Konnektivität für sichere Cluster

Wenn sichere Clusterkonnektivität aktiviert ist, haben virtuelle Kundennetzwerke keine offenen Ports und Computeressourcen in der klassischen Computeebene keine öffentlichen IP-Adressen. Konnektivität für sichere Cluster wird auch als „keine öffentlichen IP-Adressen/NPIP“ bezeichnet.

  • Auf Netzwerkebene initiiert jeder Cluster während der Clustererstellung eine Verbindung mit dem Relay zur Konnektivität für sichere Cluster auf Steuerungsebene. Der Cluster stellt diese Verbindung über Port 443 (HTTPS) her und verwendet eine andere IP-Adresse als für die Webanwendung und die REST-API.
  • Wenn die Steuerungsebene logisch neue Databricks Runtime-Aufträge startet oder andere Clusterverwaltungsaufgaben ausführt, werden diese Anforderungen über diesen Tunnel an den Cluster gesendet.
  • Die Computeebene (das VNet) verfügt über keine offenen Ports, und Ressourcen der klassischen Steuerungsebene haben keine öffentlichen IP-Adressen.

Vorteile:

  • Einfache Netzwerkverwaltung, Ports für Sicherheitsgruppen oder Netzwerkpeering konfigurieren zu müssen.
  • Mit erhöhter Sicherheit und einfacher Netzwerkverwaltung können Informationssicherheitsteams die Genehmigung von Databricks als PaaS-Anbieter beschleunigen.

Hinweis

Der Azure Databricks-Netzwerkdatenverkehr zwischen dem VNet der klassischen Computeebene und der Azure Databricks-Steuerungsebene erfolgt über den Microsoft-Netzwerk-Backbone und wird nicht über das öffentliche Internet übertragen. Dies gilt auch, wenn die Konnektivität für sichere Cluster deaktiviert ist.

Obwohl die serverlose Computeebene nicht das sichere Clusterkonnektivitätsrelais für die klassische Computeebene verwendet, verfügen serverlose SQL-Warehouses über keine öffentlichen IP-Adressen.

Konnektivität für sichere Cluster

Verwenden der Konnektivität für sichere Cluster

Zur Verwendung der Konnektivität für sichere Cluster mit einem neuen Azure Databricks-Arbeitsbereich verwenden Sie eine der folgenden Optionen.

  • Azure-Portal: Wenn Sie den Arbeitsbereich bereitstellen, wechseln Sie zur Registerkarte Netzwerk, und legen Sie die Option Azure Databricks-Arbeitsbereich mit Konnektivität für sichere Cluster bereitstellen (keine öffentlichen IP-Adressen) bereitstellen auf Ja fest.
  • ARM-Vorlagen: Legen Sie für die Microsoft.Databricks/workspaces-Ressource, die Ihren neuen Arbeitsbereich erstellt, den booleschen Parameter enableNoPublicIp auf true fest.

Wichtig

In beiden Fällen müssen Sie den Azure-Ressourcenanbieter Microsoft.ManagedIdentity in dem Azure-Abonnement registrieren, das zum Starten von Arbeitsbereichen mit Konnektivität für sichere Cluster verwendet wird. Dieser Schritt muss einmal für jedes Abonnement ausgeführt werden. Weitere Anweisungen finden Sie unter Azure-Ressourcenanbieter und -typen.

Sie können einem vorhandenen Arbeitsbereich, der bereits die VNet-Einschleusung verwendet, Konnektivität für sichere Cluster hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Konnektivität für sichere Cluster zu einem vorhandenen Arbeitsbereich.

Wenn Sie ARM-Vorlagen verwenden, fügen Sie den Parameter zu einer der folgenden Vorlagen hinzu, je nachdem, ob Azure Databricks ein (verwaltetes) virtuelles Standardnetzwerk für den Arbeitsbereich erstellen soll oder ob Sie Ihr eigenes virtuelles Netzwerk verwenden möchten (auch als VNet-Einschleusung bezeichnet). VNet-Einschleusung ist ein optionales Feature, mit dem Sie Ihr eigenes VNet zum Hosten neuer Azure Databricks-Cluster bereitstellen können.

