Konfigurace privátního připojení z bezserverového výpočetního prostředí

Tento článek popisuje, jak nakonfigurovat privátní připojení z bezserverového výpočetního prostředí pomocí uživatelského rozhraní konzoly účtu Azure Databricks. Můžete také použít rozhraní API konfigurace připojení k síti.

Pokud prostředek Azure nakonfigurujete tak, aby přijímal pouze připojení z privátních koncových bodů, musí všechna připojení k prostředku z klasických výpočetních prostředků Databricks používat také privátní koncové body.

Pokud chcete nakonfigurovat bránu firewall služby Azure Storage pro bezserverový výpočetní přístup pomocí podsítí, přečtěte si téma Konfigurace brány firewall pro bezserverový výpočetní přístup. Pokud chcete spravovat existující pravidla privátního koncového bodu, přečtěte si téma Správa pravidel privátního koncového bodu.

Poznámka:

Za funkce bez serveru se v současné době neúčtují žádné poplatky za zpracování odchozích a příchozích dat. V pozdější verzi se vám můžou účtovat poplatky. Azure Databricks poskytne předběžné oznámení o změnách cen sítí. Poplatky za koncové body po hodinách zůstanou v platnosti.

Přehled privátního připojení pro bezserverové výpočetní prostředky

Bezserverové síťové připojení se spravuje pomocí konfigurací připojení k síti (NCCS). Správci účtů vytvářejí síťové adaptéry v konzole účtu a NCC je možné připojit k jednomu nebo více pracovním prostorům.

Když do služby NCC přidáte privátní koncový bod, Azure Databricks vytvoří požadavek na privátní koncový bod pro váš prostředek Azure. Jakmile požadavek přijmete na straně prostředku, privátní koncový bod se použije k přístupu k prostředkům z bezserverové výpočetní roviny. Privátní koncový bod je vyhrazený pro váš účet Azure Databricks a je přístupný jenom z autorizovaných pracovních prostorů.

Privátní koncové body NCC jsou podporovány z bezserverových skladů SQL a modelů obsluhujících koncové body.

Poznámka:

Privátní koncové body NCC se podporují jenom pro zdroje dat, které spravujete. Pokud se chcete připojit k účtu úložiště pracovního prostoru, obraťte se na svůj tým účtů Azure Databricks.

Poznámka:

Obsluha modelu používá cestu k úložišti objektů blob Azure ke stažení artefaktů modelu, takže vytvořte privátní koncový bod pro objekt blob ID dílčího prostředku. K protokolování modelů v katalogu Unity z bezserverových poznámkových bloků budete potřebovat DBFS.

Další informace o síťových adaptérech najdete v tématu Co je konfigurace síťového připojení (NCC)?.

Požadavky

  • Váš pracovní prostor musí být v plánu Premium.
  • Musíte být správcem účtu Azure Databricks.
  • Každý účet Azure Databricks může mít až 10 síťových adaptérů na oblast.
  • Každá oblast může mít 100 privátních koncových bodů distribuovaných podle potřeby napříč 1 až 10 síťovými adaptéry.
  • Každá NCC je možné připojit až k 50 pracovním prostorům.

Krok 1: Vytvoření konfigurace připojení k síti

Databricks doporučuje sdílení NCC mezi pracovními prostory ve stejné organizační jednotce a těmi, kteří sdílejí stejné vlastnosti připojení k oblasti. Pokud například některé pracovní prostory používají Private Link a jiné pracovní prostory povolení brány firewall, použijte pro tyto případy použití samostatné síťové adaptéry.

  1. Jako správce účtu přejděte do konzoly účtu.
  2. Na bočním panelu klikněte na Cloudové prostředky.
  3. Klikněte na Konfigurace připojení k síti.
  4. Klikněte na Přidat konfiguraci síťového připojení.
  5. Zadejte název pro NCC.
  6. Zvolte oblast. To musí odpovídat vaší oblasti pracovního prostoru.
  7. Klikněte na tlačítko Přidat.

Krok 2: Připojení NCC k pracovnímu prostoru

  1. Na bočním panelu konzoly účtu klikněte na Pracovní prostory.
  2. Klikněte na název pracovního prostoru.
  3. Klikněte na Aktualizovat pracovní prostor.
  4. V poli Konfigurace síťového připojení vyberte NCC. Pokud není vidět, ověřte, že jste pro pracovní prostor i NCC vybrali stejnou oblast Azure.
  5. Klikněte na tlačítko Aktualizovat.
  6. Počkejte 10 minut, než se změna projeví.
  7. Restartujte všechny spuštěné bezserverové sklady SQL v pracovním prostoru.

