Ustawienia trasy zdefiniowanej przez użytkownika dla usługi Azure Databricks
Jeśli obszar roboczy usługi Azure Databricks zostanie wdrożony we własnej sieci wirtualnej, możesz użyć tras niestandardowych, znanych również jako trasy zdefiniowane przez użytkownika (UDR), aby upewnić się, że ruch sieciowy jest prawidłowo kierowany dla obszaru roboczego. Jeśli na przykład połączysz sieć wirtualną z siecią lokalną, ruch może być kierowany przez sieć lokalną i nie może nawiązać połączenia z płaszczyzną sterowania usługi Azure Databricks. Trasy zdefiniowane przez użytkownika mogą rozwiązać ten problem.
Potrzebujesz trasy zdefiniowanej przez użytkownika dla każdego typu połączenia wychodzącego z sieci wirtualnej. Możesz użyć zarówno tagów usługi platformy Azure, jak i adresów IP, aby zdefiniować mechanizmy kontroli dostępu do sieci na trasach zdefiniowanych przez użytkownika. Usługa Databricks zaleca używanie tagów usługi platformy Azure, aby zapobiec awariom usługi z powodu zmian adresów IP.
Konfigurowanie tras zdefiniowanych przez użytkownika za pomocą tagów usługi platformy Azure
Usługa Databricks zaleca używanie tagów usługi platformy Azure, które reprezentują grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Pomaga to zapobiec przerwom w działaniu usługi z powodu zmian adresów IP i eliminuje konieczność okresowego sprawdzania tych adresów IP i update ich w trasie sieciowej table. Jeśli jednak zasady organizacji nie zezwalają na tagi usług, możesz opcjonalnie określić trasy jako adresy IP.
Korzystając z tagów usług, trasy zdefiniowane przez użytkownika powinny używać następujących reguł i skojarzyć trasę table z podsieciami publicznymi i prywatnymi sieci wirtualnej.
| Źródło | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| Domyślne | Tag usługi Azure Databricks | Internet |
| Domyślne | Tag usługi Azure SQL | Internet |
| Domyślne | Tag usługi Azure Storage | Internet |
| Domyślne | Tag usługi Azure Event Hubs | Internet |
Uwaga
Możesz dodać tag usługi Microsoft Entra ID, aby ułatwić uwierzytelnianie identyfikatora Entra firmy Microsoft z klastrów usługi Azure Databricks do zasobów platformy Azure.
Jeśli usługa Azure Private Link jest włączona w obszarze roboczym, tag usługi Azure Databricks nie jest wymagany.
Tag usługi Azure Databricks reprezentuje adresy IP wymaganego ruchu wychodzącego connections do płaszczyzny sterowania Azure Databricks, bezpiecznej łączności klastra (SCC)i aplikacji internetowej Azure Databricks.
Tag usługi Azure SQL reprezentuje adresy IP wymaganego ruchu wychodzącego connections do magazynu metadanych usługi Azure Databricks, a tag usługi Azure Storage reprezentuje adresy IP dla usługi Artifact Blob Storage i log Blob Storage. Tag usługi Azure Event Hubs reprezentuje wymagany connections wychodzący na potrzeby rejestrowania w usłudze Azure Event Hub.
Niektóre tagi usługi umożliwiają bardziej szczegółową kontrolę przez ograniczenie zakresów adresów IP do określonego regionu. Na przykład trasa table obszaru roboczego Azure Databricks w regionach Zachodnich USA może wyglądać jak:
| Nazwisko | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| adb-servicetag | AzureDatabricks | Internet |
| magazyn metadanych adb | Sql.WestUS | Internet |
| adb-storage | Storage.WestUS | Internet |
| adb-eventhub | EventHub.WestUS | Internet |
Aby sprawdzić get tagi usługi wymagane dla tras zdefiniowanych przez użytkownika, zobacz Tagi usługi sieci wirtualnej.
Konfigurowanie tras zdefiniowanych przez użytkownika przy użyciu adresów IP
Usługa Databricks zaleca używanie tagów usługi platformy Azure, ale jeśli zasady organizacji nie zezwalają na tagi usług, możesz użyć adresów IP do zdefiniowania mechanizmów kontroli dostępu do sieci na trasach zdefiniowanych przez użytkownika.
Szczegóły różnią się w zależności od tego, czy włączono bezpieczną łączność klastra (SCC) dla obszaru roboczego:
- Jeśli włączono bezpieczną łączność klastra dla obszaru roboczego, musisz mieć trasę zdefiniowaną przez użytkownika, aby umożliwić klastrom łączenie się z bezpiecznym przekaźnikiem łączności klastra na płaszczyźnie sterowania. Pamiętaj, aby uwzględnić systemy oznaczone jako adres IP przekaźnika SCC dla twojego regionu.
- Jeśli bezpieczna łączność klastra jest wyłączona dla obszaru roboczego, istnieje połączenie przychodzące z translatora adresów sieciowych płaszczyzny sterowania, ale protokół TCP SYN-ACK niskiego poziomu do tego połączenia technicznie jest danymi wychodzącym, które wymagają trasy zdefiniowanej przez użytkownika. Pamiętaj, aby uwzględnić systemy oznaczone jako adres IP translatora adresów sieciowych płaszczyzny sterowania dla twojego regionu.
Trasy zdefiniowane przez użytkownika powinny używać następujących reguł i skojarzyć trasę table z podsieciami publicznymi i prywatnymi sieci wirtualnej.
| Źródło | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| Domyślne | Adres IP translatora adresów sieciowych płaszczyzny sterowania (jeśli protokół SCC jest wyłączony) | Internet |
| Domyślne | Adres IP przekaźnika SCC (jeśli protokół SCC jest włączony) | Internet |
| Domyślne | Adres IP aplikacji internetowej | Internet |
| Domyślne | Adres IP magazynu metadanych | Internet |
| Domyślne | Artifact Blob storage IP | Internet |
| Domyślne | Log Blob storage IP | Internet |
| Domyślne | Adres IP magazynu obszarów roboczych — punkt końcowy usługi Blob Storage | Internet |
| Domyślne | Adres IP magazynu obszaru roboczego — punkt końcowy usługi ADLS Gen2 (dfs) |
Internet |
| Domyślne | Event Hubs IP | Internet |
Jeśli usługa Azure Private Link jest włączona w obszarze roboczym, trasy zdefiniowane przez użytkownika powinny używać następujących reguł i skojarzyć trasę table z podsieciami publicznymi i prywatnymi sieci wirtualnej.
| Źródło | Prefiks adresu | Typ następnego przeskoku |
|---|---|---|
| Domyślne | Adres IP magazynu metadanych | Internet |
| Domyślne | Artifact Blob storage IP | Internet |
| Domyślne | Log Blob storage IP | Internet |
| Domyślne | Event Hubs IP | Internet |
Aby get adresy IP wymagane dla tras zdefiniowanych przez użytkownika, użyj tables i instrukcji w regionach usługi Azure Databricks, w szczególności: