Tűzfal konfigurálása kiszolgáló nélküli számítási hozzáféréshez
Feljegyzés
Ha 2023. október 31-e előtt az Azure Databricks dokumentációjában szereplő alhálózati azonosítókkal konfigurálta a tárolási tűzfalakat, a Databricks azt javasolja, hogy frissítse a munkaterületeket a jelen cikkben ismertetett lépések alapján, vagy privát végpontot használjon. Ha úgy dönt, hogy nem frissíti a meglévő munkaterületeket, azok továbbra is módosítások nélkül működnek.
Ez a cikk azt ismerteti, hogyan konfigurálhat Azure Storage-tűzfalat kiszolgáló nélküli számításhoz az Azure Databricks fiókkonzol felhasználói felületén. A Network Csatlakozás ivity Configurations API-t is használhatja.
A kiszolgáló nélküli számítási hozzáférés privát végpontjának konfigurálásához lásd: Privát kapcsolat konfigurálása kiszolgáló nélküli számításból.
Feljegyzés
A kiszolgáló nélküli szolgáltatások esetében jelenleg nincs hálózati díj. Egy későbbi kiadásban előfordulhat, hogy díjat számítunk fel. Az Azure Databricks előzetes értesítést küld a hálózatkezelési díjszabás változásairól.
A kiszolgáló nélküli számítás tűzfal-engedélyezésének áttekintése
A kiszolgáló nélküli hálózati kapcsolatok hálózati kapcsolati konfigurációkkal (NCC-kkel) kezelhetők. A fiókadminisztrátorok a fiókkonzolon hoznak létre NCC-ket, és egy NCC egy vagy több munkaterülethez csatolható
Az NCC alapértelmezett szabályként tartalmazza az Azure-erőforrástípus hálózati identitásainak listáját. Ha egy NCC-t egy munkaterülethez csatolnak, a munkaterület kiszolgáló nélküli számítása ezen hálózatok egyikével csatlakoztatja az Azure-erőforrást. Ezeket a hálózatokat engedélyezheti az Azure-erőforrás tűzfalán.
Az NCC-tűzfal engedélyezését csak a kiszolgáló nélküli SQL-tárolók támogatják az Ön által kezelt adatforrásokhoz. A kiszolgáló nélküli számítási sík más számítási erőforrásai nem támogatják.
Igény szerint konfigurálhatja a munkaterület tárfiókjához való hálózati hozzáférést csak az engedélyezett hálózatokról, beleértve a kiszolgáló nélküli SQL-raktárakat is. Lásd: Tűzfaltámogatás engedélyezése a munkaterület tárfiókjához. Amikor egy NCC-t csatol egy munkaterülethez, a rendszer automatikusan hozzáadja a hálózati szabályokat a munkaterület tárfiókjának Azure Storage-fiókjához.
További információ az NCC-ről: Mi az a hálózati kapcsolati konfiguráció (NCC)?.
A régiók közötti tárhozzáférés költségkövetkte
Az Azure Databricks kiszolgáló nélküli SQL-raktáraiból érkező régiók közötti forgalom esetén (például a munkaterület az USA keleti régiójában, az ADLS-tároló pedig Nyugat-Európában található), az Azure Databricks egy Azure NAT Gateway-szolgáltatáson keresztül irányítja át a forgalmat.
Fontos
Ennek a funkciónak a használata jelenleg nem jár díjjal. Egy későbbi kiadásban előfordulhat, hogy a használatért díjat számítunk fel. A díjak elkerülése érdekében a Databricks azt javasolja, hogy hozzon létre egy munkaterületet ugyanabban a régióban, mint a tárterület.
Követelmények
A munkaterületnek a Prémium csomagban kell lennie.
Azure Databricks-fiókadminisztrátornak kell lennie.
Minden NCC legfeljebb 50 munkaterülethez csatolható.
Minden Azure Databricks-fiók régiónként legfeljebb 10 NPC-vel rendelkezhet.