Krok 3: Vytvoření pravidel privátního koncového bodu

Pro každý prostředek Azure musíte ve své službě NCC vytvořit pravidlo privátního koncového bodu.

  1. Získejte seznam ID prostředků Azure pro všechny vaše cíle.

    1. Na jiné kartě prohlížeče přejděte na webu Azure Portal k účtu Azure Storage vašeho zdroje dat.
    2. Na stránce Přehled se podívejte do části Základy .
    3. Klikněte na odkaz zobrazení JSON. ID prostředku pro účet úložiště se zobrazí v horní části stránky.
    4. Zkopírujte toto ID prostředku do jiného umístění. Opakujte pro všechny cíle.
  2. Přepněte zpět na kartu prohlížeče konzoly účtu.

  3. Na bočním panelu klikněte na Cloudové prostředky.

  4. Klikněte na Konfigurace připojení k síti.

  5. Vyberte NCC, kterou jste vytvořili v kroku 1.

  6. V pravidlech privátního koncového bodu klikněte na přidat pravidlo privátního koncového bodu.

  7. Do pole ID cílového prostředku Azure vložte ID prostředku pro váš prostředek.

  8. V poli ID podsourcu Azure ho nastavte na hodnotu podsourcu podle následující tabulky. Každé pravidlo privátního koncového bodu musí používat jiné ID podsourcu.

    Typ cíle ID podsourcu Azure
    Blob Storage blob
    Úložiště ADLS dfs
    Azure SQL (Pokud chcete jako cíl použít Azure SQL, musíte vytvořit pravidlo privátního koncového bodu pomocí rozhraní API pro připojení k síti). sqlServer
  9. Klikněte na tlačítko Přidat.

  10. Počkejte několik minut, dokud nebudou mít všechna pravidla koncového bodu stav PENDING.

Krok 4: Schválení nových privátních koncových bodů vašich prostředků

Koncové body se neprojeví, dokud správce s právy k prostředku neschválí nový privátní koncový bod. Pokud chcete schválit privátní koncový bod pomocí webu Azure Portal, postupujte takto:

  1. Na webu Azure Portal přejděte k vašemu prostředku.

  2. Na bočním panelu klikněte na Položku Sítě.

  3. Klikněte na připojení privátního koncového bodu.

  4. Klikněte na kartu Soukromý přístup .

  5. V části Připojení privátního koncového bodu zkontrolujte seznam privátních koncových bodů.

  6. Klikněte na zaškrtávací políčko vedle každého, který chcete schválit, a klikněte na tlačítko Schválit nad seznamem.

  7. Vraťte se do služby NCC v Azure Databricks a aktualizujte stránku prohlížeče, dokud nebudou mít všechna pravidla koncového bodu stav ESTABLISHED.

    Seznam privátních koncových bodů

(Volitelné) Krok 5: Nastavení účtu úložiště tak, aby nepovolil přístup k veřejné síti

Pokud jste ještě neměli omezený přístup k účtu úložiště Azure, abyste povolili jenom sítě uvedené v seznamu, můžete to udělat.

  1. Přejděte na Azure Portal.
  2. Přejděte ke svému účtu úložiště pro zdroj dat.
  3. Na bočním panelu klikněte na Položku Sítě.
  4. V poli Přístup k veřejné síti zkontrolujte hodnotu. Ve výchozím nastavení je tato hodnota povolená ze všech sítí. Změňte tuto možnost na Zakázáno.

Krok 6: Restartování bezserverových skladů SQL a otestování připojení

  1. Po předchozím kroku počkejte pět dalších minut, než se změny rozšíří.
  2. Restartujte všechny spuštěné bezserverové sklady SQL v pracovních prostorech, ke kterým je připojená služba NCC. Pokud nemáte spuštěné bezserverové sklady SQL, spusťte ho teď.
  3. Ověřte, že se všechny sklady SQL úspěšně spustily.
  4. Spusťte alespoň jeden dotaz na zdroj dat, abyste potvrdili, že bezserverový SQL Warehouse se může spojit s vaším zdrojem dat.