Share via

Tűzfal konfigurálása kiszolgáló nélküli számítási hozzáféréshez

  • Cikk

Feljegyzés

Ha 2023. október 31-e előtt az Azure Databricks dokumentációjában szereplő alhálózati azonosítókkal konfigurálta a tárolási tűzfalakat, a Databricks azt javasolja, hogy frissítse a munkaterületeket a jelen cikkben ismertetett lépések alapján, vagy privát végpontot használjon. Ha úgy dönt, hogy nem frissíti a meglévő munkaterületeket, azok továbbra is módosítások nélkül működnek.

Ez a cikk azt ismerteti, hogyan konfigurálhat Azure Storage-tűzfalat kiszolgáló nélküli számításhoz az Azure Databricks fiókkonzol felhasználói felületén. A Network Csatlakozás ivity Configurations API-t is használhatja.

A kiszolgáló nélküli számítási hozzáférés privát végpontjának konfigurálásához lásd: Privát kapcsolat konfigurálása kiszolgáló nélküli számításból.

Feljegyzés

A kiszolgáló nélküli szolgáltatások esetében jelenleg nincs hálózati díj. Egy későbbi kiadásban előfordulhat, hogy díjat számítunk fel. Az Azure Databricks előzetes értesítést küld a hálózatkezelési díjszabás változásairól.

A kiszolgáló nélküli számítás tűzfal-engedélyezésének áttekintése

A kiszolgáló nélküli hálózati kapcsolatok hálózati kapcsolati konfigurációkkal (NCC-kkel) kezelhetők. A fiókadminisztrátorok a fiókkonzolon hoznak létre NCC-ket, és egy NCC egy vagy több munkaterülethez csatolható

Az NCC alapértelmezett szabályként tartalmazza az Azure-erőforrástípus hálózati identitásainak listáját. Ha egy NCC-t egy munkaterülethez csatolnak, a munkaterület kiszolgáló nélküli számítása ezen hálózatok egyikével csatlakoztatja az Azure-erőforrást. Ezeket a hálózatokat engedélyezheti az Azure-erőforrás tűzfalán.

Az NCC-tűzfal engedélyezését csak a kiszolgáló nélküli SQL-tárolók támogatják az Ön által kezelt adatforrásokhoz. A kiszolgáló nélküli számítási sík más számítási erőforrásai nem támogatják.

Igény szerint konfigurálhatja a munkaterület tárfiókjához való hálózati hozzáférést csak az engedélyezett hálózatokról, beleértve a kiszolgáló nélküli SQL-raktárakat is. Lásd: Tűzfaltámogatás engedélyezése a munkaterület tárfiókjához. Amikor egy NCC-t csatol egy munkaterülethez, a rendszer automatikusan hozzáadja a hálózati szabályokat a munkaterület tárfiókjának Azure Storage-fiókjához.

További információ az NCC-ről: Mi az a hálózati kapcsolati konfiguráció (NCC)?.

A régiók közötti tárhozzáférés költségkövetkte

Az Azure Databricks kiszolgáló nélküli SQL-raktáraiból érkező régiók közötti forgalom esetén (például a munkaterület az USA keleti régiójában, az ADLS-tároló pedig Nyugat-Európában található), az Azure Databricks egy Azure NAT Gateway-szolgáltatáson keresztül irányítja át a forgalmat.

Fontos

Ennek a funkciónak a használata jelenleg nem jár díjjal. Egy későbbi kiadásban előfordulhat, hogy a használatért díjat számítunk fel. A díjak elkerülése érdekében a Databricks azt javasolja, hogy hozzon létre egy munkaterületet ugyanabban a régióban, mint a tárterület.

Követelmények

  • A munkaterületnek a Prémium csomagban kell lennie.

  • Azure Databricks-fiókadminisztrátornak kell lennie.

  • Minden NCC legfeljebb 50 munkaterülethez csatolható.

  • Minden Azure Databricks-fiók régiónként legfeljebb 10 NPC-vel rendelkezhet.

