи хранения рабочей области
В этой статье приведен шаблон ARM и описание обязательных полей для поддержки брандмауэра для учетной записи хранения рабочей области. Поддержка брандмауэра для учетной записи хранения рабочей области контролируется свойством шаблона ARM storageAccountFirewall, для которого необходимо задать значение Enabled.
Для определенных конфигураций рабочей области, таких как включение профиля безопасности соответствия требованиям, может потребоваться другой шаблон ARM. В этом случае обратитесь к группе учетной записи Databricks.
Вы также можете обновить или создать рабочую область с помощью Terraform. См. azurerm_databricks_workspace поставщик Terraform.
Поля шаблона ARM
В этой таблице перечислены поля и их описания для приведенного ниже шаблона ARM, созданного для поддержки брандмауэра в учетной записи хранилища рабочей области.
| Поле | Description |
|---|---|
| Подписка | Подписка Azure для использования. |
| Группа ресурсов | Группа ресурсов для использования. Обычно это группа ресурсов виртуальной сети. |
| Имя рабочей области | Имя рабочей области. Если вы используете существующую рабочую область, это должно точно соответствовать существующему имени рабочей области. |
| Имя управляемой группы ресурсов | Управляемая группа ресурсов для рабочей области. Эта функция автоматически заполняется в форме именем по умолчанию. Измените его, если ваша организация хочет настроить имя управляемой группы ресурсов. |
| Имя учетной записи хранения | Учетная запись хранения рабочей области Azure в управляемой группе ресурсов. Эта функция автоматически заполняется в форме именем по умолчанию. Измените его, если ваша организация хочет настроить имя управляемой группы ресурсов. |
| Идентификатор сети виртуальной сети рабочей области | Идентификатор ресурса для виртуальной сети. Для существующей рабочей области это можно получить, перейдя к рабочей области на портале Azure. Выберите команду Свойства. В разделе "Пользовательский идентификатор виртуальной сети" щелкните "Просмотреть значение в формате JSON". Скопируйте идентификатор ресурса в value поле. |
| Имя настраиваемой частной подсети | Частная подсеть для виртуальной сети. Для существующей рабочей области это можно получить, перейдя к рабочей области на портале Azure. Выберите команду Свойства. В разделе "Настраиваемая частная подсеть" щелкните "Просмотреть значение в формате JSON". Скопируйте имя подсети value в поле. |
| Имя пользовательской общедоступной подсети | Общедоступная подсеть для виртуальной сети. Для существующей рабочей области это можно получить, перейдя к рабочей области на портале Azure. Выберите команду Свойства. В разделе "Пользовательская общедоступная подсеть" нажмите кнопку "Просмотреть значение в формате JSON". Скопируйте имя подсети value в поле. |
| Местонахождение | Короткое имя региона Azure, который автоматически заполняется в соответствии с основным полем региона . |
| Имя соединителя Access | Для типичных развертываний не изменяйте это поле. Azure Databricks создает новый соединитель access. |
| Тип управляемого удостоверения | Для типичных развертываний не изменяйте это поле. |
| Идентификатор ресурса управляемого удостоверения пользователя | Для типичных развертываний не изменяйте это поле. |
| Брандмауэр учетной записи хранения | Указывает, следует ли включить поддержку брандмауэра для учетной записи хранения рабочей области. |
| Отключение общедоступного IP-адреса | Для этого необходимо задать значение true. Это обеспечивает безопасное подключение к кластеру, которое требуется для поддержки брандмауэра для учетной записи хранения рабочей области. |
| Доступ к общедоступной сети | Обычно устанавливается на включено. Если вы включите Azure Private Link, ознакомьтесь с для настройки подключений бэкэнда и фронтэнда Azure Private Link, чтобы узнать, какие параметры следует использовать. |
| Обязательные правила Nsg | Обычно это значение Все Правила. Если вы включите Azure Private Link, ознакомьтесь с для настройки подключений бэкэнда и фронтэнда Azure Private Link, чтобы узнать, какие параметры следует использовать. |
| Включенные управляемые клиентом ключи | Задайте это значение true, если вы используете управляемые клиентом ключи для управляемых служб или управляемых дисков. См . ключи, управляемые клиентом, для шифрования. |
| Тип управляемых клиентом ключей | Если ключи, управляемые клиентом, включены, выберите типы ключей, управляемые клиентом, для этой рабочей области. Выберите управляемые службы, ManagedDisks или Оба. |
| Идентификатор ключа Управляемого хранилища ключей Srvc | Если вы используете ключи, управляемые клиентом для управляемых служб, укажите идентификатор ключа хранилища ключей. |
| Идентификатор ключа Хранилища ключей управляемого диска | Если вы используете ключи, управляемые клиентом для управляемых дисков, укажите идентификатор ключа хранилища ключей. |
| Автоматическая смена управляемого диска | Если вы используете ключи, управляемые клиентом для управляемых дисков, укажите, следует ли автоматически собирать новые версии ключей. |
Шаблон ARM для поддержки брандмауэра для учетной записи хранения рабочей области
Скопируйте следующий шаблон ARM, чтобы включить или отключить поддержку брандмауэра для учетной записи хранения рабочей области. Вы также можете развернуть пример шаблона ARM:
- Шаблон Azure Databricks для брандмауэра хранилища рабочей области с помощью управляемого удостоверения, назначаемого пользователем.
- Шаблон Azure Databricks для брандмауэра хранилища рабочей области с помощью управляемого удостоверения, назначаемого системой
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"type": "String",
"metadata": {
"description": "The name of the Azure Databricks workspace to update."
}
},
"location": {
"defaultValue": "[resourceGroup().location]",
"type": "String",
"metadata": {
"description": "Location for all resources."
}
},
"managedResourceGroupName": {
"defaultValue": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"type": "String",
"metadata": {
"description": "The Managed Resource GroupName of the workspace. Do not change unless using a custom managed resource group name."
}
},
"storageAccountName": {
"defaultValue": "[concat('dbstorage', uniqueString(resourceGroup().id, subscription().id))]",
"type": "String",
"metadata": {
"description": "Workspace storage account name. Do not change unless using a custom storage account name."
}
},
"workspaceVnetResourceId": {
"defaultValue": "Required Resource ID of the workspace VNet",
"type": "String",
"metadata": {
"description": "The Resource ID of the injected VNet for the workspace"
}
},
"workspacePrivateSubnetName": {
"defaultValue": "private-subnet",
"type": "String",
"metadata": {
"description": "The private subnet name for the workspace"
}
},
"workspacePublicSubnetName": {
"defaultValue": "public-subnet",
"type": "String",
"metadata": {
"description": "The public subnet name for the workspace"
}
},
"accessConnectorName": {
"defaultValue": "[format('{0}-access-connector', parameters('workspaceName'))]",
"type": "String",
"metadata": {
"description": "The access connector to create for the workspace"
}
},
"ManagedIdentityType": {
"defaultValue": "SystemAssigned",
"allowedValues": [
"SystemAssigned",
"UserAssigned",
"SystemAssigned,UserAssigned"
],
"type": "String",
"metadata": {
"description": "Access Connector Managed Identity Type"
}
},
"userManagedIdentityResourceId": {
"defaultValue": "Required For User Mananged Identity",
"type": "String",
"metadata": {
"description": "The Resource Id of the User Managed Identity"
}
},
"storageAccountFirewall": {
"defaultValue": "Enabled",
"allowedValues": [
"Enabled",
"Disabled"
],
"type": "String",
"metadata": {
"description": "Enable or Disable firewall support for workspace default storage feature"
}
},
"disablePublicIp": {
"defaultValue": true,
"type": "Bool",
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (SCC) enabled or not (No Public IP)."
}
},
"publicNetworkAccess": {
"defaultValue": "Enabled",
"allowedValues": [
"Enabled",
"Disabled"
],
"type": "String",
"metadata": {
"description": "Indicates whether public network access is allowed to the workspace with private endpoint - possible values are Enabled or Disabled."
}
},
"requiredNsgRules": {
"defaultValue": "AllRules",
"allowedValues": [
"AllRules",
"NoAzureDatabricksRules"
],
"type": "String",
"metadata": {
"description": "Indicates whether to retain or remove the AzureDatabricks outbound NSG rule - possible values are AllRules, NoAzureDatabricksRules (private link)."
}
},
"storageDoubleEncryption": {
"defaultValue": false,
"type": "Bool",
"metadata": {
"description": "Is double encryption for managed storage enabled ?"
}
},
"customerManagedKeysEnabled": {
"defaultValue": false,
"type": "Bool",
"metadata": {
"description": "Is CMK for managed services enabled ?"
}
},
"CustomerManagedKeyType": {
"defaultValue": "ManagedServicesCMK",
"allowedValues": [
"ManagedServicesCMK",
"ManagedDisksCMK",
"BothCMK"
],
"type": "String",
"metadata": {
"description": "Selects the CMK types for this workspace, Managed Services and/or Disks, Workspace storage account is not enabled here"
}
},
"ManagedSrvcKeyVaultKeyId": {
"defaultValue": "https://kv-url/keys/keyname/version",
"type": "String",
"metadata": {
"description": "The Key Vault Key ID"
}
},
"ManagedDiskKeyVaultKeyId": {
"defaultValue": "https://kv-url/keys/keyname/version",
"type": "String",
"metadata": {
"description": "The Key Vault Key ID"
}
},
"ManagedDiskAutoRotation": {
"type": "bool",
"defaultValue": false,
"allowedValues": [
true,
false
],
"metadata": {
"description": "Whether managed disk will pick up new key version automatically."