Ausgehend aus Arbeitsbereichssubnetzen

Wenn Sie die Konnektivität für sichere Cluster aktivieren, sind beide Subnetze Ihres Arbeitsbereichs private Subnetze, da Clusterknoten über keine öffentlichen IP-Adressen verfügen.

Die Implementierungsdetails für den Netzwerkausgang hängen davon ab, ob Sie das (verwaltete) Standard-VNet verwenden, oder ob Sie oder das optionale Feature VNET-Einschleusung verwenden, um Ihr eigenes VNet bereitzustellen, in dem Ihr Arbeitsbereich bereitgestellt werden soll. Weitere Informationen hierzu finden Sie in den nachfolgenden Abschnitten.

Wichtig

Wenn Sie Konnektivität für sichere Cluster verwenden können zusätzliche Kosten durch erhöhten ausgehenden Datenverkehr entstehen. Für eine kleinere Organisation, die eine kostenoptimierte Lösung benötigt, kann es akzeptabel sein, die Konnektivität für sichere Cluster zu deaktivieren, wenn Sie Ihren Arbeitsbereich bereitstellen. Für die sicherste Bereitstellung empfehlen Microsoft und Databricks jedoch dringend, die Konnektivität für sichere Cluster zu aktivieren.

Ausgehend mit (verwaltetem) Standard-VNet

Wenn Sie Konnektivität für sichere Cluster mit dem von Azure Databricks erstellten Standard-VNet verwenden, erstellt Azure Databricks automatisch ein NAT-Gateway für ausgehenden Datenverkehr aus den Subnetzen Ihres Arbeitsbereichs zum Azure-Backbone und zum öffentlichen Netzwerk. Das NAT-Gateway wird innerhalb der von Azure Databricks verwalteten Ressourcengruppe erstellt. Sie können diese Ressourcengruppe oder die in ihr bereitgestellten Ressourcen nicht ändern.

Für das automatisch erstellte NAT-Gateway entstehen zusätzliche Kosten.

Ausgehend mit VNet-Injektion

Wenn Sie sichere Clusterkonnektivität in Ihrem Arbeitsbereich aktivieren, in dem VNet-Einfügung verwendet wird, empfiehlt Databricks, dass Ihr Arbeitsbereich über eine stabile öffentliche IP-Adresse verfügt.

Stabile öffentliche IP-Adressen sind nützlich, da Sie sie externen Zulassungslisten hinzufügen können. Um beispielsweise eine Verbindung von Azure Databricks mit Salesforce mit einer stabilen ausgehenden IP-Adresse herzustellen.

Warnung

Microsoft hat angekündigt, dass am 30. September 2025 die standardmäßige ausgehende Zugriffskonnektivität für virtuelle Computer in Azure eingestellt wird. Sehen Sie sich diese Ankündigung an. Dies bedeutet, dass vorhandene Azure Databricks-Arbeitsbereiche, die standardmäßigen ausgehenden Zugriff, statt einer stabilen öffentlichen IP-Adresse verwenden, nach diesem Datum möglicherweise nicht mehr funktionieren. Databricks empfiehlt, vor diesem Datum explizite ausgehende Methoden für Ihre Arbeitsbereiche hinzuzufügen.

Wählen Sie eine der folgenden Optionen aus:

  • Wählen Sie für Bereitstellungen, für die Anpassungen erforderlich sind, ein Azure NAT-Gateway. Konfigurieren Sie das Gateway in beiden Subnetzen des Arbeitsbereichs, um sicherzustellen, dass der gesamte ausgehende Datenverkehr an den Azure-Backbone und das öffentliche Netzwerk durch das Gateway erfolgt. Cluster verfügen über eine stabile ausgehende öffentliche IP-Adresse, und Sie können die Konfiguration ändern, um benutzerdefinierte Anforderungen für ausgehende Daten zu erfüllen. Sie können diese Lösung entweder mithilfe einer Azure-Vorlage oder über die Azure-Portal. implementieren.
  • Für Bereitstellungen mit komplexen Routinganforderungen oder Bereitstellungen, die die VNet-Einschleusung mit einer ausgehenden Firewall wie Azure Firewall oder anderen benutzerdefinierten Netzwerkarchitekturen verwenden, können Sie so genannte benutzerdefinierte Routen (UDRs) verwenden. UDRs stellen sicher, dass der Netzwerkdatenverkehr für Ihren Arbeitsbereich ordnungsgemäß geroutet wird, entweder direkt an die erforderlichen Endpunkte oder über eine ausgehende Firewall. Wenn Sie eine solche Lösung verwenden, müssen Sie direkte Routen oder zulässige Firewallregeln für das Azure Databricks-Relay zur Konnektivität für sichere Cluster und andere erforderliche Endpunkte hinzufügen, die unter Benutzerdefinierte Routeneinstellungen für Azure Databricks aufgeführt sind.

