Erstellen von IP-Zugriffslisten für Arbeitsbereiche

In diesem Artikel wird beschrieben, wie Sie IP-Zugriffslisten für Azure Databricks-Arbeitsbereiche konfigurieren. In diesem Artikel werden die gängigsten Aufgaben erläutert, die Sie mit der Databricks-CLI ausführen können. Sie können auch die IP Access Lists-API (IP-Zugriffslisten-API) verwenden.

Anforderungen

  • Für dieses Feature ist der Premium-Plan erforderlich.

  • IP-Zugriffslisten unterstützen nur IPv4-Adressen (Internet Protocol Version 4).

  • Wenn Sie sichere Clusterkonnektivität in einem Arbeitsbereich aktivieren, müssen alle öffentlichen IPs, welche die Computeebene für den Zugriff auf die Steuerebene verwenden, entweder einer Zulassungsliste hinzugefügt werden, oder Sie müssen back-end Private Link konfigurieren. Andernfalls können klassische Computeressourcen nicht gestartet werden.

    Wenn Sie z. B. sichere Clusterkonnektivität in Ihrem Arbeitsbereich aktivieren, in dem VNet-Injektion verwendet wird, empfiehlt Databricks, dass Ihr Arbeitsbereich über eine stabile öffentliche IP-Adresse für ausgehenden Datenverkehr verfügt. Diese öffentliche IP-Adresse und alle anderen IP-Adressen müssen in einer Zulassungsliste vorhanden sein. Weitere Informationen finden Sie unter Ausgehende IP-Adressen bei Verwendung der sicheren Clusterkonnektivität. Wenn Sie ein von Azure Databricks verwaltetes VNet verwenden und das verwaltete NAT-Gateway für den Zugriff auf öffentliche IP-Adressen konfigurieren, müssen diese IP-Adressen in einer Zulassungsliste enthalten sein. Weitere Informationen finden Sie im Databricks Community-Beitrag.

Überprüfen Sie, ob für Ihren Arbeitsbereich das IP-Zugriffslistenfeature aktiviert ist.

So überprüfen Sie, ob in Ihrem Arbeitsbereich das IP-Zugriffslistenfeature aktiviert ist:

databricks workspace-conf get-status enableIpAccessLists

Aktivieren oder Deaktivieren des IP-Zugriffslistenfeatures für einen Arbeitsbereich

Geben Sie in einem JSON-Anforderungstext enableIpAccessLists als true (aktiviert) oder false (deaktiviert) an.

databricks workspace-conf set-status --json '{
  "enableIpAccessLists": "true"
}'

Hinzufügen einer IP-Zugriffsliste

Wenn das Feature für IP-Zugriffslisten aktiviert ist und keine Positiv- oder Sperrlisten für den Arbeitsbereich vorhanden sind, sind alle IP-Adressen zulässig. Das Hinzufügen von IP-Adressen zur Positivliste blockiert alle IP-Adressen, die nicht in der Liste enthalten sind. Stellen Sie sicher, dass alle öffentlichen IPs hinzugefügt werden, die die Computeebene für den Zugriff auf die Steuerebene zu einer Zulassungsliste verwendet. Überprüfen Sie die Änderungen sorgfältig, um unbeabsichtigte Zugriffseinschränkungen zu vermeiden.

IP-Zugriffslisten verfügen über eine Bezeichnung. Dabei handelt es sich um einen Namen für die Liste und einen Listentyp. Der Listentyp ist entweder ALLOW (Positivliste) oder BLOCK (Sperrliste, die auch Elemente in der Positivliste ausschließt).

So fügen Sie z. B. eine Zulassungsliste hinzu:

databricks  ip-access-lists create --json '{
 "label": "office",
 "list_type": "ALLOW",
 "ip_addresses": [
   "1.1.1.1"
  ]
}'

Auflisten von IP-Zugriffslisten

databricks ip-access-lists list

Aktualisieren einer IP-Zugriffsliste

Geben Sie mindestens einen der folgenden zu aktualisierenden Werte an:

  • label – Bezeichnung für diese Liste.
  • list_type – entweder ALLOW (Zulassungsliste) oder BLOCK (eine Liste „Blockieren“, d. h. auch das ausschließen, was in der Zulassungsliste enthalten ist).
  • ip_addresses – ein JSON-Array von IP-Adressen und CIDR-Bereichen als Zeichenfolgenwerte.
  • enabled – Gibt an, ob diese Liste aktiviert ist. Übergeben Sie true oder false.

Die Antwort ist eine Kopie des Objekts, das Sie mit zusätzlichen Feldern für die ID und Änderungsdaten übergeben haben.

So deaktivieren Sie beispielsweise eine Liste

databricks  ip-access-lists update <list-id> --json '{
  "enabled": "false"
}'

Löschen einer IP-Zugriffsliste

So löschen Sie eine IP-Zugriffsliste:

databricks  ip-access-lists delete <list-id>