Condividi tramite

Rete del piano di calcolo serverless

  • Articolo

Questa guida presenta gli strumenti per proteggere l'accesso alla rete tra le risorse di calcolo nel piano di calcolo serverless di Azure Databricks e le risorse dei clienti. Per altre informazioni sul piano di controllo e sul piano di calcolo serverless, vedere Panoramica dell'architettura di Azure Databricks.

Per altre informazioni sul calcolo classico e sull'elaborazione serverless, vedere Tipi di calcolo.

Importante

A partire dal 4 dicembre 2024, Databricks inizierà a pagare i costi di rete nei carichi di lavoro serverless che si connettono a risorse esterne. La fatturazione verrà implementata gradualmente e potrebbe non essere addebitato fino al 4 dicembre 2024. Non verrà addebitato retroattivamente l'utilizzo prima dell'abilitazione della fatturazione. Dopo l'abilitazione della fatturazione, è possibile che vengano addebitati i costi seguenti:

  • Connettività privata alle risorse tramite collegamento privato. I costi per l'elaborazione dei dati per la connettività privata alle risorse in collegamento privato vengono annullati per un periodo illimitato. Verranno applicati addebiti per ora.
  • Connettività pubblica alle risorse tramite il gateway NAT.
  • Addebiti per il trasferimento dei dati, ad esempio quando il calcolo serverless e la risorsa di destinazione si trovano in aree diverse.

Panoramica della rete del piano di calcolo serverless

Le risorse di calcolo serverless vengono eseguite nel piano di calcolo serverless, gestito da Azure Databricks. Gli amministratori dell'account possono configurare la connettività sicura tra il piano di calcolo serverless e le relative risorse. Questa connessione di rete è etichettata come 2 nel diagramma seguente:

Diagramma informazioni generali connessione di rete

La connettività tra il piano di controllo e il piano di calcolo serverless è sempre tramite il backbone della rete cloud e non la rete Internet pubblica. Per ulteriori informazioni sulla configurazione delle funzionalità di sicurezza sull'altra rete connections nel diagramma, vedere Networking.

Che cos'è il controllo dell'uscita serverless?

Il controllo in uscita serverless consente di gestire le connections di rete in uscita dalle risorse di calcolo serverless.

Usando i criteri di rete, è possibile:

  • Migliorare la sicurezza: attenuare i rischi di esfiltrazione dei dati limitando il traffico connectionsin uscita.
  • Definire regole precise: controllare le connections in uscita specificando percorsi consentiti, connections, FQDN e account di archiviazione di Azure.
  • Semplificare la gestione: configurare e gestire facilmente i criteri in uscita nell'ambiente serverless.

Vedere Che cos'è il controllo uscita serverless?

Che cos'è una configurazione di connettività di rete (NCC)?

La connettività di rete serverless viene gestita con configurazioni di connettività di rete (NCC). I controller di rete sono costrutti a livello di account usati per gestire la creazione di endpoint privati e l'abilitazione del firewall su larga scala.

Gli amministratori account creano controller di rete nella console dell'account e un NCC può essere collegato a una o più aree di lavoro. Un NCC abilita firewall ed endpoint privati:

  • Abilitazione del firewall delle risorse per subnet: un NCC abilita le subnet del servizio di Azure stabili gestite da Databricks per l'aggiunta di endpoint di servizio ai firewall delle risorse per l'accesso sicuro alle risorse di Azure da warehouse SQL serverless. Quando un NCC è collegato a un'area di lavoro, il calcolo serverless in tale area di lavoro usa una di queste reti per connettere la risorsa di Azure usando gli endpoint di servizio. È possibile consentire list tali reti nel firewall delle risorse di Azure. Le regole di rete vengono aggiunte automaticamente all'account di archiviazione dell'area di lavoro. Vedere Configurare un firewall per l'accesso all’elaborazione serverless.
  • Endpoint privati: quando si aggiunge un endpoint privato in un NCC, Azure Databricks crea una richiesta di endpoint privato alla risorsa di Azure. Dopo aver accettato la richiesta sul lato risorsa, l'endpoint privato viene usato per accedere alla risorsa di Azure dal piano di calcolo serverless. Vedere Configurare la connettività privata dall’elaborazione serverless.

Nota

Databricks usa endpoint di servizio, indirizzi IP privati e indirizzi IP pubblici per connettersi alle risorse in base alla posizione e al tipo. Questi metodi di connettività sono disponibili a livello generale, a meno che non sia specificato in modo esplicito.