Warnung

Verwenden Sie keinen Lastenausgleich für ausgehenden Datenverkehr mit einem Arbeitsbereich mit aktivierter sicherer Clusterkonnektivität. In Produktionssystemen kann ein Lastenausgleich für ausgehenden Datenverkehr zu einem Risiko für die Ausschöpfung der Ports führen.

Hinzufügen von Konnektivität für sichere Cluster zu einem vorhandenen Arbeitsbereich

Sie können einem vorhandenen Arbeitsbereich Konnektivität für sichere Cluster hinzufügen. Das Upgrade erfordert, dass der Arbeitsbereich VNet-Einschleusung verwendet.

Sie können die Portalbenutzeroberfläche, eine ARM-Vorlage oder mindestens die Version 3.41.0 des Terraform-Anbieters azurerm verwenden. Sie können das Azure-Portal verwenden, um eine benutzerdefinierte Vorlage anzuwenden und den Parameter in der Benutzeroberfläche zu ändern. Sie können auch die Azure Databricks-Arbeitsbereichsinstanz über die Benutzeroberfläche des Azure-Portals upgraden.

Wichtig

Beachten Sie vor dieser Änderung Folgendes: Wenn Sie eine Firewall verwenden oder andere Netzwerkkonfigurationsänderungen vorgenommen haben, um ein- oder ausgehenden Datenverkehr der klassischen Computeebene zu steuern, müssen Sie möglicherweise Ihre Firewall- oder Netzwerksicherheitsgruppenregeln zusammen mit diesen Änderungen aktualisieren, damit sie vollständig wirksam werden. Bei der Konnektivität für sicher Cluster gibt es beispielsweise eine zusätzliche ausgehende Verbindung mit der Steuerungsebene, und die eingehenden Verbindungen von der Steuerungsebene werden nicht mehr verwendet.

Für den Fall, dass bei dem Upgrade ein Fehler auftritt und Sie die Änderung vorübergehend zurücksetzen müssen, finden Sie weitere Informationen unter Vorübergehendes Zurücksetzen des Upgrades auf Konnektivität für sichere Cluster.

Schritt 1: Beenden aller Computeressourcen

Vor diesem Upgrade müssen Sie alle Computeressourcen wie Cluster, Pools oder klassische SQL-Warehouses beenden. Es können keine Computeressourcen für den Arbeitsbereich ausgeführt werden. Andernfalls schlägt der Upgradeversuch fehl. Databricks empfiehlt, eine Downtime für den Zeitpunkt des Upgrades einzuplanen.

Schritt 2: Aktualisieren des Arbeitsbereichs

Sie müssen den Parameter Keine öffentliche IP-Adresse (enableNoPublicIp in der Vorlage) aktualisieren. Legen Sie ihn auf den Wert True (true) fest.

Verwenden Sie dafür eine der folgenden Methoden:

Verwenden des Azure-Portals (ohne Vorlage)

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Databricks-Dienstinstanz.

  2. Klicken Sie im linken Navigationsbereich unter Einstellungen auf die Option Netzwerk.

  3. Wählen Sie Keine öffentliche IP-Adresse aus.

    Hinweis

    Gleichzeitig können Sie auch Azure Private Link aktivieren, indem Sie die Werte für Öffentlichen Netzwerkzugriff zulassen/Erforderliche NSG-Regeln auf die entsprechenden Werte für Ihren Anwendungsfall festlegen. Zum Aktivieren von Private Link sind jedoch zusätzliche Konfigurations- und Überprüfungsschritte erforderlich. Daher empfiehlt es sich gegebenenfalls, dies nach der Aktualisierung für die Konnektivität für sichere Cluster durchzuführen. Wichtige Details und Anforderungen finden Sie unter Aktivieren von Azure Private Link.

  4. Klicken Sie auf Speichern.

Die Aktualisierung des Netzwerks kann unter Umständen mehr als 15 Minuten in Anspruch nehmen.

Anwenden einer aktualisierten ARM-Vorlage mithilfe des Azure-Portals

Hinweis

Wenn Ihre verwaltete Ressourcengruppe über einen benutzerdefinierten Namen verfügt, müssen Sie die Vorlage entsprechend ändern. Wenden Sie sich für weitere Informationen an Ihr Azure Databricks-Kundenberatungsteam.

  1. Kopieren Sie die folgende ARM-Upgradevorlage (JSON):

      {
        "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
            "location": {
                "defaultValue": "[resourceGroup().location]",
                "type": "String",
                "metadata": {
                    "description": "Location for all resources."
                }
            },
            "workspaceName": {
                "type": "String",
                "metadata": {
                    "description": "The name of the Azure Databricks workspace to create."
                }
            },
            "apiVersion": {
                "defaultValue": "2023-02-01",
                "allowedValues": [
                   "2018-04-01",
                   "2020-02-15",
                   "2022-04-01-preview",
                   "2023-02-01"
                ],
                "type": "String",
                "metadata": {
                    "description": "2018-03-15 for 'full region isolation control plane' and 2020-02-15 for 'FedRAMP certified' regions"
                }
            },
            "enableNoPublicIp": {
                "defaultValue": true,
                "type": "Bool"
            },
            "pricingTier": {
                "defaultValue": "premium",
                "allowedValues": [
                    "premium",
                    "standard",
                    "trial"
                ],
                "type": "String",
                "metadata": {
                    "description": "The pricing tier of workspace."
                }
            },
            "publicNetworkAccess": {
              "type": "string",
              "defaultValue": "Enabled",
              "allowedValues": [
                "Enabled",
                "Disabled"
              ],
              "metadata": {
                "description": "Indicates whether public network access is allowed to the workspace - possible values are Enabled or Disabled."
              }
            },
            "requiredNsgRules": {
              "type": "string",
              "defaultValue": "AllRules",
              "allowedValues": [
                "AllRules",
                "NoAzureDatabricksRules"
              ],
              "metadata": {
                "description": "Indicates whether to retain or remove the AzureDatabricks outbound NSG rule - possible values are AllRules or NoAzureDatabricksRules."
              }
            }
            },
        "variables": {
            "managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]",
            "managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', variables('managedResourceGroupName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.Databricks/workspaces",
                "apiVersion": "[parameters('apiVersion')]",
                "name": "[parameters('workspaceName')]",
                "location": "[parameters('location')]",
                "sku": {
                    "name": "[parameters('pricingTier')]"
                },
                "properties": {
                    "ManagedResourceGroupId": "[variables('managedResourceGroupId')]",
                    "publicNetworkAccess": "[parameters('publicNetworkAccess')]",
                    "requiredNsgRules": "[parameters('requiredNsgRules')]",
                    "parameters": {
                        "enableNoPublicIp": {
                            "value": "[parameters('enableNoPublicIp')]"
                        }
                    }
                }
            }
        ]
    }
    
    1. Wechseln Sie im Azure-Portal zur Seite Benutzerdefinierte Bereitstellung.

    2. Klicken Sie auf Eigene Vorlage im Editor erstellen.

    3. Fügen Sie den JSON-Code in die Vorlage ein, die Sie kopiert haben.

    4. Klicken Sie auf Speichern.

    5. Fügen Sie die Parameter ein.

    6. Um einen vorhandenen Arbeitsbereich zu aktualisieren, verwenden Sie die gleichen Parameter wie beim Erstellen des Arbeitsbereichs. Einzig enableNoPublicIp muss auf true festgelegt werden. Legen Sie das Abonnement, die Region, den Arbeitsbereichsnamen, die Subnetznamen und die Ressourcen-ID des vorhandenen VNet fest.

      Wichtig

      Der Name der Ressourcengruppe, der Arbeitsbereichsname und die Subnetznamen müssen mit Ihrem vorhandenen Arbeitsbereich identisch sein, damit dieser Befehl den vorhandenen Arbeitsbereich aktualisiert, anstatt einen neuen zu erstellen.

    7. Klicken Sie auf Überprüfen und erstellen.

    8. Wenn keine Validierungsprobleme vorliegen, klicken Sie auf Erstellen.

    Die Aktualisierung des Netzwerks kann unter Umständen mehr als 15 Minuten in Anspruch nehmen.

Anwenden eines Updates mithilfe von Terraform

Bei Arbeitsbereichen, die mit Terraform erstellt wurden, können Sie den Arbeitsbereich aktualisieren, ohne ihn neu zu erstellen.

Wichtig

Dafür müssen Sie terraform-provider-azurerm Version 3.41.0 oder höher verwenden. Führen Sie daher bei Bedarf ein Upgrade Ihrer Terraform-Anbieterversion durch. Frühere Versionen versuchen, den Arbeitsbereich neu zu erstellen, wenn Sie eine dieser Einstellungen ändern.

Ändern Sie die folgenden Arbeitsbereichseinstellungen:

  • no_public_ip im custom_parameters-Block kann von false in true geändert werden.

Die Aktualisierung des Netzwerks kann unter Umständen mehr als 15 Minuten in Anspruch nehmen.

Schritt 3: Überprüfen der Aktualisierung

Sobald sich der Arbeitsbereich im aktiven Zustand befindet, wird der Aktualisierungsauftrag abgeschlossen. Überprüfen Sie, ob die Aktualisierung angewendet wurde:

  1. Öffnen Sie Azure Databricks in Ihrem Webbrowser.

  2. Starten Sie einen der Cluster des Arbeitsbereichs, und warten Sie, bis er vollständig gestartet wurde.

  3. Navigieren Sie im Azure-Portal zu Ihrer Arbeitsbereichsinstanz.

  4. Klicken Sie auf die blaue ID neben der Feldbezeichnung Verwaltete Ressourcengruppe.

  5. Suchen Sie in dieser Gruppe nach den virtuellen Computern für den Cluster, und klicken Sie auf einen davon.

  6. Sehen Sie sich in den VM-Einstellungen unter Eigenschaften die Felder im Bereich Netzwerk an.

  7. Vergewissern Sie sich, dass das Feld „Öffentliche IP-Adresse“ leer ist.

    Sollte es einen Wert enthalten, verfügt der virtuelle Computer über eine öffentliche IP-Adresse, was bedeutet, dass die Aktualisierung nicht erfolgreich war.

Wiederherstellung nach Fehlern

Wenn ein Arbeitsbereichsupdate fehlschlägt, wird der Arbeitsbereich möglicherweise mit dem Status Fehler gekennzeichnet. Dies bedeutet, dass der Arbeitsbereich keine Computevorgänge ausführen kann. Um einen fehlerhaften Arbeitsbereich wieder in den Status Aktiv zu versetzen, lesen Sie die Anweisungen in der Statusmeldung des Aktualisierungsvorgangs. Nachdem Sie Probleme behoben haben, wiederholen Sie das Update für den fehlerhaften Arbeitsbereich. Wiederholen Sie die Schritte, bis das Update erfolgreich abgeschlossen ist.

Vorübergehendes Zurücksetzen des Upgrades auf Konnektivität für sichere Cluster

Wenn während der Bereitstellung ein Fehler auftritt, können Sie den Prozess vorübergehend rückgängig machen. Das Deaktivieren der Konnektivität für sichere Cluster in einem Arbeitsbereich wird jedoch ausschließlich für ein vorübergehendes Rollback unterstützt, bevor das Upgrade später fortgesetzt wird. Sollte dies vorübergehend erforderlich sein, können Sie die obigen Anweisungen für das Upgrade befolgen, aber enableNoPublicIp auf false festlegen (anstatt auf „true“).