تكوين جدار حماية للوصول إلى الحوسبة بلا خادم

إشعار

إذا قمت بتكوين جدران حماية التخزين باستخدام معرفات الشبكة الفرعية من وثائق Azure Databricks قبل 31 أكتوبر 2023، توصي Databricks بتحديث مساحات العمل باتباع الخطوات الواردة في هذه المقالة أو باستخدام نقطة نهاية خاصة. إذا اخترت عدم تحديث مساحات العمل الموجودة، فإنها تستمر في العمل دون تغييرات.

توضح هذه المقالة كيفية تكوين جدار حماية تخزين Azure للحوسبة بلا خادم باستخدام واجهة مستخدم وحدة تحكم حساب Azure Databricks. يمكنك أيضا استخدام واجهة برمجة تطبيقات Network الاتصال ivity Configurations.

لتكوين نقطة نهاية خاصة للوصول إلى الحوسبة بدون خادم، راجع تكوين اتصال خاص من حساب بلا خادم.

إشعار

لا توجد حاليا رسوم على الشبكات للميزات بلا خادم. في إصدار لاحق، قد يتم تحصيل رسوم منك. سيوفر Azure Databricks إشعارا مسبقا لتغييرات تسعير الشبكات.

نظرة عامة على تمكين جدار الحماية للحوسبة بلا خادم

تتم إدارة اتصال الشبكة بلا خادم مع تكوينات اتصال الشبكة (NCCs). يقوم مسؤولو الحساب بإنشاء NCCs في وحدة تحكم الحساب ويمكن إرفاق NCC بمساحة عمل واحدة أو أكثر

يحتوي NCC على قائمة بهويات الشبكة لنوع مورد Azure كقواني افتراضية. عند إرفاق NCC بمساحة عمل، تستخدم الحوسبة بلا خادم في مساحة العمل هذه إحدى هذه الشبكات لتوصيل مورد Azure. يمكنك السماح بإدراج هذه الشبكات على جدار حماية مورد Azure.

يتم دعم تمكين جدار حماية NCC فقط من مستودعات SQL بلا خادم لمصادر البيانات التي تديرها. وهو غير مدعوم من موارد الحوسبة الأخرى في مستوى الحوسبة بلا خادم.

يمكنك اختياريا تكوين وصول الشبكة إلى حساب تخزين مساحة العمل الخاص بك من الشبكات المعتمدة فقط بما في ذلك مستودعات SQL بلا خادم. راجع تمكين دعم جدار الحماية لحساب تخزين مساحة العمل. عند إرفاق NCC بمساحة عمل، تتم إضافة قواعد الشبكة تلقائيا إلى حساب تخزين Azure لحساب تخزين مساحة العمل.

لمزيد من المعلومات حول NCCs، راجع ما هو تكوين اتصال الشبكة (NCC)؟.

الآثار المترتبة على التكلفة للوصول إلى التخزين عبر المناطق

بالنسبة لنسبة استخدام الشبكة عبر المناطق من مستودعات SQL بلا خادم في Azure Databricks (على سبيل المثال، مساحة العمل في منطقة شرق الولايات المتحدة وتخزين ADLS في غرب أوروبا)، يوجه Azure Databricks نسبة استخدام الشبكة من خلال خدمة بوابة Azure NAT.

هام

لا توجد رسوم حاليا لاستخدام هذه الميزة. في إصدار لاحق، قد يتم تحصيل رسوم منك مقابل الاستخدام. لتجنب هذه الرسوم، توصي Databricks بإنشاء مساحة عمل في نفس المنطقة مثل مساحة التخزين الخاصة بك.

المتطلبات

• يجب أن تكون مساحة العمل الخاصة بك على خطة Premium.

• يجب أن تكون مسؤول حساب Azure Databricks.

• يمكن إرفاق كل NCC إلى ما يصل إلى 50 مساحة عمل.

• يمكن أن يحتوي كل حساب Azure Databricks على ما يصل إلى 10 NCCs لكل منطقة.

  • يجب أن يكون لديك WRITE حق الوصول إلى قواعد شبكة حساب تخزين Azure.

الخطوة 1: إنشاء تكوين اتصال شبكة ونسخ معرفات الشبكة الفرعية

توصي Databricks بمشاركة NCCs بين مساحات العمل في نفس وحدة العمل وتلك التي تشترك في نفس المنطقة وخصائص الاتصال. على سبيل المثال، إذا كانت بعض مساحات العمل تستخدم جدار حماية التخزين وتستخدم مساحات العمل الأخرى النهج البديل ل Private Link، فاستخدم NCCs منفصلة لحالات الاستخدام هذه.

1. بصفتك مسؤول حساب، انتقل إلى وحدة تحكم الحساب.
2. في الشريط الجانبي، انقر فوق موارد السحابة.
3. انقر فوق Network الاتصال ivity Configuration.
4. انقر فوق Add Network الاتصال ivity Configurations.
5. اكتب اسما ل NCC.
6. اختر المنطقة. يجب أن يتطابق هذا مع منطقة مساحة العمل الخاصة بك.
7. انقر فوق إضافة.
8. في قائمة NCCs، انقر فوق NCC الجديد.
9. في القواعد الافتراضية ضمن هويات الشبكة، انقر فوق عرض الكل.
10. في مربع الحوار، انقر فوق الزر نسخ الشبكات الفرعية واحفظ قائمة الشبكات الفرعية.
11. انقر فوق إغلاق.

الخطوة 3: إرفاق NCC بمساحات العمل

يمكنك إرفاق NCC بما يصل إلى 50 مساحة عمل في نفس المنطقة مثل NCC.

لاستخدام واجهة برمجة التطبيقات لإرفاق NCC بمساحة عمل، راجع واجهة برمجة تطبيقات مساحات عمل الحساب.

1. في الشريط الجانبي لوحدة تحكم الحساب، انقر فوق مساحات العمل.
2. انقر فوق اسم مساحة العمل.
3. انقر فوق تحديث مساحة العمل.
4. في حقل Network الاتصال ivity Config، حدد NCC الخاص بك. إذا لم يكن مرئيا، فتأكد من تحديد نفس المنطقة لكل من مساحة العمل وNCC.
5. انقر فوق تحديث.
6. انتظر 10 دقائق حتى يسري التغيير.
7. أعد تشغيل أي مستودعات SQL بلا خادم قيد التشغيل في مساحة العمل.

إذا كنت تستخدم هذه الميزة للاتصال بحساب تخزين مساحة العمل، يكتمل التكوين الخاص بك. تتم إضافة قواعد الشبكة تلقائيا إلى حساب تخزين مساحة العمل. بالنسبة لحسابات التخزين الإضافية، تابع إلى الخطوة التالية.

الخطوة 3: تأمين حساب التخزين الخاص بك

إذا لم تكن قد حددت بالفعل الوصول إلى حساب تخزين Azure للسماح بالشبكات المدرجة فقط، فقم بذلك الآن. لا تحتاج إلى القيام بهذه الخطوة لحساب تخزين مساحة العمل.

يؤثر إنشاء جدار حماية تخزين أيضا على الاتصال من مستوى الحوسبة الكلاسيكية إلى مواردك. يجب أيضا إضافة قواعد الشبكة للاتصال بحسابات التخزين الخاصة بك من موارد الحوسبة الكلاسيكية.

1. انتقل إلى مدخل Azure.
2. انتقل إلى حساب التخزين الخاص بك لمصدر البيانات.
3. في جزء التنقل الأيمن، انقر فوق Networking.
4. في الحقل الوصول إلى الشبكة العامة، تحقق من القيمة. بشكل افتراضي، يتم تمكين القيمة من جميع الشبكات. غير هذا إلى ممكن من الشبكات الظاهرية المحددة وعناوين IP.

الخطوة 4: إضافة قواعد شبكة حساب تخزين Azure

لا تحتاج إلى القيام بهذه الخطوة لحساب تخزين مساحة العمل.

1. إضافة قاعدة شبكة حساب تخزين Azure واحدة لكل شبكة فرعية. يمكنك القيام بذلك باستخدام Azure CLI أو PowerShell أو Terraform أو أدوات التنفيذ التلقائي الأخرى. لاحظ أنه لا يمكن القيام بهذه الخطوة في واجهة مستخدم مدخل Microsoft Azure.

   يستخدم المثال التالي CLI Azure:

   az storage account network-rule add --subscription "<sub>" \
       --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
   

   • استبدل <sub> باسم اشتراك Azure لحساب التخزين.
   • استبدل <res> بمجموعة الموارد لحساب التخزين الخاص بك.
   • استبدال <account> باسم حساب التخزين الخاص بك
   • استبدل <subnet> بمعرف مورد ARM (resourceId) للشبكة الفرعية لمستودع SQL بلا خادم.

   بعد تشغيل جميع الأوامر، يمكنك استخدام مدخل Microsoft Azure لعرض حساب التخزين الخاص بك والتأكد من وجود إدخال في جدول الشبكات الظاهرية يمثل الشبكة الفرعية الجديدة. ومع ذلك، لا يمكنك إجراء تغييرات على قواعد الشبكة في مدخل Microsoft Azure.

   تلميح

   تجاهل الإشارة إلى "أذونات غير كافية" في عمود حالة نقطة النهاية أو التحذير الموجود أسفل قائمة الشبكة. وهي تشير فقط إلى أنه ليس لديك إذن لقراءة الشبكات الفرعية Azure Databricks ولكنها لا تتداخل مع قدرة تلك الشبكة الفرعية بلا خادم في Azure Databricks على الاتصال بتخزين Azure.

   

2. كرر هذا الأمر مرة واحدة لكل شبكة فرعية. يمكنك اختياريا أتمتة عملية إنشاء قاعدة الشبكة. راجع أتمتة إنشاء قاعدة الشبكة.

3. للتأكد من أن حساب التخزين الخاص بك يستخدم هذه الإعدادات من مدخل Microsoft Azure، انتقل إلى Networking في حساب التخزين الخاص بك.

   تأكد من تعيين الوصول إلى الشبكة العامة إلى ممكن من الشبكات الظاهرية المحددة وعناوين IP والشبكات المسموح بها مدرجة في قسم الشبكات الظاهرية.

أتمتة إنشاء قاعدة الشبكة

يمكنك أتمتة إنشاء قاعدة الشبكة لحساب التخزين باستخدام Azure CLI أو Powershell.

يستخدم مثال Azure CLI هذا شبكتين فرعيتين في قائمة يمكنك استخدامها مع حلقة لتشغيل الأمر لكل شبكة فرعية. في هذا المثال، mystorage-rg هو مجموعة الموارد، وهو myaccount حساب التخزين.

#!/bin/bash
SUBNETS=(/subscriptions/8453a5d5-9e9e-40c7-87a4-0ab4cc197f48/resourceGroups/prod-azure-eastusc3-nephos2/providers/Microsoft.Network/virtualNetworks/kaas-vnet/subnets/worker-subnet /subscriptions/8453a5d5-9e9e-40c7-87a4-0ab4cc197f48/resourceGroups/prod-azure-eastusc3-nephos3/providers/Microsoft.Network/virtualNetworks/kaas-vnet/subnets/worker-subnet)
for SUBNET in ${SUBNETS[@]}
do
  az storage account network-rule add --subscription 9999999-1ff3-43f4-b91e-d0ceb97111111 --resource-group mystorage-rg --account-name myaccount --subnet ${SUBNET}
done

لاستخدام Powershell، استخدم الأمر التالي:

Add-AzStorageAccountNetworkRule -ResourceGroupName <resource group name> -Name <storage account name> -VirtualNetworkResourceId <subnets>

استبدل:

• <resource group name> مع مجموعة الموارد لحساب التخزين الخاص بك.
• <storage account name> باسم حساب التخزين.
• <subnets> مع قائمة بمعرفات موارد الشبكة الفرعية مفصولة بفواصل.