什麼是無伺服器輸出控制件?
重要
這項功能處於公開預覽狀態。
本文說明無伺服器輸出控制項如何讓您從無伺服器計算資源管理輸出網路 connections。
無伺服器輸出控制可讓您管理無伺服器工作負載的輸出 connections,降低數據外流的風險,藉此強化您的安全性狀態。
使用網路原則,您可以:
- 強制執行 deny-by-預設狀態:啟用因特網、雲端記憶體和 Databricks API connections的 deny-默認原則,以細微精確度控制輸出存取。
- 簡化管理:為多個無伺服器產品的所有無伺服器工作負載定義一致的出口控制策略。
- 輕鬆地大規模管理:集中管理您在多個工作區的姿態,並為您的 Databricks 帳戶強制執行預設政策。
- 安全發布政策:在完全強制執行之前,通過僅記錄模式評估任何新政策的影響,以減少風險。
此預覽支援下列無伺服器產品:筆記本、工作流程、SQL 倉儲、Delta Live Tables 管線、馬賽克 AI 模型服務、Lakehouse 監控,以及有限支援的 Databricks 應用程式。
注意
在工作區上啟用輸出限制可防止 Databricks Apps 存取未經授權的資源。 不過,實作輸出限制可能會影響應用程式功能。
網路原則概觀
網路原則是在 Azure Databricks 帳戶層級套用的設定物件。 雖然單一網路原則可以與多個 Azure Databricks 工作區相關聯,但每個工作區一次只能連結至一個原則。
網路原則會定義相關聯工作區內無伺服器工作負載的網路存取模式。 主要模式有兩種:
- 完整存取:無伺服器工作負載對因特網和其他網路資源具有不受限制的輸出存取。
-
限制存取:輸出存取限制為:
- Unity Catalog 目的地:Unity Catalog 內設定的 connections 和可從工作區存取的位置。
- 明確定義的目的地:FQDN 和 Azure 儲存帳戶列在網路政策中。
安全性狀態
當網路原則 set 設定為受限制的存取模式時,來自無伺服器工作負載的出站網路流量 connections 會被嚴格控制。
| 行為 | 詳情 |
|---|---|
| 預設情況下 Deny 出站連線 | 無伺服器工作負載只能存取以下內容:透過 Unity 配置的目的地 Catalog 位置或預設允許的 connections 位置、政策中定義的 FQDN 或儲存位置,以及與工作負載所在同一工作區的工作區 API。 跨工作區存取遭到拒絕。 |
| 沒有直接記憶體存取權 | 禁止從 UDF 和筆記本中的用戶程式代碼直接存取。 請改用 Databricks 抽象概念,例如 Unity Catalog 或 DBFS 掛接。 DBFS 掛接允許安全存取網路原則中列出的 Azure 記憶體帳戶中的數據。 |
| 默認允許的目的地 | 您一律可以存取與您的工作區相關聯的 Azure 記憶體帳戶、基本系統 tables和範例數據集(只讀)。 |
| 私人端點的政策執行 | 透過私人端點的輸出存取也會受限於網路原則中定義的規則。 目的地必須列在 Unity Catalog 或政策內。 這可確保在所有網路存取方法之間一致的安全性強制執行。 |