Konfigurace brány firewall pro bezserverový výpočetní přístup

Tento článek popisuje, jak nakonfigurovat bránu firewall úložiště Azure pro bezserverové výpočetní prostředky pomocí uživatelského rozhraní konzoly účtu Azure Databricks. Můžete také použít rozhraní API konfigurace připojení k síti.

Pokud chcete nakonfigurovat privátní koncový bod pro bezserverový výpočetní přístup, přečtěte si téma Konfigurace privátního připojení z bezserverového výpočetního prostředí.

Poznámka:

Za funkce bez serveru se v současné době neúčtují žádné poplatky za sítě. V pozdější verzi se vám můžou účtovat poplatky. Azure Databricks poskytne předběžné oznámení o změnách cen sítí.

Přehled povolení brány firewall pro bezserverové výpočetní prostředky

Bezserverové síťové připojení se spravuje pomocí konfigurací připojení k síti (NCCS). Správci účtů vytvářejí síťové adaptéry v konzole účtu a NCC je možné připojit k jednomu nebo více pracovním prostorům.

NCC obsahuje seznam síťových identit pro typ prostředku Azure jako výchozí pravidla. Když je k pracovnímu prostoru připojená služba NCC, výpočetní prostředky bez serveru v tomto pracovním prostoru používají k připojení prostředku Azure jednu z těchto sítí. Tyto sítě můžete povolit v bráně firewall prostředků Azure. Pokud máte brány firewall prostředků Azure mimo úložiště, obraťte se na tým účtu s informacemi o tom, jak používat stabilní IP adresy překladu adres (NAT) Azure Databricks.

Povolení brány firewall NCC se podporuje v bezserverových skladech SQL, úlohách, poznámkových blocích, kanálech Delta Live Tables a modelu obsluhujících koncové body procesoru.

Volitelně můžete nakonfigurovat síťový přístup k účtu úložiště pracovního prostoru jenom z autorizovaných sítí, včetně bezserverových výpočetních prostředků. Viz Povolení podpory brány firewall pro váš účet úložiště pracovního prostoru. Při připojení NCC k pracovnímu prostoru se pravidla sítě automaticky přidají do účtu úložiště Azure pro účet úložiště pracovního prostoru.

Další informace o síťových adaptérech najdete v tématu Co je konfigurace síťového připojení (NCC)?.

Náklady na přístup k úložišti mezi oblastmi

Brána firewall se použije jenom v případech, kdy jsou prostředky Azure ve stejné oblasti jako pracovní prostor Azure Databricks. Pro provoz mezi oblastmi z bezserverového výpočetního prostředí Azure Databricks (například pracovní prostor je v oblasti USA – východ a úložiště ADLS je v oblasti Západní Evropa), Azure Databricks směruje provoz přes službu Azure NAT Gateway.

Důležité

Za použití této funkce se v současné době neúčtují žádné poplatky. V pozdější verzi se vám můžou účtovat poplatky za využití. Aby se zabránilo poplatkům za různé oblasti, databricks doporučuje vytvořit pracovní prostor ve stejné oblasti jako vaše úložiště.

Požadavky

  • Váš pracovní prostor musí být v plánu Premium.

  • Musíte být správcem účtu Azure Databricks.

  • Každá NCC je možné připojit až k 50 pracovním prostorům.

  • Každý účet Azure Databricks může mít až 10 síťových adaptérů na oblast.

  • Musíte mít WRITE přístup k síťovým pravidlům účtu úložiště Azure.

Krok 1: Vytvoření konfigurace připojení k síti a kopírování ID podsítě

Databricks doporučuje sdílení síťových adaptérů mezi pracovními prostory ve stejné obchodní jednotce a mezi pracovními prostory, které sdílejí stejnou oblast a vlastnosti připojení. Pokud například některé pracovní prostory používají bránu firewall úložiště a jiné pracovní prostory používají alternativní přístup služby Private Link, použijte pro tyto případy použití samostatné síťové adaptéry.

  1. Jako správce účtu přejděte do konzoly účtu.
  2. Na bočním panelu klikněte na Cloudové prostředky.
  3. Klikněte na Konfigurace síťového připojení.
  4. Klikněte na Přidat konfigurace síťového připojení.
  5. Zadejte název pro NCC.
  6. Zvolte oblast. To musí odpovídat vaší oblasti pracovního prostoru.
  7. Klikněte na tlačítko Přidat.
  8. V seznamu síťových adaptérů klikněte na novou službu NCC.
  9. V části Výchozí pravidla pod síťovými identitami klikněte na Zobrazit vše.
  10. V dialogovém okně klikněte na tlačítko Kopírovat podsítě .
  11. Klepněte na tlačítko Zavřít.

