Aktivieren von Azure Private Link Back-End- und Front-End-Verbindungen

In diesem Artikel wird zusammengefasst, wie Sie Azure Private Link verwenden, um private Konnektivität zwischen Benutzern und ihren Databricks-Arbeitsbereichen sowie zwischen Clustern auf der klassischen Compute-Ebene und den Kerndiensten auf der Steuerungsebene innerhalb der Databricks-Arbeitsbereichsinfrastruktur zu ermöglichen.

Informationen zum Ändern der Netzwerkzugriffs für serverlose SQL-Warehouses finden Sie unter Konfigurieren der privaten Konnektivität von serverlosem Compute.

Übersicht

Private Link bietet private Konnektivität von Azure-VNets und lokalen Netzwerken zu Azure-Diensten, ohne den Datenverkehr dem öffentlichen Netzwerk auszusetzen. Azure Databricks unterstützt die folgenden Private Link-Verbindungstypen:

  • Front-End-Private Link, auch als Benutzer zu Arbeitsbereich bezeichnet: Eine Front-End-Private Link-Verbindung ermöglicht Benutzern das Herstellen einer Verbindung mit der Azure Databricks-Webanwendung, REST-API und Databricks Connect-API über einen VNet-Schnittstellenendpunkt. Die Front-End-Verbindung wird ebenfalls von JDBC-/ODBC- und Power BI-Integrationen verwendet. Der Netzwerkdatenverkehr für eine Front-End-Verbindung von Private Link zwischen einem Transit-VNet und der Azure Databricks-Steuerungsebene des Arbeitsbereichs durchläuft das Backbonenetzwerk von Microsoft.
  • Back-End-Private Link, auch als Compute-Ebene zur Steuerungsebene bezeichnet: Databricks Runtime-Cluster in einem kundenseitig verwalteten VNet (die Compute-Ebene) stellen eine Verbindung mit den Kerndiensten eines Azure Databricks-Arbeitsbereichs (die Steuerungsebene) im Azure Databricks-Cloudkonto her. Dies ermöglicht private Verbindungen von den Clustern zum Relay-Endpunkt zur Konnektivität für sichere Cluster und zum REST-API-Endpunkt.
  • Privater Browserauthentifizierungsendpunkt: Um private Front-End-Verbindungen mit der Azure Databricks-Webanwendung für Clients ohne öffentliche Internetverbindung zu unterstützen, müssen Sie einen privaten Browserauthentifizierungsendpunkt hinzufügen, sodass SSO-Anmelderückrufe für die Azure Databricks-Webanwendung aus Microsoft Entra ID unterstützt werden. Wenn Sie Verbindungen von Ihrem Netzwerk zum öffentlichen Internet zulassen, wird das Hinzufügen eines privaten Browserauthentifizierungsendpunkts empfohlen, ist jedoch nicht erforderlich. Ein privater Browserauthentifizierungsendpunkt ist eine private Verbindung mit dem Unterressourcentyp browser_authentication.

Wenn Sie Private Link sowohl für Front-End- als auch für Back-End-Verbindungen implementieren, können Sie optional private Konnektivität für den Arbeitsbereich vorschreiben, was bedeutet, dass Azure Databricks alle Verbindungen über das öffentliche Netzwerk ablehnt. Wenn Sie die Implementierung von Front-End- oder Back-End-Verbindungstypen ablehnen, können Sie diese Anforderung nicht erzwingen.

Unity Catalog-Beispieldatasets und Azure Databricks-Datasets sind nicht verfügbar, wenn Back-End Private Link konfiguriert ist. Siehe Beispieldatasets.

In diesem Artikel geht es hauptsächlich um das Erstellen eines neuen Arbeitsbereichs, Sie können Private Link aber für einen vorhandenen Arbeitsbereich aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren von Azure Private Link in einem vorhandenen Arbeitsbereich.

Begriff

In der folgenden Tabelle werden wichtige Begriffe beschrieben.

Begriff BESCHREIBUNG
Azure Private Link Eine Azure-Technologie, die private Konnektivität von Azure-VNets und lokalen Netzwerken zu Azure-Diensten bereitstellt, ohne den Datenverkehr dem öffentlichen Netzwerk auszusetzen.
Azure Private Link-Dienst Ein Dienst, der das Ziel einer Private Link-Verbindung sein kann. Jede Instanz der Azure Databricks-Steuerungsebene veröffentlicht einen Azure Private Link-Dienst.
Azure privater Endpunkt Ein privater Azure-Endpunkt ermöglicht eine private Verbindung zwischen einem VNet und einem Private Link-Dienst. Für die Front-End- und Back-End-Konnektivität ist das Ziel eines privaten Azure-Endpunkts die Azure Databricks-Steuerungsebene.

Allgemeine Informationen zu privaten Endpunkten finden Sie im Microsoft-Artikel Was ist ein privater Endpunkt?.

Auswählen der Standardbereitstellung oder der vereinfachten Bereitstellung

Es gibt zwei Arten von Private Link-Bereitstellung, die Azure Databricks unterstützt, und Sie müssen eine auswählen:

  • Standardbereitstellung (empfohlen): Für höhere Sicherheit empfiehlt Databricks die Verwendung eines separaten privaten Endpunkts für Ihre Front-End-Verbindung von einem separaten Transit-VNet. Sie können sowohl Front-End- als auch Back-End-Private Link-Verbindungen implementieren oder nur die Back-End-Verbindung. Verwenden Sie ein separates VNet, um den Benutzerzugriff zu kapseln. Es muss getrennt vom VNet sein, das Sie für Ihre Computeressourcen in der klassischen Compute-Ebene verwenden. Erstellen Sie separate Private Link-Endpunkte für den Back-End- und Front-End-Zugriff. Befolgen Sie die Anweisungen unter Aktivieren von Azure Private Link als Standardbereitstellung.
  • Vereinfachte Bereitstellung: Einige Organisationen können die Standardbereitstellung aus verschiedenen Gründen im Zusammenhang mit Netzwerkrichtlinien nicht verwenden, z. B. weil sie nicht mehr als einen privaten Endpunkt oder keine separaten Transit-VNets zulassen. Alternativ können Sie die vereinfachte Private Link-Bereitstellung verwenden. Kein separates VNet trennt den Benutzerzugriff von dem VNet, das Sie für Ihre Computeressourcen in der klassischen Computeebene verwenden. Stattdessen wird für den Benutzerzugriff ein Transitsubnetz im VNet der Computeebene verwendet. Es gibt nur einen einzelnen Private Link-Endpunkt. In der Regel wird sowohl Front-End- als auch Back-End-Konnektivität konfiguriert. Sie können optional nur die Back-End-Verbindung konfigurieren. Es ist bei diesem Bereitstellungstyp nicht möglich, nur die Front-End-Verbindungen zu verwenden. Befolgen Sie die Anweisungen unter Aktivieren von Azure Private Link als vereinfachte Bereitstellung.

Requirements (Anforderungen)

Azure-Abonnement

Ihr Azure Databricks-Arbeitsbereich muss sich im Premium-Tarif befinden.

Netzwerkarchitektur des Azure Databricks-Arbeitsbereichs

  • Ihr Azure Databricks-Arbeitsbereich muss die VNet-Einschleusung verwenden, um eine beliebige Private Link-Verbindung hinzuzufügen (sogar eine reine Front-End-Verbindung).
  • Wenn Sie die Back-End-Private Link-Verbindung implementieren, muss Ihr Azure Databricks-Arbeitsbereich die Konnektivität für sichere Cluster (SCC/Keine öffentlichen IP-Adressen/NPIP) verwenden.
  • Sie benötigen ein VNet, das die Anforderungen der VNet-Einschleusung erfüllt.
    • Sie müssen zwei Subnetze definieren (auf der Benutzeroberfläche als „öffentliches Subnetz“ und „privates Subnetz“ bezeichnet). Die VNet- und Subnetz-IP-Bereiche, die Sie für Azure Databricks verwenden, definieren die maximale Anzahl von Clusterknoten, die Sie gleichzeitig verwenden können.
    • Um Front-End-Private Link, Back-End-Private Link oder beides zu implementieren, benötigt Ihr Arbeitsbereich-VNet ein drittes Subnetz, das den Private Link-Endpunkt enthält und dessen IP-Adressbereich sich nicht mit dem Bereich Ihrer anderen Arbeitsbereichssubnetze überlappen darf. In diesem Artikel wird dieses dritte Subnetz als Subnetz des privaten Endpunkts bezeichnet. Beispiele und Screenshots nehmen den Subnetznamen private-link an. Dies kann so klein sein wie der CIDR-Bereich /27. Definieren Sie keine NSG-Regeln für ein Subnetz, das private Endpunkte enthält.
    • Wenn Sie die Benutzeroberfläche verwenden, um Objekte zu erstellen, müssen Sie das Netzwerk und die Subnetze manuell erstellen, bevor Sie den Azure Databricks-Arbeitsbereich erstellen. Wenn Sie eine Vorlage verwenden möchten, erstellt die Vorlage, die Azure Databricks bereitstellt, ein VNet und entsprechende Subnetze für Sie, einschließlich der beiden regulären Subnetze und eines weiteren für private Endpunkte.
  • Wenn Sie für den privaten Endpunkt eine Richtlinie für Netzwerksicherheitsgruppen aktiviert haben, müssen Sie die Ports 443, 6666, 3306 und 8443–8451 für eingehende Sicherheitsregeln in der Netzwerksicherheitsgruppe in dem Subnetz, in dem der private Endpunkt bereitgestellt wird, ebenfalls zulassen.
  • Um eine Verbindung zwischen Ihrem Netzwerk und dem Azure-Portal und seinen Diensten herzustellen, müssen Sie möglicherweise Azure-Portal-URLs zu Ihrer Positivliste hinzufügen. Siehe Zulassen der Azure-Portal-URLs in Ihrer Firewall oder Ihrem Proxyserver

Architektur des Front-End-Verbindungsnetzwerks

Nur für Front-End-Private Link: Damit Benutzer von Ihrem lokalen Netzwerk aus auf den Arbeitsbereich zugreifen können, müssen Sie private Konnektivität von diesem Netzwerk zu Ihrem Azure-Netzwerk hinzufügen. Fügen Sie diese Konnektivität hinzu, bevor Sie Private Link konfigurieren. Die Details variieren je nachdem, ob Sie die Standardbereitstellung oder die vereinfachte Bereitstellung von Private Link verwenden.

  • Für die Standardbereitstellung erstellen oder verwenden Sie ein Transit-VNet, das manchmal als Bastion-VNet oder Hub-VNet bezeichnet wird. Dieses VNet muss von der lokalen Benutzerumgebung aus mithilfe von ExpressRoute oder einer VPN-Gatewayverbindung erreichbar sein. Für Front-End-Private Link empfiehlt Databricks, ein separates VNet für Ihre Konnektivität zur Steuerungsebene zu erstellen, anstatt das VNet des Arbeitsbereichs freizugeben. Beachten Sie, dass das Transit-VNet und sein Subnetz in der gleichen Region, Zone und Ressourcengruppe liegen können wie Ihr Arbeitsbereich-VNet und seine Subnetze, aber sie müssen nicht übereinstimmen. Erstellen Sie eine Ressourcengruppe für das separate Transit-VNet, und verwenden Sie eine andere private DNS-Zone für diesen privaten Endpunkt. Wenn Sie zwei separate private Endpunkte verwenden, können Sie die DNS-Zone nicht freigeben.
  • Für die vereinfachte Bereitstellung erstellen Sie ein Transitsubnetz in Ihrem Arbeitsbereichs-VNet. In dieser Bereitstellung verfügt das Transitsubnetz nicht über einen separaten privaten Endpunkt. Das Transitsubnetz im Arbeitsbereichs-VNet verwendet einen einzelnen privaten Endpunkt sowohl für Back-End- als auch für Front-End-Verbindungen.

Azure-Benutzerberechtigungen

Als Azure-Benutzer müssen Sie über Lese-/Schreibrechte verfügen, die für Folgendes geeignet sind:

  • Bereitstellen eines neuen Azure Databricks-Arbeitsbereichs.
  • Erstellen von Azure Private Link-Endpunkten in Ihrem Arbeitsbereich-VNet und auch (für die Front-End-Nutzung) in Ihrem Transit-VNet.

Wenn der Benutzer, der den privaten Endpunkt für das Transit-VNet erstellt hat, nicht über Berechtigungen vom Typ „Besitzer/Mitwirkender“ für den Arbeitsbereich verfügt, muss ein anderer Benutzer mit Berechtigungen vom Typ „Besitzer/Mitwirkender“ für den Arbeitsbereich die Anforderung zur Erstellung des privaten Endpunkts manuell genehmigen.

Sie können Private Link in einem vorhandenen Arbeitsbereich aktivieren. Das Upgrade erfordert, dass der Arbeitsbereich VNET-Einschleusung, sichere Clusterkonnektivität und Premium-Tarif verwendet. Sie können während des Updates aktualisieren, um die Clusterkonnektivität und den Premium-Tarif zu sichern.

Sie können eine ARM-Vorlage oder die azurerm Terraform-Anbieterversion 3.41.0 und höher verwenden. Sie können das Azure-Portal verwenden, um eine benutzerdefinierte Vorlage anzuwenden und den Parameter in der Benutzeroberfläche zu ändern. Es gibt jedoch für dieses Upgrade in der Azure Databricks-Arbeitsbereichsinstanz selbst keine Unterstützung der Azure-Portal-Benutzeroberfläche.

Wenn beim Upgrade ein Fehler auftritt, können Sie den Schritt zum Aktualisieren des Arbeitsbereichs wiederholen, die Felder aber stattdessen so festlegen, dass Private Link deaktiviert werden.

Obwohl der Fokus dieses Abschnitts darauf liegt, Private Link für einen vorhandenen Arbeitsbereich zu aktivieren, können Sie es in einem vorhandenen Arbeitsbereich deaktivieren, indem Sie denselben Update-Aufruf für den Arbeitsbereich mithilfe der ARM-Vorlage oder eines Terraform-Updates verwenden. Weitere Informationen finden Sie unter Schritt 4: Anwenden des Arbeitsbereichsupdates.

Schritt 1: Lesen der Anforderungen und der Dokumentation auf dieser Seite

Vor einem Upgrade auf Private Link sollten Sie wichtige Konzepte und Anforderungen lesen:

  1. Lesen Sie diesen Artikel, einschließlich Konzepte und Anforderungen, bevor Sie fortfahren.
  2. Legen Sie fest, ob Sie die Standardbereitstellung oder die vereinfachte Bereitstellung verwenden möchten.
  3. Machen Sie sich auf der Seite für die Standardbereitstellung oder die vereinfachte Bereitstellung (je nachdem, welche Vorgehensweise Sie wählen) sorgfältig mit den verschiedenen Szenarien vertraut. Suchen Sie das Szenario, das Ihrem Anwendungsfall entspricht. Notieren Sie sich, welche Werte für publicNetworkAccess und requiredNsgRulesverwendet werden sollen. Verwenden Sie für die empfohlene Konfiguration von Front-End- und Back-End-Private Link mit gesperrter Front-End-Konnektivität die Einstellungen publicNetworkAccess=Disabled undrequiredNsgRules=NoAzureDatabricksRules.

Schritt 2: Beenden aller Computeressourcen

Vor diesem Upgrade müssen Sie alle Computeressourcen wie Cluster, Pools oder klassische SQL-Warehouses beenden. Es können keine Computeressourcen für den Arbeitsbereich ausgeführt werden. Andernfalls schlägt der Upgradeversuch fehl. Databricks empfiehlt, eine Downtime für den Zeitpunkt des Upgrades einzuplanen.

Wichtig

Versuchen Sie während des Updates nicht, Computeressourcen zu starten. Wenn Azure Databricks feststellt, dass Computeressourcen gestartet wurden (oder noch gestartet werden), beendet Azure Databricks sie nach dem Update.

Schritt 3: Erstellen von Subnetzen und privaten Endpunkten

  1. Fügen Sie dem VNet Ihres Arbeitsbereichs für Ihre privaten Back-End-Endpunkte ein Subnetz hinzu.

  2. Öffnen Sie den Artikel für die Standardbereitstellung oder die vereinfachte Bereitstellung (je nachdem, welchen Ansatz Sie verwenden).

    Folgen Sie den Anweisungen auf dieser Seite, um die privaten Endpunkte zu erstellen, die Ihrem Bereitstellungstyp entsprechen.

  3. Erstellen Sie alle Ihre privaten Endpunkte für die Back-End-Unterstützung, bevor Sie das Update des Arbeitsbereichs durchführen.

  4. Erstellen Sie für den Zugriff auf die Benutzeroberfläche einen privaten Endpunkt mit der Unterressource „databricks_ui_api“, um einmaliges Anmeldens aus Ihrem Transit-VNet zu unterstützen. Wenn Sie über mehr als ein Transit-VNET verfügen, das für den Front-End-Zugriff auf den Arbeitsbereich zugreift, erstellen Sie mehrere private Endpunkte mit der Unterressource „databricks_ui_api“.

Schritt 4: Anwenden des Updates des Arbeitsbereichs

Anstatt einen neuen Arbeitsbereich zu erstellen, müssen Sie das Update des Arbeitsbereichs anwenden.

Sie müssen die Parameter und „publicNetworkAccess“ und „requiredNsgRules“ auf die Werte aktualisieren, die Sie im vorherigen Schritt ausgewählt haben.

Verwenden Sie dafür eine der folgenden Methoden:

  • Verwenden des Azure-Portals (ohne Vorlage)

  • Anwenden einer aktualisierten ARM-Vorlage mithilfe des Azure-Portals

  • Anwenden eines Updates mithilfe von Terraform

    Verwenden des Azure-Portals (ohne Vorlage)

    1. Navigieren Sie im Azure-Portal zu Ihrer Azure Databricks-Dienstinstanz.

    2. Klicken Sie im linken Navigationsbereich unter Einstellungen auf die Option Netzwerk.

    3. Legen Sie Zugriff über öffentliche Netzwerke zulassen und Erforderliche NSG-Regeln auf geeignete Werte für Ihren Anwendungsfall fest. Siehe Schritt 1: Lesen der Anforderungen und der Dokumentation auf dieser Seite.

      Hinweis

      Um Azure Private Link zu aktivieren, muss der Arbeitsbereich sichere Clusterkonnektivität aktivieren (gelegentlich als „Keine öffentliche IP-Adresse“ bezeichnet). Sofern nicht bereits aktiviert, können Sie gleichzeitig mit der Aktualisierung von Private Link die sichere Clusterkonnektivität aktivieren, indem Sie Keine öffentliche IP-Adresse auf TRUE festlegen. Azure Databricks empfiehlt jedoch, die sichere Clusterkonnektivität vor der Aktivierung von Private Link in einem getrennten Schritt zu aktivieren, sodass Sie die erfolgreiche Aktivierung separat überprüfen können.

    4. Klicken Sie auf Speichern.

    Die Aktualisierung des Netzwerks kann unter Umständen mehr als 15 Minuten in Anspruch nehmen.

Anwenden einer aktualisierten ARM-Vorlage mithilfe des Azure-Portals

Hinweis

Wenn Ihre verwaltete Ressourcengruppe über einen benutzerdefinierten Namen verfügt, müssen Sie die Vorlage entsprechend ändern. Wenden Sie sich für weitere Informationen an Ihr Azure Databricks-Kundenberatungsteam.

