Управление списками доступа к IP-адресам
В этом руководстве представлены списки доступа к IP-адресам для учетной записи и рабочих областей Azure Databricks.
Обзор списков IP-доступа
Примечание.
Для этой функции требуется план "Премиум".
По умолчанию пользователи могут подключаться к Azure Databricks с любого компьютера или IP-адреса. Списки IP-доступа позволяют ограничить доступ к учетной записи и рабочим областям Azure Databricks на основе IP-адреса пользователя. Например, можно настроить списки IP-доступа, чтобы разрешить пользователям подключаться только через существующие корпоративные сети с безопасным периметром. Если внутренняя сеть VPN авторизована, пользователи, которые являются удаленными или путешествующими, могут использовать VPN для подключения к корпоративной сети. Если пользователь пытается подключиться к Azure Databricks из небезопасной сети, например из кафе, доступ блокируется.
Существует два компонента списка ip-адресов:
Списки IP-доступа для консоли учетной записи (общедоступная предварительная версия): администраторы учетных записей могут настроить списки IP-доступа для консоли учетной записи, чтобы пользователи могли подключаться к пользовательскому интерфейсу консоли учетной записи и REST API уровня учетной записи только через набор утвержденных IP-адресов. Владельцы учетных записей и администраторы учетных записей могут использовать пользовательский интерфейс консоли учетной записи или REST API для настройки разрешенных и заблокированных IP-адресов и подсетей. Список доступа к IP-адресам см. в разделе "Настройка списков доступа к IP-адресам" для консоли учетной записи.
Списки IP-доступа для рабочих областей. Администраторы рабочих областей могут настроить списки доступа к IP-адресам для рабочих областей Azure Databricks, чтобы пользователи могли подключаться к рабочей области или API уровня рабочей области только через набор утвержденных IP-адресов. Администраторы рабочей области используют REST API для настройки разрешенных и заблокированных IP-адресов и подсетей. См . статью "Настройка списков IP-доступа для рабочих областей".
Примечание.
Если вы используете Приватный канал, списки доступа к IP-адресам применяются только к запросам через Интернет (общедоступные IP-адреса). Частные IP-адреса из Приватный канал трафика не могут быть заблокированы списками доступа к IP-адресам. Чтобы управлять доступом к Azure Databricks с помощью приватного канала, можно проверка, какие частные конечные точки были созданы, см. раздел "Включить Приватный канал Azure серверных и интерфейсных подключений".
Как проверка доступ?
Функция списков IP-адресов позволяет настроить списки разрешений и списки блокировок для консоли учетной записи Azure Databricks и рабочих областей:
- Списки разрешений содержат набор IP-адресов в общедоступном Интернете, которым разрешен доступ. Разрешить несколько IP-адресов явным образом или как целые подсети (например
216.58.195.78/28). - Списки блокировок содержат IP-адреса или подсети для блокировки, даже если они включены в список разрешений. Можно использовать эту функцию, если разрешенный диапазон IP-адресов может включать в себя меньший диапазон IP-адресов инфраструктуры, которая на практике находится за пределами фактического периметра защищенной сети.
При попытке установить подключение:
- Сначала проверяются все списки блокировок. Если IP-адрес подключения соответствует какому-либо списку блокировок, соединение отклоняется.
- Если соединение не было отклонено списками блокировки, IP-адрес сравнивается с списками разрешений. Если есть хотя бы один список разрешений, подключение разрешено только в том случае, если IP-адрес соответствует списку разрешений. Если списки разрешений отсутствуют, разрешены все IP-адреса.
Если функция отключена, доступ к вашей учетной записи или рабочей области разрешен.
Для всех списков разрешений и списков блокировок в сочетании консоль учетной записи поддерживает не более 1000 значений IP/CIDR, где одно значение CIDR считается одним значением.
Изменения списков IP-доступа могут занять несколько минут.