從無伺服器計算設定私人連線
本文說明如何使用 Azure Databricks 帳戶控制台 UI,從無伺服器計算設定私人連線能力。 您也可以使用網路連線設定 API。
如果您將 Azure 資源設定為只接受來自私人端點的連線,則來自傳統 Databricks 計算資源的任何連線也需要使用私人端點。
若要使用子網設定無伺服器計算存取的 Azure 儲存體 防火牆,請參閱設定無伺服器計算存取的防火牆。 若要管理現有的私人端點規則,請參閱 管理私人端點規則。
重要
從 2024 年 12 月 4 日起,Databricks 將開始收取連線到外部資源的無伺服器工作負載的網路成本。 計費會逐漸實作,而且您可能在 2024 年 12 月 4 日之後才收費。 在啟用計費之前,您不會回溯收取使用量費用。 啟用計費之後,您可能會向您收取:
- 透過 Private Link 私人連線到您的資源。 透過 Private Link 與資源的私人連線,會無限期免除數據處理費用。 將會套用每小時費用。
- 透過 NAT 閘道與資源的公用連線。
- 產生的數據傳輸費用,例如當無伺服器計算和目標資源位於不同區域時。
無伺服器計算的私人連線概觀
透過網路連線設定 (NCC) 來管理無伺服器網路連線。 帳戶管理員會在帳戶主控台中建立 NCC,而 NCC 可以連結至一或多個工作區
當您在 NCC 中新增私人端點時,Azure Databricks 會為您的 Azure 資源建立私人端點要求。 在資源端接受要求之後,私人端點會用來從無伺服器計算平面存取資源。 私人端點專用於您的 Azure Databricks 帳戶,且只能從授權的工作區存取。
SQL 倉儲、作業、筆記本、Delta Live Tables 和模型服務端點都支援 NCC 私人端點。
注意
只有您管理的數據源才支援 NCC 私人端點。 若要連線到工作區記憶體帳戶,請連絡您的 Azure Databricks 帳戶小組。
注意
模型服務會使用 Azure Blob 記憶體路徑來下載模型成品,因此請為您的子資源標識碼 Blob 建立私人端點。 您將需要 DFS,才能從無伺服器筆記本記錄 Unity 目錄中的模型。
如需 NCC 的詳細資訊,請參閱什麼是網路連線設定 (NCC)?。
需求
- 您的工作區必須列在進階版方案中。
- 您必須是 Azure Databricks 帳戶管理員。
- 每個 Azure Databricks 帳戶在每個區域最多可以有 10 個 NC。
- 每個區域可以有 100 個私人端點,視需要分散到 1-10 個 NCC。
- 每個 NCC 最多可連結至 50 個工作區。
步驟 1:建立網路連線設定
Databricks 建議在相同業務單位內的工作區之間共用 NCC,以及共用相同區域連線屬性的工作區。 例如,如果某些工作區使用 Private Link,而其他工作區則 使用防火牆啟用,請針對這些使用案例使用個別的 NC。
- 身為帳戶管理員,請移至 帳戶控制台。
- 在側邊欄中按一下 [雲端資源]。
- 按兩下 [ 網路連線設定]。
- 按兩下 [ 新增網路連線設定]。
- 輸入 NCC 的名稱。
- 選擇區域 必須與您的工作區所在區域相符。
- 按一下新增。
步驟 2:將 NCC 附加至工作區
- 在帳戶主控台的側邊欄中,按一下 [工作區]。
- 按一下工作區的名稱。
- 按一下 [更新工作區]。
- 在 [ 網络連線設定 ] 字段中,選取您的 NCC。 如果看不到,請確認您已針對工作區和 NCC 選取相同的 Azure 區域。
- 按一下更新。
- 請等候 10 分鐘,讓變更生效。
- 重新啟動工作區中任何執行中的無伺服器服務。
步驟 3:建立私人端點規則
您必須在每個 Azure 資源的 NCC 中建立私人端點規則。
- 取得所有目的地的 Azure 資源識別符清單。
- 在另一個瀏覽器索引標籤中,使用 Azure 入口網站 流覽至數據源的 Azure 服務。
- 在其 [概觀] 頁面上,查看 [基本資訊] 區段。
- 按兩下 [ JSON 檢視] 連結。 服務的資源標識碼會顯示在頁面頂端。
- 將該資源識別碼複製到另一個位置。 對所有目的地重複。 如需尋找資源標識碼的詳細資訊,請參閱 Azure 私人端點私人 DNS 區域值。
- 切換回您的帳戶主控台瀏覽器索引標籤。
- 在側邊欄中按一下 [雲端資源]。
- 按兩下 [ 網路連線設定]。
- 選取您在步驟 1 中建立的 NCC。
- 在 [私人端點規則] 中,按兩下 [新增私人端點規則]。
- 在 [ 目的地 Azure 資源標識符 ] 字段中,貼上您資源的資源標識符。
- 在 [ Azure 子資源標識符 ] 字段中,指定目的地標識碼和子資源類型。 每個私人端點規則都必須使用不同的子資源標識碼。 如需支援的子資源類型清單,請參閱 Azure Private Link 可用性。
- 按一下新增。
- 等候幾分鐘,直到所有端點規則的狀態為
PENDING
。
步驟 4:核准資源上的新私人端點
在具有資源許可權的系統管理員核准新的私人端點之前,端點才會生效。 若要使用 Azure 入口網站 核准私人端點,請執行下列動作:
在 Azure 入口網站 中,流覽至您的資源。
在側邊欄中,按一下 [網路]。
按一下 [私人端點連線]。
按兩下 [私人存取] 索引標籤。
在 [ 私人端點連線] 底下,檢閱私人端點清單。
按兩下每個要核准的複選框,然後按下清單上方的 [核准 ] 按鈕。
傳回 Azure Databricks 中的 NCC,並重新整理瀏覽器頁面,直到所有端點規則的狀態為
ESTABLISHED
。
(選擇性)步驟 5:將您的記憶體帳戶設定為不允許公用網路存取
如果您尚未將 Azure 記憶體帳戶的存取限制為只允許列出的網路,您可以選擇這麼做。
- 前往 Azure 入口網站。
- 瀏覽至資料來源的儲存體帳戶。
- 在側邊欄中,按一下 [網路]。
- 在 [公用網路存取] 欄位中,檢查該值。 根據預設,此值為 [已從所有網路啟用]。 將此變更為 [已停用]
步驟 6:重新啟動無伺服器計算平面資源並測試連線
- 在上一個步驟之後,請再等候五分鐘,讓變更傳播。
- 重新啟動您 NCC 所連結工作區中任何執行中的無伺服器計算平面資源。 如果您沒有任何執行中的無伺服器計算平面資源,請立即啟動一個。
- 確認所有資源都已成功啟動。
- 在您的數據源上執行至少一個查詢,以確認無伺服器 SQL 倉儲可以連線到您的數據源。