    • Hozzáféréssel kell rendelkeznie WRITE az Azure Storage-fiók hálózati szabályaihoz.

1. lépés: Hálózati kapcsolati konfiguráció létrehozása és alhálózati azonosítók másolása

A Databricks javasolja az NCC-k megosztását ugyanazon üzleti egység munkaterületei, valamint az azonos régióval és kapcsolati tulajdonságokkal rendelkező munkaterületek között. Ha például egyes munkaterületek tárolási tűzfalat használnak, más munkaterületek pedig a Private Link alternatív megközelítését használják, akkor ezekhez a használati esetekhez használjon külön NPC-ket.

  1. Fiókadminisztrátorként lépjen a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhőerőforrások elemre.
  3. Kattintson a Hálózati Csatlakozás ivity Configuration (Hálózati Csatlakozás ivity Configuration) elemre.
  4. Kattintson a Hálózati Csatlakozás ivity-konfigurációk hozzáadása elemre.
  5. Írja be az NCC nevét.
  6. Válassza ki a régiót. Ennek meg kell egyeznie a munkaterület régiójával.
  7. Kattintson a Hozzáadás gombra.
  8. Az NCC-k listájában kattintson az új NCC-re.
  9. A Hálózati identitások alapértelmezett szabályok területén kattintson az Összes megtekintése elemre.
  10. A párbeszédpanelen kattintson az Alhálózatok másolása gombra, és mentse az alhálózatok listáját.
  11. Kattintson a Bezárás gombra.

3. lépés: NCC csatolása munkaterületekhez

Az NCC legfeljebb 50 munkaterülethez csatolható ugyanabban a régióban, mint az NCC.

Ha az API használatával szeretne NCC-t csatolni egy munkaterülethez, tekintse meg a Fiók-munkaterületek API-t.

  1. A fiókkonzol oldalsávján kattintson a Munkaterületek elemre.
  2. Kattintson a munkaterület nevére.
  3. Kattintson a Munkaterület frissítése elemre.
  4. A Hálózati Csatlakozás ivity Config mezőben válassza ki az NCC-t. Ha nem látható, ellenőrizze, hogy ugyanazt a régiót választotta-e a munkaterülethez és az NCC-hez is.
  5. Kattintson a Frissítés lehetőségre.
  6. Várjon 10 percet, amíg a módosítás érvénybe lép.
  7. Indítsa újra a munkaterületen futó kiszolgáló nélküli SQL-raktárakat.

Ha ezzel a funkcióval csatlakozik a munkaterület tárfiókjához, a konfiguráció befejeződött. A rendszer automatikusan hozzáadja a hálózati szabályokat a munkaterület tárfiókjába. További tárfiókok esetén folytassa a következő lépésben.

3. lépés: Tárfiók zárolása

Ha még nem korlátozta az Azure Storage-fiókhoz való hozzáférést csak a felsorolt hálózatok engedélyezésére, tegye meg most. Ezt a lépést nem kell elvégeznie a munkaterület tárfiókja esetében.

A tárolási tűzfal létrehozása hatással van a klasszikus számítási sík és az erőforrások közötti kapcsolatra is. Hálózati szabályokat is hozzá kell adnia a tárfiókokhoz való csatlakozáshoz a klasszikus számítási erőforrásokból.

  1. Nyissa meg az Azure Portalt.
  2. Keresse meg az adatforrás tárfiókját.
  3. A bal oldali navigációs sávon kattintson a Hálózatkezelés elemre.
  4. A nyilvános hálózati hozzáférés mezőben ellenőrizze az értéket. Alapértelmezés szerint az érték engedélyezve van az összes hálózatból. Módosítsa ezt engedélyezve a kijelölt virtuális hálózatokról és IP-címekről.

4. lépés: Azure Storage-fiók hálózati szabályainak hozzáadása

Ezt a lépést nem kell elvégeznie a munkaterület tárfiókja esetében.