  1. Kopieren Sie die folgende ARM-Upgradevorlage (JSON):

    {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "defaultValue": "[resourceGroup().location]",
               "type": "String",
               "metadata": {
                   "description": "Location for all resources."
               }
           },
           "workspaceName": {
               "type": "String",
               "metadata": {
                   "description": "The name of the Azure Databricks workspace to create."
               }
           },
           "apiVersion": {
               "defaultValue": "2023-02-01",
               "allowedValues": [
                "2018-04-01",
                   "2020-02-15",
                   "2022-04-01-preview",
                   "2023-02-01"
               ],
               "type": "String",
               "metadata": {
                   "description": "2018-03-15 for 'full region isolation control plane' and 2020-02-15 for 'FedRAMP certified' regions"
               }
           },
           "publicNetworkAccess": {
               "defaultValue": "Enabled",
               "allowedValues": [
                   "Enabled",
                   "Disabled"
               ],
               "type": "String",
               "metadata": {
                   "description": "Whether the workspace allows access from the public Internet"
               }
           },
           "requiredNsgRules": {
               "defaultValue": "AllRules",
               "allowedValues": [
                   "AllRules",
                   "NoAzureDatabricksRules"
               ],
               "type": "String",
               "metadata": {
                   "description": "The security rules that are applied to the security group of the Vnet"
               }
           },
           "enableNoPublicIp": {
               "defaultValue": true,
               "type": "Bool"
           },
           "pricingTier": {
               "defaultValue": "premium",
               "allowedValues": [
                   "premium",
                   "standard",
                   "trial"
               ],
               "type": "String",
               "metadata": {
                   "description": "The pricing tier of workspace."
               }
           },
           "privateSubnetName": {
               "defaultValue": "private-subnet",
               "type": "String",
               "metadata": {
                   "description": "The name of the private subnet."
               }
           },
           "publicSubnetName": {
               "defaultValue": "public-subnet",
               "type": "String",
               "metadata": {
                   "description": "The name of the public subnet."
               }
           },
           "vnetId": {
               "type": "String",
               "metadata": {
                   "description": "The virtual network Resource ID."
               }
           }
       },
       "variables": {
           "managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]",
           "managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', variables('managedResourceGroupName'))]"
        },
        "resources": [
           {
               "type": "Microsoft.Databricks/workspaces",
               "apiVersion": "[parameters('apiVersion')]",
               "name": "[parameters('workspaceName')]",
               "location": "[parameters('location')]",
               "sku": {
                   "name": "[parameters('pricingTier')]"
               },
               "properties": {
                   "ManagedResourceGroupId": "[variables('managedResourceGroupId')]",
                   "publicNetworkAccess": "[parameters('publicNetworkAccess')]",
                   "requiredNsgRules": "[parameters('requiredNsgRules')]",
                   "parameters": {
                       "enableNoPublicIp": {
                           "value": "[parameters('enableNoPublicIp')]"
                       },
                       "customVirtualNetworkId": {
                           "value": "[parameters('vnetId')]"
                       },
                       "customPublicSubnetName": {
                           "value": "[parameters('publicSubnetName')]"
                       },
                       "customPrivateSubnetName": {
                           "value": "[parameters('privateSubnetName')]"
                       }
                   }
               }
           }
       ]
    }
    
    1. Wechseln Sie im Azure-Portal zur Seite Benutzerdefinierte Bereitstellung.

    2. Klicken Sie auf Eigene Vorlage im Editor erstellen.

    3. Fügen Sie den JSON-Code in die Vorlage ein, die Sie kopiert haben.

    4. Klicken Sie auf Speichern.

    5. Um Private Link zu aktivieren, legen Sie die Parameter „publicNetworkAccess“ und „requiredNsgRules“ entsprechend Ihrem Anwendungsfall fest.

      Um Private Link zu deaktivieren, legen Sie „publicNetworkAccess“ auf „true“ und „requiredNsgRules“ auf „AllRules“ fest.

