Eventi
Ottieni gratuitamente la certificazione in Microsoft Fabric.
19 nov, 23 - 10 dic, 23
Per un periodo di tempo limitato, il team della community di Microsoft Fabric offre buoni per esami DP-600 gratuiti.
Prepara oraQuesto browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Questo articolo riepiloga l'uso di collegamento privato di Azure per abilitare la connettività privata tra gli utenti e le aree di lavoro di Databricks e anche tra cluster nel piano di calcolo classico e i servizi principali nel piano di controllo all'interno dell'infrastruttura dell'area di lavoro di Databricks.
Per modificare l'accesso alla rete per i data warehouse SQL serverless, vedere Configurare la connettività privata dall'ambiente di calcolo serverless.
collegamento privato fornisce connettività privata dalle reti virtuali di Azure e dalle reti locali ai servizi di Azure senza esporre il traffico alla rete pubblica. Azure Databricks supporta i tipi di connessione collegamento privato seguenti:
browser_authentication
di risorsa secondaria.Se si implementano collegamento privato per le connessioni front-end e back-end, è possibile richiedere facoltativamente la connettività privata per l'area di lavoro, il che significa che Azure Databricks rifiuta le connessioni sulla rete pubblica. Se si rifiuta di implementare entrambi i tipi di connessione front-end o back-end, non è possibile applicare questo requisito.
I set di dati del catalogo Unity di esempio e i set di dati di Azure Databricks non sono disponibili quando è configurato collegamento privato back-end. Vedere Set di dati di esempio.
La maggior parte di questo articolo riguarda la creazione di una nuova area di lavoro, ma è possibile abilitare o disabilitare collegamento privato in un'area di lavoro esistente. Vedere Abilitare o disabilitare collegamento privato di Azure in un'area di lavoro esistente.
La tabella seguente descrive una terminologia importante.
Terminologia | Descrizione |
---|---|
Collegamento privato di Azure | Una tecnologia di Azure che fornisce connettività privata dalle reti virtuali di Azure e dalle reti locali ai servizi di Azure senza esporre il traffico alla rete pubblica. |
servizio collegamento privato di Azure | Servizio che può essere la destinazione di una connessione collegamento privato. Ogni istanza del piano di controllo di Azure Databricks pubblica un servizio collegamento privato di Azure. |
Endpoint privato di Azure | Un endpoint privato di Azure abilita una connessione privata tra una rete virtuale e un servizio collegamento privato. Per la connettività front-end e back-end, la destinazione di un endpoint privato di Azure è il piano di controllo di Azure Databricks. |
Per informazioni generali sugli endpoint privati, vedere l'articolo Microsoft Che cos'è un endpoint privato?.
Esistono due tipi di distribuzione collegamento privato supportati da Azure Databricks ed è necessario sceglierne uno:
Sottoscrizione di Azure
L'area di lavoro di Azure Databricks deve essere nel piano Premium.
Architettura di rete dell'area di lavoro di Azure Databricks
private-link
della subnet . Può essere piccolo come l'intervallo /27
CIDR. Non definire regole del gruppo di sicurezza di rete per una subnet che contiene endpoint privati.Architettura di rete della connessione front-end
Per consentire solo agli utenti collegamento privato di accedere all'area di lavoro dalla rete locale, è necessario aggiungere la connettività privata da tale rete alla rete di Azure. Aggiungere questa connettività prima di configurare collegamento privato. I dettagli variano a seconda che si scelga la distribuzione standard collegamento privato o la distribuzione semplificata.
Autorizzazioni utente di Azure
Gli utenti di Azure devono disporre di autorizzazioni di lettura/scrittura sufficienti per:
Se l'utente che ha creato l'endpoint privato per la rete virtuale di transito non dispone delle autorizzazioni di proprietario/collaboratore per l'area di lavoro, un utente separato con autorizzazioni di proprietario/collaboratore per l'area di lavoro deve approvare manualmente la richiesta di creazione dell'endpoint privato.
È possibile abilitare il collegamento privato in un'area di lavoro esistente. L'aggiornamento richiede che l'area di lavoro usi l'aggiunta di una rete virtuale, la connettività sicura del cluster e il piano tariffario Premium. È possibile aggiornare la connettività del cluster e passare al piano tariffario Premium durante l'aggiornamento.
È possibile usare un modello arm o azurerm
un provider Terraform versione 3.41.0+. È possibile usare il portale di Azure per applicare un modello personalizzato e modificare il parametro nell'interfaccia utente. Tuttavia, non è disponibile alcun supporto dell'interfaccia utente del portale di Azure per questo aggiornamento nell'istanza dell'area di lavoro di Azure Databricks stessa.