Krok 2: Připojení NCC k pracovním prostorům

NCC můžete připojit až k 50 pracovním prostorům ve stejné oblasti jako NCC.

Pokud chcete rozhraní API použít k připojení NCC k pracovnímu prostoru, podívejte se na rozhraní API pracovních prostorů účtů.

  1. Na bočním panelu konzoly účtu klikněte na Pracovní prostory.
  2. Klikněte na název pracovního prostoru.
  3. Klikněte na Aktualizovat pracovní prostor.
  4. V poli Konfigurace síťového připojení vyberte NCC. Pokud není vidět, ověřte, že jste pro pracovní prostor i NCC vybrali stejnou oblast.
  5. Klikněte na tlačítko Aktualizovat.
  6. Počkejte 10 minut, než se změna projeví.
  7. Restartujte všechny spuštěné výpočetní prostředky bez serveru v pracovním prostoru.

Pokud tuto funkci používáte pro připojení k účtu úložiště pracovního prostoru, konfigurace je dokončená. Pravidla sítě se automaticky přidají do účtu úložiště pracovního prostoru. V případě dalších účtů úložiště pokračujte dalším krokem.

Krok 3: Uzamčení účtu úložiště

Pokud jste ještě neměli omezený přístup k účtu úložiště Azure, abyste povolili jenom sítě uvedené v seznamu, udělejte to teď. Tento krok pro účet úložiště pracovního prostoru nemusíte provádět.

Vytvoření brány firewall úložiště má vliv také na připojení z klasické výpočetní roviny k vašim prostředkům. Musíte také přidat pravidla sítě pro připojení k účtům úložiště z klasických výpočetních prostředků.

  1. Přejděte na Azure Portal.
  2. Přejděte ke svému účtu úložiště pro zdroj dat.
  3. V levém navigačním panelu klikněte na Sítě.
  4. V poli Přístup k veřejné síti zkontrolujte hodnotu. Ve výchozím nastavení je tato hodnota povolená ze všech sítí. Změňte tuto možnost na Povoleno z vybraných virtuálních sítí a IP adres.

Krok 4: Přidání pravidel sítě účtu úložiště Azure

Tento krok pro účet úložiště pracovního prostoru nemusíte provádět.

  1. Přidejte jedno pravidlo sítě účtu úložiště Azure pro každou podsíť. Můžete to udělat pomocí Azure CLI, PowerShellu, Terraformu nebo jiných nástrojů pro automatizaci. Tento krok nelze provést v uživatelském rozhraní webu Azure Portal.

    V následujícím příkladu se používá Azure CLI:

    az storage account network-rule add --subscription "<sub>" \
        --resource-group "<res>" --account-name "<account>" --subnet "<subnet>"
    
    • Nahraďte <sub> názvem předplatného Azure pro účet úložiště.
    • Nahraďte <res> skupinu prostředků vašeho účtu úložiště.
    • Nahraďte <account> názvem účtu úložiště.
    • Nahraďte <subnet> ID prostředku ARM (resourceId) bezserverové výpočetní podsítě.

    Po spuštění všech příkazů můžete pomocí webu Azure Portal zobrazit účet úložiště a ověřit, že v tabulce virtuálních sítí existuje položka, která představuje novou podsíť. Na webu Azure Portal však nemůžete provádět změny pravidel sítě.

    Tip

    • Když přidáte pravidla sítě účtu úložiště, načtěte nejnovější podsítě pomocí rozhraní API pro připojení k síti.
    • Vyhněte se místnímu ukládání informací NCC.
    • Ignorujte zmínku "Nedostatečná oprávnění" ve sloupci stavu koncového bodu nebo upozornění pod seznamem sítí. Značí jenom to, že nemáte oprávnění ke čtení podsítí Azure Databricks, ale nemáte narušovat schopnost této bezserverové podsítě Azure Databricks kontaktovat vaše úložiště Azure.

    Příklad nových položek v seznamu virtuálních sítí

  2. Tento příkaz opakujte jednou pro každou podsíť.

  3. Pokud chcete ověřit, že váš účet úložiště používá tato nastavení na webu Azure Portal, přejděte do části Sítě ve vašem účtu úložiště.

    Ověřte, že je přístup k veřejné síti nastavený na Povoleno z vybraných virtuálních sítí a IP adres a povolených sítí v části Virtuální sítě .