  1. Adjon hozzá egy Azure Storage-fiók hálózati szabályt minden alhálózathoz. Ezt az Azure CLI, a PowerShell, a Terraform vagy más automatizálási eszközök használatával teheti meg. Vegye figyelembe, hogy ez a lépés nem végezhető el az Azure Portal felhasználói felületén.

    Az alábbi példa az Azure CLI-t használja:

    az storage account network-rule add --subscription "<sub>" \
    --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
    • Cserélje le <sub> a tárfiókhoz tartozó Azure-előfizetés nevére.
    • Cserélje le <res> a tárfiók erőforráscsoportjára.
    • Cserélje le <account> a tárfiók nevére
    • Cserélje le <subnet> a kiszolgáló nélküli SQL Warehouse-alhálózat ARM-erőforrás-azonosítójára (resourceId).

    Az összes parancs futtatása után az Azure Portalon megtekintheti a tárfiókot, és ellenőrizheti, hogy van-e olyan bejegyzés a Virtuális hálózatok táblában, amely az új alhálózatot jelöli. Az Azure Portalon azonban nem módosíthatja a hálózati szabályokat.

    Tipp.

    Hagyja figyelmen kívül az "Elégtelen engedélyek" szót a végpont állapotoszlopában vagy a hálózati lista alatti figyelmeztetésben. Csak azt jelzik, hogy nincs engedélye az Azure Databricks-alhálózatok olvasására, de nem zavarja, hogy az Azure Databricks kiszolgáló nélküli alhálózata kapcsolatba léphet az Azure Storage-nal.

    Példa új bejegyzésekre a Virtuális hálózatok listában

  2. Ismételje meg ezt a parancsot minden alhálózat esetében egyszer. A hálózati szabály létrehozásának folyamatát igény szerint automatizálhatja. Lásd: A hálózati szabály létrehozásának automatizálása.

  3. Annak ellenőrzéséhez, hogy a tárfiók használja-e ezeket a beállításokat az Azure Portalról, lépjen a tárfiók hálózatkezelésére .

    Ellenőrizze, hogy a nyilvános hálózati hozzáférés engedélyezve van-e a kiválasztott virtuális hálózatokból, és az IP-címek és az engedélyezett hálózatok a Virtuális hálózatok szakaszban jelennek meg.

A hálózati szabály létrehozásának automatizálása

A tárfiók hálózati szabályának létrehozását automatizálhatja az Azure CLI vagy a PowerShell használatával.

Ez az Azure CLI-példa két alhálózatot használ egy listában, amelyeket hurokkal használhat az egyes alhálózatok parancsainak futtatásához. Ebben a példában mystorage-rg az erőforráscsoport, és myaccount a tárfiók.

#!/bin/bash
SUBNETS=(/subscriptions/8453a5d5-9e9e-40c7-87a4-0ab4cc197f48/resourceGroups/prod-azure-eastusc3-nephos2/providers/Microsoft.Network/virtualNetworks/kaas-vnet/subnets/worker-subnet /subscriptions/8453a5d5-9e9e-40c7-87a4-0ab4cc197f48/resourceGroups/prod-azure-eastusc3-nephos3/providers/Microsoft.Network/virtualNetworks/kaas-vnet/subnets/worker-subnet)
for SUBNET in ${SUBNETS[@]}
do
  az storage account network-rule add --subscription 9999999-1ff3-43f4-b91e-d0ceb97111111 --resource-group mystorage-rg --account-name myaccount --subnet ${SUBNET}
done

A PowerShell használatához használja a következő parancsot:

Add-AzStorageAccountNetworkRule -ResourceGroupName <resource group name> -Name <storage account name> -VirtualNetworkResourceId <subnets>

Csere:

  • <resource group name> a tárfiók erőforráscsoportjával.
  • <storage account name> a tárfiókja nevére.
  • <subnets> az alhálózati erőforrásazonosítók vesszővel elválasztott listájával.