Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jeśli obszar roboczy Azure Databricks jest wdrożony we własnej sieci wirtualnej (VNet) możesz użyć tras niestandardowych, znanych również jako tras zdefiniowanych przez użytkownika (UDR) , aby upewnić się, że ruch sieciowy jest prawidłowo kierowany dla obszaru roboczego. Jeśli na przykład połącz sieć wirtualną z siecią lokalną ruch może być kierowany przez sieć lokalną i nie może dotrzeć do płaszczyzny sterowania Azure Databricks. Trasy zdefiniowane przez użytkownika mogą rozwiązać ten problem.
Potrzebujesz UDR (trasę zdefiniowaną przez użytkownika) dla każdego typu połączenia wychodzącego z sieci wirtualnej. Możesz użyć zarówno Azure tagów usługi, jak i adresów IP, aby zdefiniować mechanizmy kontroli dostępu do sieci na trasach zdefiniowanych przez użytkownika. Usługa Databricks zaleca używanie tagów usługi Azure, aby zapobiec awariom usługi z powodu zmian adresów IP.
Konfiguruj trasy zdefiniowane przez użytkownika za pomocą tagów usługi Azure
Usługa Databricks zaleca użycie tagów usługi Azure które reprezentują grupę prefiksów adresów IP z danej usługi Azure. Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Pomaga to zapobiec awariom usługi z powodu zmian adresów IP i usuwa konieczność okresowego wyszukiwania tych adresów IP i aktualizowania ich w tabeli tras. Jeśli jednak zasady organizacji nie zezwalają na tagi usług, możesz opcjonalnie określić trasy jako adresy IP.
Używając tagów usług, trasy zdefiniowane przez użytkownika powinny używać następujących reguł i skojarzyć tabelę tras z podsieciami publicznymi i prywatnymi sieci wirtualnej.
| Źródło | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| Domyślne | AzureDatabricks |
Internet |
| Domyślne | Storage |
Internet |
| Domyślne | EventHub |
Internet |
Uwaga
Możesz dodać tag usługi Microsoft Entra ID, aby ułatwić uwierzytelnianie Microsoft Entra ID z klastrów Azure Databricks do zasobów Azure.
Jeśli Azure Private Link jest włączony w obszarze roboczym, tag usługi Azure Databricks nie jest wymagany.
Tag usługi Azure Databricks reprezentuje adresy IP wymaganych połączeń wychodzących z płaszczyzną sterowania Azure Databricks, secure cluster connectivity (SCC) oraz aplikacją internetową Azure Databricks. Musisz również otworzyć port 3306 dla ruchu wychodzącego w sieciowej grupie zabezpieczeń, aby umożliwić łączność ze starszym magazynem metadanych Hive.
Tag usługi Azure Storage reprezentuje adresy IP artefaktu Blob storage i log Blob storage. Tag usługi Azure Event Hubs reprezentuje wymagane połączenia wychodzące na potrzeby rejestrowania w usłudze Azure Event Hub.
Niektóre tagi usługi umożliwiają bardziej szczegółową kontrolę przez ograniczenie zakresów adresów IP do określonego regionu. Na przykład tabela trasowania dla środowiska pracy Azure Databricks w regionach zachodniego USA może wyglądać tak:
| Nazwisko | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| adb-servicetag (tag identyfikacyjny usługi) | AzureDatabricks | Internet |
| adb-storage | Storage.WestUS | Internet |
| adb-eventhub | EventHub.WestUS | Internet |
Ważna
Jeśli używasz tagów usługowych o zasięgu regionalnym, pamiętaj, że niektóre punkty końcowe mogą znajdować się w innym regionie Azure niż podstawowy punkt końcowy pamięci masowej. Na przykład obszar roboczy w Japonii Wschodniej ma pomocniczy magazyn artefaktów w Japonii Zachodniej. W takim przypadku należy również dodać tag usługi dla regionu pomocniczego. Aby przejrzeć nazwy FQDN dla regionu obszaru roboczego, zobacz Magazyn metadanych, magazyn obiektów blob artefaktów, magazyn tabel systemowych, magazyn obiektów blob dzienników i adresy IP punktu końcowego usługi Event Hubs.
Aby uzyskać tagi usługi wymagane dla tras zdefiniowanych przez użytkownika, zobacz Tagi usługi sieci wirtualnej.
Konfigurowanie tras zdefiniowanych przez użytkownika przy użyciu adresów IP
Usługa Databricks zaleca używanie tagów usługi Azure ale jeśli zasady organizacji nie zezwalają na tagi usług, można użyć adresów IP do zdefiniowania kontroli dostępu do sieci na trasach zdefiniowanych przez użytkownika.
Szczegóły różnią się w zależności od tego, czy włączono bezpieczną łączność klastra (SCC) dla obszaru roboczego:
- Jeśli dla obszaru roboczego włączono bezpieczną łączność klastra, potrzebujesz trasę zdefiniowaną przez użytkownika, aby umożliwić klastrom łączenie się z bezpiecznym przekaźnikiem łączności klastra na płaszczyźnie sterowania. Pamiętaj, aby uwzględnić systemy oznaczone jako adres IP przekaźnika SCC dla twojego regionu.
- Jeśli bezpieczna łączność klastra jest wyłączona dla obszaru roboczego, istnieje połączenie przychodzące z NAT płaszczyzny sterowania, ale protokół TCP SYN-ACK niskiego poziomu do tego połączenia technicznie jest danymi wychodzącymi, które wymagają UDR. Pamiętaj, aby uwzględnić systemy oznaczone jako adres IP NAT płaszczyzny sterowania dla swojego regionu.
Trasy zdefiniowane przez użytkownika powinny używać następujących reguł i kojarzyć tabelę tras z podsieciami publicznymi i prywatnymi sieci wirtualnej.
| Źródło | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| Domyślne | Adres IP NAT płaszczyzny kontrolnej (jeśli SCC jest wyłączony) | Internet |
| Domyślne | Adres IP przekaźnika SCC (jeśli protokół SCC jest włączony) | Internet |
| Domyślne | Adres IP aplikacji internetowej | Internet |
| Domyślne | Adres IP magazynu metadanych | Internet |
| Domyślne | IP magazynu Artifact Blob | Internet |
| Domyślne | Rejestrowanie adresów IP dla magazynu Blob | Internet |
| Domyślne | Adres IP przestrzeni dyskowej obszaru roboczego — punkt końcowy Blob Storage | Internet |
| Domyślne | Adres IP magazynu obszaru roboczego — punkt końcowy usługi ADLS (dfs) |
Internet |
| Domyślne | Event Hubs IP | Internet |
Jeśli Azure Private Link jest włączona w obszarze roboczym, trasy zdefiniowane przez użytkownika powinny używać następujących reguł i skojarzyć tabelę tras z podsieciami publicznymi i prywatnymi sieci wirtualnej.
| Źródło | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| Domyślne | Adres IP magazynu metadanych | Internet |
| Domyślne | IP magazynu Artifact Blob | Internet |
| Domyślne | Rejestrowanie adresów IP dla magazynu Blob | Internet |
| Domyślne | Event Hubs IP | Internet |
Aby uzyskać adresy IP wymagane dla tras zdefiniowanych przez użytkownika, użyj tabel i instrukcji w Azure Databricks regionach w szczególności: