Dela via

Konfigurera en brandvägg för serverlös beräkningsåtkomst

  • Artikel

I den här artikeln beskrivs hur du konfigurerar en Azure Storage-brandvägg för serverlös beräkning med hjälp av användargränssnittet för Azure Databricks-kontokonsolen. Du kan också använda API:et för nätverksanslutningskonfigurationer.

Information om hur du konfigurerar en privat slutpunkt för serverlös beräkningsåtkomst finns i Konfigurera privat anslutning från serverlös beräkning.

Viktigt!

Från och med den 4 december 2024 börjar Databricks ta betalt för nätverkskostnader för serverlösa arbetsbelastningar som ansluter till externa resurser. Faktureringen implementeras gradvis och du kanske inte debiteras förrän efter den 4 december 2024. Du debiteras inte retroaktivt för användning innan fakturering aktiveras. När faktureringen har aktiverats kan du debiteras för:

  • Privat anslutning till dina resurser via Private Link. Avgifter för databearbetning för privat anslutning till dina resurser via Private Link undantas på obestämd tid. Avgifter per timme tillkommer.
  • Offentlig anslutning till dina resurser via NAT-gateway.
  • Kostnader för dataöverföring som uppstår, till exempel när serverlös beräkning och målresursen finns i olika regioner.

Översikt över brandväggsaktivering för serverlös beräkning

Serverlös nätverksanslutning hanteras med nätverksanslutningskonfigurationer (NCC). Kontoadministratörer skapar NCC:er i kontokonsolen och en NCC kan kopplas till en eller flera arbetsytor

En NCC innehåller en list av nätverksidentiteter för en Azure-resurstyp som standardregler. När en NCC är kopplad till en arbetsyta använder serverlös beräkning på den arbetsytan ett av dessa nätverk för att ansluta Azure-resursen. Du kan tillåtalistning av dessa nätverk i azure-resursbrandväggen. Om du har azure-resursbrandväggar som inte är lagringsbaserade kontaktar du kontoteamet för information om hur du använder stabila NAT-IP-adresser i Azure Databricks.

NCC-brandväggsaktivering stöds från serverlösa SQL-lager, jobb, notebook-filer, Delta Live Tables pipelines och modell som betjänar slutpunkter.

Du kan också konfigurera nätverksåtkomst till ditt arbetsytelagringskonto från endast auktoriserade nätverk, inklusive serverlös beräkning. Se Aktivera brandväggsstöd för ditt arbetsytelagringskonto. När en NCC är kopplad till en arbetsyta läggs nätverksreglerna automatiskt till i Azure Storage-kontot för arbetsytans lagringskonto.

Mer information om NCC:er finns i Vad är en nätverksanslutningskonfiguration (NCC)?.

Kostnadskonsekvenser för lagringsåtkomst mellan regioner

Brandväggen gäller endast när Azure-resurserna finns i samma region som Azure Databricks-arbetsytan. För trafik mellan regioner från serverlös beräkning i Azure Databricks (till exempel finns arbetsytan i regionen USA, östra och ADLS-lagring finns i Europa, västra) dirigerar Azure Databricks trafiken via en Azure NAT Gateway-tjänst.

Krav

  • Din arbetsyta måste finnas i Premium-planen.

  • Du måste vara administratör för Azure Databricks-kontot.

  • Varje NCC kan kopplas till upp till 50 arbetsytor.

  • Varje Azure Databricks-konto kan ha upp till 10 NCC:er per region.

  • Du måste ha WRITE åtkomst till azure-lagringskontots nätverksregler.

Steg 1: Skapa en nätverksanslutningskonfiguration och kopiera undernäts-ID:n

Databricks rekommenderar att du delar nätverkskort mellan arbetsytor i samma affärsenhet och de som delar samma region och anslutningsegenskaper. Om vissa arbetsytor till exempel använder lagringsbrandväggen och andra arbetsytor använder den alternativa metoden Private Link använder du separata NCC:er för dessa användningsfall.

  1. Som kontoadministratör går du till kontokonsolen.
  2. I sidofältet klickar du på Molnresurser.
  3. Klicka på Konfiguration av nätverksanslutning.
  4. Klicka på Lägg till nätverksanslutningskonfigurationer.
  5. Ange ett namn för NCC.
  6. Välj region. Detta måste matcha din arbetsyteregion.
  7. Klicka på Lägg till.
  8. I list av NCC klickar du på din nya NCC.
  9. I Standardregler under Nätverksidentiteter klickar du på Visa alla.
  10. I dialogrutan klickar du på knappen Kopiera undernät .
  11. Klicka på Stäng.