- Hozzáféréssel kell rendelkeznie
WRITE
az Azure Storage-fiók hálózati szabályaihoz.
- Hozzáféréssel kell rendelkeznie
1. lépés: Hálózati kapcsolati konfiguráció létrehozása és alhálózati azonosítók másolása
A Databricks javasolja az NCC-k megosztását ugyanazon üzleti egység munkaterületei, valamint az azonos régióval és kapcsolati tulajdonságokkal rendelkező munkaterületek között. Ha például egyes munkaterületek tárolási tűzfalat használnak, más munkaterületek pedig a Private Link alternatív megközelítését használják, akkor ezekhez a használati esetekhez használjon külön NPC-ket.
- Fiókadminisztrátorként lépjen a fiókkonzolra.
- Az oldalsávon kattintson a Felhőerőforrások elemre.
- Kattintson a Hálózati Csatlakozás ivity Configuration (Hálózati Csatlakozás ivity Configuration) elemre.
- Kattintson a Hálózati Csatlakozás ivity-konfigurációk hozzáadása elemre.
- Írja be az NCC nevét.
- Válassza ki a régiót. Ennek meg kell egyeznie a munkaterület régiójával.
- Kattintson a Hozzáadás gombra.
- Az NCC-k listájában kattintson az új NCC-re.
- A Hálózati identitások alapértelmezett szabályok területén kattintson az Összes megtekintése elemre.
- A párbeszédpanelen kattintson az Alhálózatok másolása gombra, és mentse az alhálózatok listáját.
- Kattintson a Bezárás gombra.
3. lépés: NCC csatolása munkaterületekhez
Az NCC legfeljebb 50 munkaterülethez csatolható ugyanabban a régióban, mint az NCC.
Ha az API használatával szeretne NCC-t csatolni egy munkaterülethez, tekintse meg a Fiók-munkaterületek API-t.
- A fiókkonzol oldalsávján kattintson a Munkaterületek elemre.
- Kattintson a munkaterület nevére.
- Kattintson a Munkaterület frissítése elemre.
- A Hálózati Csatlakozás ivity Config mezőben válassza ki az NCC-t. Ha nem látható, ellenőrizze, hogy ugyanazt a régiót választotta-e a munkaterülethez és az NCC-hez is.
- Kattintson a Frissítés lehetőségre.
- Várjon 10 percet, amíg a módosítás érvénybe lép.
- Indítsa újra a munkaterületen futó kiszolgáló nélküli SQL-raktárakat.
Ha ezzel a funkcióval csatlakozik a munkaterület tárfiókjához, a konfiguráció befejeződött. A rendszer automatikusan hozzáadja a hálózati szabályokat a munkaterület tárfiókjába. További tárfiókok esetén folytassa a következő lépésben.
3. lépés: Tárfiók zárolása
Ha még nem korlátozta az Azure Storage-fiókhoz való hozzáférést csak a felsorolt hálózatok engedélyezésére, tegye meg most. Ezt a lépést nem kell elvégeznie a munkaterület tárfiókja esetében.
A tárolási tűzfal létrehozása hatással van a klasszikus számítási sík és az erőforrások közötti kapcsolatra is. Hálózati szabályokat is hozzá kell adnia a tárfiókokhoz való csatlakozáshoz a klasszikus számítási erőforrásokból.
- Nyissa meg az Azure Portalt.
- Keresse meg az adatforrás tárfiókját.
- A bal oldali navigációs sávon kattintson a Hálózatkezelés elemre.
- A nyilvános hálózati hozzáférés mezőben ellenőrizze az értéket. Alapértelmezés szerint az érték engedélyezve van az összes hálózatból. Módosítsa ezt engedélyezve a kijelölt virtuális hálózatokról és IP-címekről.
4. lépés: Azure Storage-fiók hálózati szabályainak hozzáadása
Ezt a lépést nem kell elvégeznie a munkaterület tárfiókja esetében.
Adjon hozzá egy Azure Storage-fiók hálózati szabályt minden alhálózathoz. Ezt az Azure CLI, a PowerShell, a Terraform vagy más automatizálási eszközök használatával teheti meg. Vegye figyelembe, hogy ez a lépés nem végezhető el az Azure Portal felhasználói felületén.
Az alábbi példa az Azure CLI-t használja:
az storage account network-rule add --subscription "<sub>" \ --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
- Cserélje le
<sub>
a tárfiókhoz tartozó Azure-előfizetés nevére. - Cserélje le
<res>
a tárfiók erőforráscsoportjára. - Cserélje le
<account>
a tárfiók nevére - Cserélje le
<subnet>
a kiszolgáló nélküli SQL Warehouse-alhálózat ARM-erőforrás-azonosítójára (resourceId
).
Az összes parancs futtatása után az Azure Portalon megtekintheti a tárfiókot, és ellenőrizheti, hogy van-e olyan bejegyzés a Virtuális hálózatok táblában, amely az új alhálózatot jelöli. Az Azure Portalon azonban nem módosíthatja a hálózati szabályokat.
Tipp.
Hagyja figyelmen kívül az "Elégtelen engedélyek" szót a végpont állapotoszlopában vagy a hálózati lista alatti figyelmeztetésben. Csak azt jelzik, hogy nincs engedélye az Azure Databricks-alhálózatok olvasására, de nem zavarja, hogy az Azure Databricks kiszolgáló nélküli alhálózata kapcsolatba léphet az Azure Storage-nal.
- Cserélje le
Ismételje meg ezt a parancsot minden alhálózat esetében egyszer. A hálózati szabály létrehozásának folyamatát igény szerint automatizálhatja. Lásd: A hálózati szabály létrehozásának automatizálása.
Annak ellenőrzéséhez, hogy a tárfiók használja-e ezeket a beállításokat az Azure Portalról, lépjen a tárfiók hálózatkezelésére .
Ellenőrizze, hogy a nyilvános hálózati hozzáférés engedélyezve van-e a kiválasztott virtuális hálózatokból, és az IP-címek és az engedélyezett hálózatok a Virtuális hálózatok szakaszban jelennek meg.
A hálózati szabály létrehozásának automatizálása
A tárfiók hálózati szabályának létrehozását automatizálhatja az Azure CLI vagy a PowerShell használatával.
Ez az Azure CLI-példa két alhálózatot használ egy listában, amelyeket hurokkal használhat az egyes alhálózatok parancsainak futtatásához. Ebben a példában mystorage-rg
az erőforráscsoport, és myaccount
a tárfiók.
#!/bin/bash
SUBNETS=(/subscriptions/8453a5d5-9e9e-40c7-87a4-0ab4cc197f48/resourceGroups/prod-azure-eastusc3-nephos2/providers/Microsoft.Network/virtualNetworks/kaas-vnet/subnets/worker-subnet /subscriptions/8453a5d5-9e9e-40c7-87a4-0ab4cc197f48/resourceGroups/prod-azure-eastusc3-nephos3/providers/Microsoft.Network/virtualNetworks/kaas-vnet/subnets/worker-subnet)
for SUBNET in ${SUBNETS[@]}
do
az storage account network-rule add --subscription 9999999-1ff3-43f4-b91e-d0ceb97111111 --resource-group mystorage-rg --account-name myaccount --subnet ${SUBNET}
done
A PowerShell használatához használja a következő parancsot:
Add-AzStorageAccountNetworkRule -ResourceGroupName <resource group name> -Name <storage account name> -VirtualNetworkResourceId <subnets>
Csere:
<resource group name>
a tárfiók erőforráscsoportjával.<storage account name>
a tárfiókja nevére.<subnets>
az alhálózati erőforrásazonosítók vesszővel elválasztott listájával.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: