通过

配置 VNet 中资源的私密连接

重要

此功能目前以公共预览版提供。

重要

从 2024 年 12 月 4 日起,Azure Databricks 开始收取与连接到客户资源的无服务器工作负荷相关的网络成本。 目前将根据你使用的资源按每小时收取专用终结点费用。 将无限期免除专用链接连接的数据处理费用。 其他网络成本的计费将逐步推出,包括:

  • 公共连接到你的资源,例如通过 NAT 网关。
  • 数据传输费用,例如,当无服务器计算和目标资源驻留在不同的区域中时。

费用不会追溯征收。

请参阅 了解 Databricks 无服务器网络成本

本页介绍如何使用 Azure Databricks 帐户控制台 UI 通过标准负载均衡器(SLB)配置从无服务器计算到虚拟网络中的资源(VNet)的专用链接连接

为无服务器计算配置专用连接提供:

  • 专用且私密的连接: 您的专用终结点专门绑定到您的 Azure Databricks 帐户,确保仅授权的工作区可以访问 VNet 资源。 这将创建一个安全的专用信道。
  • 增强的数据外泄缓解措施: 尽管具有 Unity 目录的 Azure Databricks 无服务器提供内置的数据外泄保护,但专用链接提供了额外的网络防御层。 通过将 VNet 资源置于专用子网中并通过专用终结点控制访问,可以显著降低在受控网络环境外未经授权的数据移动的风险。

要求

  • 工作区位于 企业计划中
  • 你是 Azure Databricks 帐户的帐户管理员。
  • 至少在启用了专用连接的区域中部署了一个活动无服务器工作区。 有关支持的区域,请参阅无服务器可用性
  • SLB 具有虚拟网络和子网,资源位于此子网中。

步骤 1:创建 SLB

在 Azure 中创建一个标准负载均衡器,用作 VNet 资源的前端。 此 SLB 被连接到您的专用链路服务。

若要创建 SLB,请按照 Azure 快速入门中的说明作 :使用 Azure 门户创建标准负载均衡器。 完成以下内容:

  1. 创建负载均衡器资源。
  2. 添加前端 IP 配置: 这是专用链接服务的入口点。
  3. 添加后端池: 此池将包含 VNet 资源的 IP 地址。
  4. 创建运行状况探测: 配置运行状况探测以监视后端资源的可用性。
  5. 添加负载均衡规则: 定义将传入流量分配到后端池的规则。

您必须创建一个专用链接服务,以便安全地将您的 SLB 暴露给您的专用端点。 确保在 SLB 所在的同一区域中 创建专用链接服务。

有关说明,请参阅 Azure 文档: 使用 Azure 门户创建专用链接服务

步骤 3:创建或使用现有的网络连接配置 (NCC) 对象

Azure Databricks 中的 NCC 对象定义工作区的专用连接设置。 如果已创建 NCC,请跳过此步骤。 创建 NCC 对象:

  1. 作为帐户管理员,请转到帐户控制台。
  2. 在边栏中,单击云资源
  3. 单击“ 网络”。
  4. 单击“网络连接配置”
  5. 单击“ 添加网络连接配置”。
  6. 键入 NCC 的名称。
  7. 选择区域。 这必须与你的工作空间地区匹配。
  8. 单击 添加

步骤 4:创建专用终结点

此步骤将专用链接服务链接到 Azure Databricks NCC。 要想创建专用终结点,请执行以下步骤:

  1. 帐户控制台中,单击 “云资源”。
  2. 单击“ 网络连接配置”。
  3. 选择在步骤 3 中创建的 NCC 对象。
  4. “专用终结点规则 ”选项卡中,单击“ 添加专用终结点规则”。
  5. Azure 资源 ID 字段中,粘贴专用链接服务的完整资源 ID。 可以在专用链接服务的 “概述 ”页上的 Azure 门户中找到此 ID。 示例 ID: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
  6. 在“ 域名 ”字段中,添加 VNet 资源将使用的自定义域名。 这些域名应映射到 SLB 后端池中的 IP 配置。
  7. 单击 添加
  8. 确认新添加的专用终结点 规则的状态列PENDING

注释

将域添加为 PrivateLink 条目后,它们会在网络策略中被默认允许。 删除域或删除专用终结点时,可能需要长达 24 小时才能更新网络策略。 请参阅 管理无服务器出口控制的网络策略

步骤 5:接受你的资源中的专用终结点

在 Databricks 中创建专用终结点规则后,必须在 Azure 门户中批准连接请求。 批准连接:

  1. 从 Azure 门户导航到 专用链接中心
  2. 选择 “专用链接服务”。
  3. 查找并选择与 SLB 关联的专用链接服务。
  4. “设置”下的左侧栏中,选择 “专用终结点连接”。
  5. 选择待处理的专用终结点。
  6. 单击“ 批准 ”接受连接。
  7. 出现提示时,选择“ ”。
  8. 批准后,连接状态应更改为 “已批准”。

连接可能需要 10 分钟才能完全建立。

步骤 6:确认专用终结点状态

验证是否已从 Azure Databricks 端成功建立专用终结点连接。 请确认连接:

  1. 刷新 Azure Databricks 帐户控制台中的 “网络连接配置 ”页。
  2. “专用终结点规则”选项卡上,确认新专用终结点的“状态”列为ESTABLISHED

步骤 7:将 NCC 附加到一个或多个工作区

此步骤将配置的专用连接与 Azure Databricks 无服务器工作区相关联。 如果工作区已附加到所需的 NCC,请跳过此步骤。 将 NCC 附加到工作区:

  1. 在左侧导航中导航到 工作区
  2. 选择现有工作区。
  3. 选择 “更新工作区”。
  4. “网络连接配置”下,选择下拉列表,然后选择已创建的 NCC。
  5. 对想要应用此 NCC 的所有工作区重复上述步骤。

注释

NCC 是区域性的对象,只能附加到同一区域内的工作区。

后续步骤

  • 配置与 Azure 资源的专用连接:使用专用链接从虚拟网络建立对 Azure 服务的安全隔离访问,从而绕过公共 Internet。 请参阅 配置与 Azure 资源的专用连接
  • 管理专用终结点规则:通过定义允许或拒绝连接的特定规则来控制传入和传出 Azure 专用终结点的网络流量。 请参阅管理专用终结点
  • 为无服务器计算访问配置防火墙:实现防火墙,以限制和保护无服务器计算环境的入站和出站网络连接。 请参阅为无服务器计算访问配置防火墙
  • 了解数据传输和连接成本:数据传输和连接是指将数据移入和移出 Azure Databricks 无服务器环境。 无服务器产品的网络费用仅适用于使用 Azure Databricks 无服务器计算的客户。 请参阅 了解 Databricks 无服务器网络成本