Steg 2: Koppla en NCC till arbetsytor

Du kan koppla en NCC till upp till 50 arbetsytor i samma region som NCC.

Information om hur du använder API:et för att koppla en NCC till en arbetsyta finns i API:et För kontoarbetsytor.

  1. I sidofältet för kontokonsolen klickar du på Arbetsytor.
  2. Klicka på arbetsytans namn.
  3. Klicka på Update arbetsyta.
  4. I fältet Konfiguration av nätverksanslutningselect din NCC. Om den inte visas bekräftar du att du har valt samma region för både arbetsytan och NCC.
  5. Klicka på Update.
  6. Vänta 10 minuter tills ändringen börjar gälla.
  7. Starta om alla serverlösa beräkningsresurser som körs på arbetsytan.

Om du använder den här funktionen för att ansluta till arbetsytans lagringskonto är konfigurationen klar. Nätverksreglerna läggs automatiskt till i arbetsytans lagringskonto. Fortsätt till nästa steg för ytterligare lagringskonton.

Steg 3: Lås ditt lagringskonto

Om du inte redan har begränsad åtkomst till Azure Storage-kontot till endast tillåtna nätverk gör du det nu. Du behöver inte göra det här steget för lagringskontot för arbetsytan.

Att skapa en lagringsbrandvägg påverkar också anslutningen från det klassiska beräkningsplanet till dina resurser. Du måste också lägga till nätverksregler för att ansluta till dina lagringskonton från klassiska beräkningsresurser.

  1. Gå till Azure-portalen.
  2. Gå till ditt lagringskonto för datakällan.
  3. Klicka på Nätverk i det vänstra navigeringsfältet.
  4. Kontrollera värdet i fältet Offentlig nätverksåtkomst. Som standard är värdet Aktiverat från alla nätverk. Ändra detta till Aktiverad från valda virtuella nätverk och IP-adresser.

Steg 4: Lägg till nätverksregler för Azure Storage-konto

Du behöver inte göra det här steget för lagringskontot för arbetsytan.

  1. Lägg till en nätverksregel för Azure-lagringskontot för varje undernät. Du kan göra detta med hjälp av Azure CLI, PowerShell, Terraform eller andra automatiseringsverktyg. Observera att det här steget inte kan utföras i Azure Portal-användargränssnittet.

    I det här exemplet använder vi Azure CLl:

    az storage account network-rule add --subscription "<sub>" \
    --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
    • Ersätt <sub> med namnet på din Azure-prenumeration för lagringskontot.
    • Ersätt <res> med resursgruppen för ditt lagringskonto.
    • Ersätt <account> med namnet på ditt lagringskonto
    • Ersätt <subnet> med ARM-resurs-ID :t (resourceId) för det serverlösa beräkningsundernätet.

    När du har kört alla kommandon kan du använda Azure-portalen för att visa ditt lagringskonto och bekräfta att det finns en post i Virtuella nätverktable som representerar det nya undernätet. Du kan dock inte göra ändringar i nätverksreglerna i Azure Portal.

    Dricks

    • När du lägger till nätverksregler för lagringskonto använder du API:et för nätverksanslutning för att hämta de senaste undernäten.
    • Undvik att lagra NCC-information lokalt.
    • Ignorera omnämnandet av "Otillräckliga behörigheter" i slutpunktsstatusen column eller varningen under nätverket list. De anger bara att du inte har behörighet att läsa Azure Databricks-undernäten, men det påverkar inte möjligheten för det serverlösa Azure Databricks-undernätet att kontakta azure-lagringen.

    Exempel på nya poster i virtuella nätverk list

  2. Upprepa det här kommandot en gång för varje undernät.

  3. Om du vill bekräfta att lagringskontot använder de här inställningarna från Azure Portal går du till Nätverk i ditt lagringskonto.

    Kontrollera att den offentliga nätverksåtkomsten är set till Aktiverad från valda virtuella nätverk och IP-adresser och tillåtna nätverk visas i avsnittet Virtuella nätverk.