}
}
},
"variables": {
"ApiVersion": "2024-05-01",
"workspaceSku": "premium",
"systemAssignedObject": {
"type": "[parameters('ManagedIdentityType')]"
},
"userAssignedObject": {
"type": "[parameters('ManagedIdentityType')]",
"userAssignedIdentities": {
"[parameters('userManagedIdentityResourceId')]": {}
}
},
"ConnectorSystemAssigned": {
"id": "[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]",
"identityType": "[parameters('ManagedIdentityType')]"
},
"connectorUserAssigned": {
"id": "[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]",
"identityType": "[parameters('ManagedIdentityType')]",
"userAssignedIdentityId": "[parameters('userManagedIdentityResourceId')]"
},
"managedSrvcFirst" : "[split(parameters('ManagedSrvcKeyVaultKeyId'),'/keys/')]",
"managedSrvcSecond" : "[split(variables('managedSrvcFirst')[1],'/')]",
"managedDiskFirst" : "[split(parameters('ManagedDiskKeyVaultKeyId'),'/keys/')]",
"managedDiskSecond" : "[split(variables('managedDiskFirst')[1],'/')]",
"ManagedServicesCMK": {
"managedServices": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedSrvcFirst')[0]]",
"keyName": "[variables('managedSrvcSecond')[0]]",
"keyVersion": "[variables('managedSrvcSecond')[1]]"
}
}
},
"ManagedDisksCMK": {
"managedDisk": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedDiskFirst')[0]]",
"keyName": "[variables('managedDiskSecond')[0]]",
"keyVersion": "[variables('managedDiskSecond')[1]]"
},
"rotationToLatestKeyVersionEnabled": "[parameters('ManagedDiskAutoRotation')]"
}
},
"BothCMK": {
"managedServices": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedSrvcFirst')[0]]",
"keyName": "[variables('managedSrvcSecond')[0]]",
"keyVersion": "[variables('managedSrvcSecond')[1]]"
}
},
"managedDisk": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedDiskFirst')[0]]",
"keyName": "[variables('managedDiskSecond')[0]]",
"keyVersion": "[variables('managedDiskSecond')[1]]"
},
"rotationToLatestKeyVersionEnabled": "[parameters('ManagedDiskAutoRotation')]"
}
}
},
"resources": [
{
"type": "Microsoft.Databricks/accessConnectors",
"apiVersion": "2023-05-01",
"name": "[parameters('accessConnectorName')]",
"location": "[parameters('location')]",
"identity": "[if(equals(parameters('ManagedIdentityType'),'SystemAssigned'),variables('systemAssignedObject'),variables('userAssignedObject'))]",
"properties": {}
},
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "[variables('ApiVersion')]",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]"
],
"sku": {
"name": "[variables('workspaceSku')]"
},
"properties": {
"managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', parameters('managedResourceGroupName'))]",
"publicNetworkAccess": "[parameters('publicNetworkAccess')]",
"requiredNsgRules": "[parameters('requiredNsgRules')]",
"accessConnector": "[if(equals(parameters('ManagedIdentityType'),'SystemAssigned'),variables('ConnectorSystemAssigned'),variables('connectorUserAssigned'))]",
"defaultStorageFirewall": "[parameters('storageAccountFirewall')]",
"parameters": {
"customVirtualNetworkId": {
"value": "[parameters('workspaceVnetResourceId')]"
},
"customPrivateSubnetName": {
"value": "[parameters('workspacePrivateSubnetName')]"
},
"customPublicSubnetName": {
"value": "[parameters('workspacePublicSubnetName')]"
},
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
},
"storageAccountName": {
"value": "[parameters('storageAccountName')]"
},
"requireInfrastructureEncryption": {
"value": "[parameters('storageDoubleEncryption')]"
}
}
},
"condition": "[not(parameters('customerManagedKeysEnabled'))]"
},
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "[variables('ApiVersion')]",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]"
],
"sku": {
"name": "[variables('workspaceSku')]"
},
"properties": {
"managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', parameters('managedResourceGroupName'))]",
"publicNetworkAccess": "[parameters('publicNetworkAccess')]",
"requiredNsgRules": "[parameters('requiredNsgRules')]",
"accessConnector": "[if(equals(parameters('ManagedIdentityType'),'SystemAssigned'),variables('ConnectorSystemAssigned'),variables('connectorUserAssigned'))]",
"encryption": {
"entities": "[variables(parameters('CustomerManagedKeyType'))]"
},
"defaultStorageFirewall": "[parameters('storageAccountFirewall')]",
"parameters": {
"customVirtualNetworkId": {
"value": "[parameters('workspaceVnetResourceId')]"
},
"customPrivateSubnetName": {
"value": "[parameters('workspacePrivateSubnetName')]"
},
"customPublicSubnetName": {
"value": "[parameters('workspacePublicSubnetName')]"
},
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
},
"storageAccountName": {
"value": "[parameters('storageAccountName')]"
},
"requireInfrastructureEncryption": {
"value": "[parameters('storageDoubleEncryption')]"
}
}
},
"condition": "[parameters('customerManagedKeysEnabled')]"
}
]
}