A fürtkapcsolat védelmének biztosítása (nyilvános IP-/NPIP-címek nélkül)

Ha a biztonságos fürtkapcsolat engedélyezve van, az ügyfelek virtuális hálózata nem rendelkezik nyitott portokkal, Databricks Runtime fürtcsomópontok nem rendelkeznek nyilvános IP-címmel. A biztonságos fürtkapcsolat más néven Nincs nyilvános IP-cím (NPIP).

  • Hálózati szinten minden fürt kapcsolatot kezdeményez a vezérlősík biztonságos fürtkapcsolat-továbbítóhoz a fürt létrehozása során. A fürt a 443-as (HTTPS) port használatával hozza létre ezt a kapcsolatot, és más IP-címet használ, mint a webalkalmazás és a REST API.
  • Amikor a vezérlősík logikailag elindítja az új Databricks Runtime feladatokat, vagy egyéb fürtfelügyeleti feladatokat hajt végre, ezeket a kéréseket a rendszer ezen a fordított alagúton keresztül küldi el a fürtnek.
  • Az adatsík (a VNet) nem rendelkezik nyitott portokkal, és Databricks Runtime fürtcsomópontok nem rendelkeznek nyilvános IP-címmel.

Előnyök:

  • Egyszerű hálózatfelügyelet, biztonsági csoportok portjainak konfigurálása és hálózati társviszony konfigurálása nélkül.
  • A fokozott biztonság és az egyszerű hálózatfelügyelet által az információbiztonsági csapatok felgyorsítják a Databricks PaaS-szolgáltatóként való jóváhagyását.

Megjegyzés

Az Azure Databricks virtuális hálózat és az Azure Databricks vezérlősík közötti hálózati forgalom a Microsofthálózatának gerinchálózatán, és nem a nyilvános interneten halad át. Ez akkor is igaz, ha a biztonságos fürtkapcsolat le van tiltva.

Secure cluster connectivity

Biztonságos fürtkapcsolat használata

Ha biztonságos fürtkapcsolatot Azure Databricks új munkaterülettel, használja az alábbi lehetőségek valamelyikét.

  • Azure Portal: A munkaterület kiépítésekor válassza a Hálózat lapfület, és állítsa a Deploy Azure Databricks workspace with Secure Cluster Connectivity (No Public IP) (Biztonságos fürtkapcsolat (nincs nyilvános IP-cím) beállítását Igen lehetőségre.
  • ARM-sablonok: Az új munkaterületet létrehozó erőforráshoz állítsa a logikai paramétert a Microsoft.Databricks/workspacesenableNoPublicIptrue következőre: .

Fontos

Mindkét esetben regisztrálnia kell az Azure-erőforrás-szolgáltatót abban az Azure-előfizetésben, amely biztonságos fürtkapcsolattal rendelkezik Microsoft.ManagedIdentity a munkaterületek indításához. Ez előfizetésenként egyszeres művelet. Útmutatásért lásd: Azure erőforrás-szolgáltatók és -típusok.

Nem adhat hozzá biztonságos fürtkapcsolatot egy meglévő munkaterülethez. Az erőforrások új munkaterületre való áttelepítésével kapcsolatos információkért lépjen kapcsolatba a Microsoft vagy a Databricks-fiók csapatával a részletekért.

HA ARM-sablonokat használ, adja hozzá a paramétert az alábbi sablonok egyikéhez Azure Databricks annak alapján, hogy létre szeretne-e hozni egy alapértelmezett (felügyelt) virtuális hálózatot a munkaterülethez, vagy saját virtuális hálózatot szeretne használni, más néven ’’ A VNet-injektálás egy opcionális funkció, amely lehetővé teszi, hogy saját VNetet biztosítson az új virtuális Azure Databricks számára.

Egress munkaterület alhálózataiból

Ha engedélyezi a biztonságos fürtkapcsolatot, a munkaterület mindkét alhálózata privát alhálózat, mivel a fürtcsomópontoknak nincs nyilvános IP-címe.

A hálózati forgalom implementálásának részletei attól függően változnak, hogy az alapértelmezett (felügyelt) virtuális hálózatot használja, vagy a választható VNet-injektálás funkcióval biztosít saját VNetet a munkaterület üzembe helyezéséhez. További részleteket az alábbi szakaszokban talál.

Fontos

A biztonságos fürtkapcsolat használata esetén további költségek merülhetnek fel a megnövekedett bejövő forgalom miatt. A költségoptimal módon optimalizált megoldást igény bíró kisebb szervezeteknél elfogadható lehet letiltani a biztonságos fürtkapcsolatot a munkaterület üzembe helyezésekor. A legbiztonságosabb üzembe helyezéshez azonban a Microsoft és a Databricks erősen ajánlott engedélyezni a biztonságos fürtkapcsolatot.

Egress (felügyelt) virtuális hálózat beállítása

Ha biztonságos fürtkapcsolatot használ az Azure Databricks által létrehozott alapértelmezett virtuális hálózattal, a Azure Databricks automatikusan létrehoz egy NAT-átjárót a munkaterület alhálózatai és az Azure gerinchálózata és a nyilvános hálózat kimenő forgalmához. A NAT-átjáró a felügyelt erőforráscsoportban jön létre, amelyet a Azure Databricks. Ezt az erőforráscsoportot vagy a benne kiépített erőforrásokat nem módosíthatja.

Az automatikusan létrehozott NAT-átjáró további költségeket is jár.

Egress VNet-injektálással

Ha biztonságos fürtkapcsolatot és opcionális VNet-injektálást használ a saját virtuális hálózata biztosításához, győződjön meg arról, hogy a munkaterület stabil, bejövő nyilvános IP-címmel rendelkezik, és válasszon az alábbi lehetőségek közül:

  • Egyszerű üzembe helyezések esetén válasszon egy kimenő terheléselosztást( más néven kimenő terheléselosztást). A terheléselosztás ’’ a terheléselosztási Azure Databricks. A fürtök nyilvános IP-címe stabil, de az egyéni bejövő forgalomra vonatkozó beállítások nem módosíthatók. Ez a csak Azure-sablonnal használható megoldás a következő követelményekkel rendelkezik:
    • Azure Databricks további mezőket vár a munkaterületet létrehozó ARM-sablonhoz: (terheléselosztás neve), (terheléselosztási háttérkészlet neve), (terheléselosztási előtere konfigurációjának neve) és loadBalancerNameloadBalancerBackendPoolNameloadBalancerFrontendConfigNameloadBalancerPublicIpName (terheléselosztás nyilvános IP-címe).
    • Azure Databricks erőforrás paraméterekkel (terheléselosztási azonosító) és (terheléselosztási háttérkészlet Microsoft.Databricks/workspacesloadBalancerIdloadBalancerBackendPoolName neve) rendelkezik.
    • Azure Databricks nem támogatja a terheléselosztás konfigurációjának megváltoztatását.
  • Az olyan üzemelő példányok esetén, amelyek valamilyen testreszabást is biztosítanak, válasszon egy Azure NAT-átjárót. Konfigurálja az átjárót a munkaterület mindkét alhálózatán, hogy az Azure gerinchálózatához és a nyilvános hálózathoz irányuló összes kimenő forgalom ’ áthaladzon rajta. A fürtöknek stabil a bejövő forgalom nyilvános IP-címe, és módosíthatja az egyéni bejövő forgalom igényeinek megfelelő konfigurációt. Ezt a megoldást megvalósíthatja egy Azure-sablonnal vagy a Azure Portal.
  • Az összetett útválasztási követelményekkel vagy kimenő tűzfallal VNet-injektálást (például Azure Firewall- vagy más egyéni hálózati architektúrákkal) használó üzemelő példányok esetén használhat felhasználó által megadott útvonalaknak (UDRs) nevezett egyéni útvonalakat. Az adatvégpont-leágazók biztosítják, hogy a hálózati forgalom megfelelően legyen irányítva a munkaterületen, közvetlenül a szükséges végpontokra vagy egy bejövő tűzfalon keresztül. Ha ilyen megoldást használ, közvetlen útvonalakat vagy engedélyezett tűzfalszabályokat kell hozzáadnia a Azure Databricks biztonságos fürtkapcsolat-továbbítóhoz és az egyéb szükséges végpontokhoz, amelyek a felhasználó által megadott útvonalbeállítások között szerepelnek a Azure Databricks.