Aktivera brandväggsstöd för ditt lagringskonto för arbetsytan

  • Artikel

Varje Azure Databricks-arbetsyta har ett associerat Azure Storage-konto i en hanterad resursgrupp som kallas lagringskontot för arbetsytan. Lagringskontot för arbetsytan innehåller systemdata för arbetsytor (jobbutdata, systeminställningar och loggar), DBFS-rot och i vissa fall en Unity Catalog-arbetsytekatalog. Den här artikeln beskriver hur du begränsar åtkomsten till ditt arbetsytelagringskonto från endast auktoriserade resurser och nätverk med hjälp av en ARM-mall (Azure Resource Manager).

Vad är brandväggsstöd för ditt lagringskonto för arbetsytan?

Som standard accepterar Azure Storage-kontot för ditt arbetsytelagringskonto autentiserade anslutningar från alla nätverk. Du kan begränsa den här åtkomsten genom att aktivera brandväggsstöd för ditt lagringskonto för arbetsytan. Detta säkerställer att offentlig nätverksåtkomst inte tillåts och att arbetsytans lagringskonto inte är tillgängligt från obehöriga nätverk. Du kanske vill konfigurera detta om din organisation har Azure-principer som säkerställer att lagringskonton är privata.

När brandväggsstöd för ditt arbetsytelagringskonto är aktiverat måste all åtkomst från tjänster utanför Azure Databricks använda godkända privata slutpunkter med Private Link. Azure Databricks skapar en åtkomstanslutning för att ansluta till lagringen med hjälp av en Hanterad Azure-identitet. Åtkomst från serverlös beräkning i Azure Databricks måste antingen använda tjänstslutpunkter eller privata slutpunkter.

Krav

  • Din arbetsyta måste aktivera VNet-inmatning för anslutningar från det klassiska beräkningsplanet.

  • Din arbetsyta måste aktivera säker klusteranslutning (ingen offentlig IP/NPIP) för anslutningar från det klassiska beräkningsplanet.

  • Din arbetsyta måste finnas i Premium-planen.

  • Du måste ha ett separat undernät för de privata slutpunkterna för lagringskontot. Detta är utöver de två viktigaste undernäten för grundläggande Azure Databricks-funktioner.

    Undernätet måste finnas i samma virtuella nätverk som arbetsytan eller i ett separat virtuellt nätverk som arbetsytan kan komma åt. Använd den minsta storleken /28 i CIDR-notation.

  • Om du använder Cloud Fetch med Microsoft Fabric-Power BI-tjänst måste du alltid använda en gateway för privat åtkomst till arbetsytans lagringskonto eller inaktivera Cloud Fetch. Se Steg 2 (rekommenderas): Konfigurera privata slutpunkter för virtuella molnhämtningsklientnät.

Du kan också använda ARM-mallen i Steg 5: Distribuera den ARM-mall som krävs för att skapa en ny arbetsyta. I så fall stänger du av all beräkning på arbetsytan innan du följer steg 1 till och med 4.

Steg 1: Skapa privata slutpunkter till lagringskontot

Skapa två privata slutpunkter till ditt lagringskonto för arbetsytan från det virtuella nätverk som du använde för VNet-inmatning för underresursvärdena Target: dfs och blob.

  1. I Azure Portal navigerar du till din arbetsyta.

  2. Under Essentials klickar du på namnet på den hanterade resursgruppen.

  3. Under Resurser klickar du på resursen av typen Lagringskonto som har ett namn som börjar med dbstorage.

  4. I sidofältet klickar du på Nätverk.

  5. Klicka på Privata slutpunktsanslutningar.

  6. Klicka på + Privat slutpunkt.

  7. I fältet Resursgruppnamn anger du resursgruppen.

    Viktigt!

    Resursgruppen får inte vara samma som den hanterade resursgrupp som ditt arbetsytelagringskonto finns i.

  8. I fältet Namn skriver du ett unikt namn för den här privata slutpunkten:

    • Skapa en DFS-slutpunkt för den första privata slutpunkten som du skapar för varje källnätverk. Databricks rekommenderar att du lägger till suffixet -dfs-pe
    • Skapa en blobslutpunkt för den andra privata slutpunkten som du skapar för varje källnätverk. Databricks rekommenderar att du lägger till suffixet -blob-pe

    Fältet Namn på nätverksgränssnitt fylls i automatiskt.

  9. Ange fältet Region till arbetsytans region.

  10. Klicka på Nästa.

  11. I Målunderresurs klickar du på målresurstypen.

    • För den första privata slutpunkten som du skapar för varje källnätverk anger du detta till dfs.
    • För den andra privata slutpunkten som du skapar för varje källnätverk ställer du in den på blob.

  12. I fältet Virtuellt nätverk väljer du ett VNet.

  13. I undernätsfältet anger du undernätet till det separata undernät som du har för de privata slutpunkterna för lagringskontot.

    Det här fältet kan fyllas i automatiskt med undernätet för dina privata slutpunkter, men du kan behöva ange det explicit. Du kan inte använda ett av de två arbetsyteundernäten som används för grundläggande Azure Databricks-arbetsytefunktioner, som vanligtvis kallas private-subnet och public-subnet.

  14. Klicka på Nästa. Fliken DNS fylls i automatiskt till rätt prenumeration och resursgrupp som du valde tidigare. Ändra dem om det behövs.

  15. Klicka på Nästa och lägg till taggar om du vill.

  16. Klicka på Nästa och granska fälten.

  17. Klicka på Skapa.

Om du vill inaktivera brandväggsstöd för ditt arbetsytelagringskonto använder du samma process som ovan, men anger parametern Storage Account Firewall (storageAccountFirewall i mallen) till Disabled och anger Workspace Catalog Enabled fältet till true eller false baserat på om arbetsytan använder en Unity Catalog-arbetsytekatalog. Se Vad är kataloger i Azure Databricks?.

Steg 2 (rekommenderas): Konfigurera privata slutpunkter för virtuella molnhämtningsklientnät

Cloud Fetch är en mekanism i ODBC och JDBC för att hämta data parallellt via molnlagring för att få data snabbare till BI-verktyg. Om du hämtar frågeresultat som är större än 1 MB från BI-verktygen använder du förmodligen Cloud Fetch.

Kommentar

Om du använder Microsoft Fabric-Power BI-tjänst med Azure Databricks måste du inaktivera Cloud Fetch eftersom den här funktionen blockerar direkt åtkomst till arbetsytans lagringskonto från Fabric Power BI. Du kan också konfigurera en virtuell nätverksdatagateway eller lokal datagateway för att tillåta privat åtkomst till arbetsytans lagringskonto. Detta gäller inte för Power BI Desktop. Om du vill inaktivera Cloud Fetch använder du konfigurationen EnableQueryResultDownload=0.

Om du använder Cloud Fetch skapar du privata slutpunkter till arbetsytans lagringskonto från alla virtuella nätverk för dina Cloud Fetch-klienter.

För varje källnätverk för Cloud Fetch-klienter skapar du två privata slutpunkter som använder två olika målunderresursvärden : dfs och blob. Mer information finns i Steg 1: Skapa privata slutpunkter till lagringskontot. I de här stegen för fältet Virtuellt nätverk när du skapar den privata slutpunkten måste du ange ditt virtuella källnätverk för varje Cloud Fetch-klient.

Steg 3: Bekräfta godkännanden av slutpunkter

När du har skapat alla dina privata slutpunkter till lagringskontot kontrollerar du om de är godkända. De kan godkänna automatiskt eller så kan du behöva godkänna dem på lagringskontot.

  1. Gå till din arbetsyta i Azure Portal.
  2. Under Essentials klickar du på namnet på den hanterade resursgruppen.
  3. Under Resurser klickar du på resursen av typen Lagringskonto som har ett namn som börjar med dbstorage.
  4. I sidofältet klickar du på Nätverk.
  5. Klicka på Privata slutpunktsanslutningar.
  6. Kontrollera anslutningstillståndet för att bekräfta att de säger Godkänd eller markera dem och klicka på Godkänn.

Steg 4: Auktorisera serverlösa beräkningsanslutningar

Du måste auktorisera serverlös beräkning för att ansluta till ditt lagringskonto för arbetsytan genom att ansluta en nätverksanslutningskonfiguration (NCC) till din arbetsyta. När en NCC är kopplad till en arbetsyta läggs nätverksreglerna automatiskt till i Azure Storage-kontot för arbetsytans lagringskonto. Anvisningar finns i Konfigurera en brandvägg för serverlös beräkningsåtkomst.

Om du vill aktivera åtkomst från serverlös beräkning i Azure Databricks med hjälp av privata slutpunkter kontaktar du ditt Azure Databricks-kontoteam.

Steg 5: Distribuera den nödvändiga ARM-mallen

Det här steget använder en ARM-mall för att hantera Azure Databricks-arbetsytan. Du kan också uppdatera eller skapa din arbetsyta med Terraform. Se azurerm_databricks_workspace Terraform-providern.

  1. I Azure Portal söker du efter och väljer Deploy a custom template.

  2. Klicka på Skapa en egen mall i redigeraren.

  3. Kopiera ARM-mallen från ARM-mallen för brandväggsstöd för ditt lagringskonto för arbetsytan och klistra in den i redigeraren.

  4. Klicka på Spara.

  5. Granska och redigera fält. Använd samma parametrar som du använde för att skapa arbetsytan, till exempel prenumeration, region, arbetsytenamn, undernätsnamn, resurs-ID för det befintliga virtuella nätverket.

    En beskrivning av fälten finns i ARM-mallfält.

  6. Klicka på Granska och skapa och sedan på Skapa.

Kommentar

Åtkomsten till det offentliga nätverket på arbetsytans lagringskonto har angetts som Aktiverad från valda virtuella nätverk och IP-adresser och inte inaktiverad för att stödja serverlösa beräkningsresurser utan att kräva privata slutpunkter. Lagringskontot för arbetsytan finns i en hanterad resursgrupp och lagringsbrandväggen kan bara uppdateras när du lägger till en nätverksanslutningskonfiguration (NCC) för serverlösa anslutningar till din arbetsyta. Om du vill aktivera åtkomst från serverlös beräkning i Azure Databricks med hjälp av privata slutpunkter kontaktar du ditt Azure Databricks-kontoteam.