什麼是無伺服器輸出控制件?
重要
這項功能處於公開預覽狀態。
本文說明無伺服器輸出控制項如何讓您從無伺服器計算資源管理輸出網路連線。
無伺服器輸出控制可讓您管理無伺服器工作負載的輸出連線,以減少數據外流的風險,藉此強化您的安全性狀態。
使用網路原則,您可以:
- 強制執行預設拒絕策略:啟用針對因特網、雲端儲存和 Databricks API 連線的預設拒絕政策,以精細控制輸出存取。
- 簡化管理:為多個無伺服器產品的所有無伺服器工作負載定義一致的出口控制策略。
- 輕鬆地大規模管理:集中管理您在多個工作區的姿態,並為您的 Databricks 帳戶強制執行預設政策。
- 安全推行政策:在全面強制執行前,先以預演模式評估任何新政策的影響,以降低風險。
此預覽支援下列無伺服器產品:筆記本、工作流程、SQL 倉儲、Delta Live Tables 管線、Mosaic AI 模型服務、Lakehouse 監視,並有限度支援 Databricks Apps。
注意
在工作區上啟用輸出限制可防止 Databricks Apps 存取未經授權的資源。 不過,實作輸出限制可能會影響應用程式功能。
網路原則概觀
網路原則是在 Azure Databricks 帳戶層級套用的設定物件。 雖然單一網路原則可以與多個 Azure Databricks 工作區相關聯,但每個工作區一次只能連結至一個原則。
網路原則會定義相關聯工作區內無伺服器工作負載的網路存取模式。 主要模式有兩種:
- 完整存取:無伺服器工作負載對因特網和其他網路資源具有不受限制的輸出存取。
-
限制存取:輸出存取限制為:
- Unity 目錄目的地:可從工作區存取的 Unity 目錄內設定的位置和連線。
- 明確定義的目的地:FQDN 和 Azure 儲存帳戶列在網路政策中。
安全性狀態
當網路原則設定為受限制的存取模式時,會嚴格控制來自無伺服器工作負載的輸出網路連線。
| 行為 | 詳情 |
|---|---|
| 默認拒絕輸出連線 | 無伺服器工作負載只能存取以下項目:透過預設允許的 Unity Catalog 位置或連線進行配置的目的地、政策中定義的 FQDN 或儲存位置,以及與工作負載相同工作區的工作區 API。 跨工作區存取遭到拒絕。 |
| 沒有直接記憶體存取權 | 禁止從 UDF 和筆記本中的用戶程式代碼直接存取。 請改用 Databricks 抽象概念,例如 Unity 目錄或 DBFS 掛接。 DBFS 掛接允許安全存取網路原則中列出的 Azure 記憶體帳戶中的數據。 |
| 默認允許的目的地 | 您一律可以存取與您的工作區、基本系統數據表和範例數據集相關聯的 Azure 記憶體帳戶(只讀)。 |
| 私人端點的政策執行 | 透過私人端點的輸出存取也會受限於網路原則中定義的規則。 目的地必須列在 Unity 資料目錄或規則內。 這可確保在所有網路存取方法之間一致的安全性強制執行。 |