Se si verifica un problema con l'aggiornamento ed è possibile ripetere il passaggio di aggiornamento dell'area di lavoro, ma impostare i campi per disabilitare collegamento privato.
Sebbene l'obiettivo di questa sezione sia abilitare collegamento privato in un'area di lavoro esistente, è possibile disabilitarlo in un'area di lavoro esistente usando la stessa chiamata di aggiornamento dell'area di lavoro con il modello di Resource Manager o un aggiornamento di Terraform. Per informazioni dettagliate, vedere il passaggio 4: Applicare l'aggiornamento dell'area di lavoro.
Prima di tentare un aggiornamento a collegamento privato sono presenti concetti e requisiti importanti da leggere:
publicNetworkAccess
e requiredNsgRules
. Per la configurazione consigliata di front-end e back-end collegamento privato con connettività front-end bloccata, usare le impostazioni publicNetworkAccess=Disabled
erequiredNsgRules=NoAzureDatabricksRules
Prima di tentare l'aggiornamento, è necessario arrestare tutte le risorse di calcolo, ad esempio cluster, pool o sql warehouse classici. Nessuna risorsa di calcolo dell'area di lavoro può essere in esecuzione o il tentativo di aggiornamento non riesce. Databricks consiglia di pianificare i tempi di inattività dell'aggiornamento.
Importante
Non tentare di avviare risorse di calcolo durante l'aggiornamento. Se Azure Databricks determina che le risorse di calcolo sono state avviate (o sono ancora in fase di avvio), Azure Databricks li termina dopo l'aggiornamento.
Aggiungere una subnet alla rete virtuale dell'area di lavoro per gli endpoint privati back-end.
Aprire l'articolo per la distribuzione standard o la distribuzione semplificata (a qualsiasi approccio usato).
Seguire le istruzioni in questa pagina per creare gli endpoint privati che corrispondono al tipo di distribuzione.
Creare tutti gli endpoint privati per il supporto back-end prima di eseguire l'aggiornamento dell'area di lavoro.
Per l'accesso all'interfaccia utente, creare un endpoint privato con sottorisorsa databricks_ui_api
per supportare l'accesso SSO dalla rete virtuale di transito. Se si dispone di più reti virtuali di transito che accedono all'area di lavoro per l'accesso front-end, creare più endpoint privati con sottorisorsa databricks_ui_api
.
Anziché creare una nuova area di lavoro, è necessario applicare l'aggiornamento dell'area di lavoro.
È necessario aggiornare i publicNetworkAccess
parametri e requiredNsgRules
ai valori scelti in un passaggio precedente.
Usare uno di questi metodi:
Applicare un modello di Resource Manager aggiornato usando portale di Azure
Applicare un aggiornamento con Terraform
Passare all'istanza del servizio Azure Databricks nel portale di Azure.
Nel riquadro di spostamento a sinistra in Impostazioni fare clic su Rete.
Impostare Consenti accesso alla rete pubblica e Regole NSG necessarie sui valori appropriati in base al caso d'uso. Vedere Passaggio 1: Leggere i requisiti e la documentazione in questa pagina.
Nota
Per abilitare collegamento privato di Azure, l'area di lavoro deve abilitare la connettività sicura del cluster (talvolta denominata Nessun indirizzo IP pubblico). Se non è ancora abilitato, allo stesso tempo dell'aggiornamento collegamento privato, è possibile scegliere di abilitare la connettività sicura del cluster impostando No Public IP (Nessun indirizzo IP pubblico) su True. Tuttavia, Azure Databricks consiglia di abilitare la connettività sicura del cluster come passaggio separato prima di abilitare collegamento privato in modo da poter convalidare separatamente l'esito positivo.
Fare clic su Salva.
Il completamento dell'aggiornamento di rete potrebbe richiedere più di 15 minuti.
Nota
Se il gruppo di risorse gestite ha un nome personalizzato, è necessario modificare di conseguenza il modello. Per altre informazioni, contattare il team dell'account di Azure Databricks.
Copiare il codice JSON del modello arm di aggiornamento seguente:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"location": {
"defaultValue": "[resourceGroup().location]",
"type": "String",
"metadata": {
"description": "Location for all resources."
}
},
"workspaceName": {
"type": "String",
"metadata": {
"description": "The name of the Azure Databricks workspace to create."
}
},
"apiVersion": {
"defaultValue": "2023-02-01",
"allowedValues": [
"2018-04-01",
"2020-02-15",
"2022-04-01-preview",
"2023-02-01"
],
"type": "String",
"metadata": {
"description": "2018-03-15 for 'full region isolation control plane' and 2020-02-15 for 'FedRAMP certified' regions"
}
},
"publicNetworkAccess": {
"defaultValue": "Enabled",
"allowedValues": [
"Enabled",
"Disabled"
],
"type": "String",
"metadata": {
"description": "Whether the workspace allows access from the public Internet"
}
},
"requiredNsgRules": {
"defaultValue": "AllRules",
"allowedValues": [
"AllRules",
"NoAzureDatabricksRules"
],
"type": "String",
"metadata": {
"description": "The security rules that are applied to the security group of the Vnet"
}
},
"enableNoPublicIp": {
"defaultValue": true,
"type": "Bool"
},
"pricingTier": {
"defaultValue": "premium",
"allowedValues": [
"premium",
"standard",
"trial"
],
"type": "String",
"metadata": {
"description": "The pricing tier of workspace."
}
},
"privateSubnetName": {
"defaultValue": "private-subnet",
"type": "String",
"metadata": {
"description": "The name of the private subnet."
}
},
"publicSubnetName": {
"defaultValue": "public-subnet",
"type": "String",
"metadata": {
"description": "The name of the public subnet."
}
},
"vnetId": {
"type": "String",
"metadata": {
"description": "The virtual network Resource ID."
}
}
},
"variables": {
"managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', variables('managedResourceGroupName'))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "[parameters('apiVersion')]",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"ManagedResourceGroupId": "[variables('managedResourceGroupId')]",
"publicNetworkAccess": "[parameters('publicNetworkAccess')]",
"requiredNsgRules": "[parameters('requiredNsgRules')]",
"parameters": {
"enableNoPublicIp": {
"value": "[parameters('enableNoPublicIp')]"
},
"customVirtualNetworkId": {
"value": "[parameters('vnetId')]"
},
"customPublicSubnetName": {
"value": "[parameters('publicSubnetName')]"
},
"customPrivateSubnetName": {
"value": "[parameters('privateSubnetName')]"
}
}
}
}
]
}
Passare alla pagina di distribuzione portale di Azure personalizzata.
Fare clic su Compila un modello personalizzato nell'editor.
Incollare il codice JSON per il modello copiato.
Fare clic su Salva.
Per abilitare collegamento privato, impostare publicNetworkAccess
i parametri e requiredNsgRules
in base al caso d'uso.
Per disabilitare collegamento privato, impostare su publicNetworkAccess
true
e impostare su requiredNsgRules
AllRules
.
Per altri campi, usare gli stessi parametri usati per creare l'area di lavoro, ad esempio sottoscrizione, area, nome dell'area di lavoro, nomi di subnet, ID risorsa della rete virtuale esistente.
Importante
Il nome del gruppo di risorse, il nome dell'area di lavoro e i nomi delle subnet devono essere identici all'area di lavoro esistente, in modo che questo comando aggiorni l'area di lavoro esistente anziché creare una nuova area di lavoro.
Fare clic su Rivedi e crea.
Se non sono presenti problemi di convalida, fare clic su Crea.
Il completamento dell'aggiornamento di rete potrebbe richiedere più di 15 minuti.
Per le aree di lavoro create con Terraform, è possibile aggiornare l'area di lavoro in modo da usare collegamento privato.
Importante
È necessario usare terraform-provider-azurerm
la versione 3.41.0 o successiva, quindi aggiornare la versione del provider Terraform in base alle esigenze. Le versioni precedenti tentano di ricreare l'area di lavoro se si modifica una di queste impostazioni.
La procedura generale è la seguente:
Modificare le impostazioni dell'area di lavoro seguenti:
public_network_access_enabled
: impostato su true
(abilitato) o false
(disabilitato)network_security_group_rules_required
: impostato su AllRules
o NoAzureDatabricksRules
.Il completamento dell'aggiornamento di rete potrebbe richiedere più di 15 minuti.
Creare gli endpoint privati.
Per una guida dettagliata su come abilitare collegamento privato e creare gli endpoint privati:
Il completamento dell'aggiornamento di rete potrebbe richiedere più di 15 minuti.
Seguire la pagina di distribuzione principale per informazioni dettagliate su come:
Se un aggiornamento dell'area di lavoro non riesce, l'area di lavoro potrebbe essere contrassegnata come stato Non riuscito , il che significa che l'area di lavoro non è in grado di eseguire operazioni di calcolo. Per ripristinare lo stato Attivo di un'area di lavoro non riuscita, esaminare le istruzioni nel messaggio di stato dell'operazione di aggiornamento. Dopo aver risolto eventuali problemi, ripetere l'aggiornamento nell'area di lavoro non riuscita. Ripetere i passaggi fino al completamento dell'aggiornamento. In caso di domande, contattare il team dell'account Azure Databricks.
Eventi
Ottieni gratuitamente la certificazione in Microsoft Fabric.
19 nov, 23 - 10 dic, 23
Per un periodo di tempo limitato, il team della community di Microsoft Fabric offre buoni per esami DP-600 gratuiti.
Prepara ora