    6. Verwenden Sie für andere Felder dieselben Parameter, die Sie zum Erstellen des Arbeitsbereichs verwendet haben, z. B. Abonnement, Region, Arbeitsbereichsname, Subnetznamen und Ressourcen-ID des vorhandenen VNets.

      Wichtig

      Der Name der Ressourcengruppe, der Arbeitsbereichsname und die Subnetznamen müssen mit Ihrem vorhandenen Arbeitsbereich identisch sind, damit dieser Befehl den vorhandenen Arbeitsbereich aktualisiert, anstatt einen neuen zu erstellen.

    7. Klicken Sie auf Überprüfen und erstellen.

    8. Wenn keine Validierungsprobleme vorliegen, klicken Sie auf Erstellen.

    Die Aktualisierung des Netzwerks kann unter Umständen mehr als 15 Minuten in Anspruch nehmen.

Anwenden eines Updates mithilfe von Terraform

Sie können Arbeitsbereiche, die mit Terraform erstellt wurden aktualisieren, um Private Link zu verwenden.

Wichtig

Dafür müssen Sie terraform-provider-azurerm Version 3.41.0 oder höher verwenden. Führen Sie daher bei Bedarf ein Upgrade Ihrer Terraform-Anbieterversion durch. Frühere Versionen versuchen, den Arbeitsbereich neu zu erstellen, wenn Sie eine dieser Einstellungen ändern.

Dazu werden die folgenden allgemeinen Schritte ausgeführt:

  1. Ändern Sie die folgenden Arbeitsbereichseinstellungen:

    • public_network_access_enabled: Legen Sie diese Einstellung auf „true“ (aktiviert) oder false (deaktiviert) fest.
    • network_security_group_rules_required: Legen Sie diese Einstellung auf „AllRules“ oder „NoAzureDatabricksRules“ fest.

    Die Aktualisierung des Netzwerks kann unter Umständen mehr als 15 Minuten in Anspruch nehmen.

  2. Erstellen Sie Ihre privaten Endpunkte.

Ausführliche Anleitungen zum Aktivieren von Private Link und zum Erstellen der privaten Endpunkte finden Sie unter:

Die Aktualisierung des Netzwerks kann unter Umständen mehr als 15 Minuten in Anspruch nehmen.

Schritt 5: Testen der Authentifizierung für die einmalige Benutzeranmeldung für Ihren Arbeitsbereich

Ausführliche Informationen zu folgenden Vorgehensweisen finden Sie auf der Hauptseite zur Bereitstellung:

  • Testen Sie die Authentifizierung für die einmalige Benutzeranmeldung für Ihren Arbeitsbereich.
  • Testen der Private Link-Back-End-Verbindung (erforderlich für eine Back-End-Verbindung)

Schritt 6: Überprüfen des Setups

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Databricks-Dienstinstanz.
  2. Klicken Sie im linken Navigationsbereich unter Einstellungen auf die Option Netzwerk.
  3. Vergewissern Sie sich, dass der Wert für Zugriff auf öffentliche Netzwerke zulassen mit dem von Ihnen festgelegten Wert übereinstimmt.
  4. Vergewissern Sie sich, dass der Wert für Erforderliche NSG-Regeln mit dem von Ihnen festgelegten Wert übereinstimmt.

Wiederherstellung nach Fehlern

Wenn ein Arbeitsbereichsupdate fehlschlägt, wird der Arbeitsbereich möglicherweise mit dem Status Fehler gekennzeichnet. Dies bedeutet, dass der Arbeitsbereich keine Computevorgänge ausführen kann. Um einen fehlerhaften Arbeitsbereich wieder in den Status Aktiv zu versetzen, lesen Sie die Anweisungen in der Statusmeldung des Aktualisierungsvorgangs. Nachdem Sie Probleme behoben haben, wiederholen Sie das Update für den fehlerhaften Arbeitsbereich. Wiederholen Sie die Schritte, bis das Update erfolgreich abgeschlossen ist. Wenden Sie sich bei Fragen an Ihr Azure Databricks-Kontoteam.