Udostępnij za pośrednictwem

Konfigurowanie łączności prywatnej z zasobów obliczeniowych bezserwerowych

  • Artykuł

W tym artykule opisano sposób konfigurowania łączności prywatnej z zasobów obliczeniowych bezserwerowych przy użyciu interfejsu użytkownika konsoli konta usługi Azure Databricks. Możesz również użyć interfejsu API konfiguracji łączności sieciowej.

Jeśli skonfigurujesz zasób platformy Azure tak, aby akceptował tylko połączenia z prywatnych punktów końcowych, wszelkie połączenia z zasobem z klasycznych zasobów obliczeniowych usługi Databricks również muszą używać prywatnych punktów końcowych.

Aby skonfigurować zaporę usługi Azure Storage dla bezserwerowego dostępu do zasobów obliczeniowych przy użyciu podsieci, zobacz Konfigurowanie zapory na potrzeby dostępu bezserwerowego zasobów obliczeniowych. Aby zarządzać istniejącymi regułami prywatnego punktu końcowego, zobacz Zarządzanie regułami prywatnego punktu końcowego.

Ważne

Od 4 grudnia 2024 r. usługa Databricks rozpocznie naliczanie opłat za koszty sieci w przypadku obciążeń bezserwerowych łączących się z zasobami zewnętrznymi. Rozliczenia będą wdrażane stopniowo i może nie być naliczane opłaty do 4 grudnia 2024 r. Opłaty za użycie nie będą naliczane z mocą wsteczną przed włączeniem rozliczeń. Po włączeniu rozliczeń mogą zostać naliczone opłaty za:

  • Prywatna łączność z zasobami za pośrednictwem usługi Private Link. Opłaty za przetwarzanie danych w przypadku łączności prywatnej z zasobami za pośrednictwem usługi Private Link zostaną uniknięte na czas nieokreślony. Będą naliczane opłaty za godzinę.
  • Publiczna łączność z zasobami za pośrednictwem bramy translatora adresów sieciowych.
  • Naliczane są opłaty za transfer danych, takie jak w przypadku, gdy zasoby obliczeniowe bezserwerowe i zasób docelowy znajdują się w różnych regionach.

Omówienie łączności prywatnej dla obliczeń bezserwerowych

Bezserwerowa łączność sieciowa jest zarządzana przy użyciu konfiguracji łączności sieciowej (NCC). Administratorzy konta tworzą kontrolery domeny w konsoli konta i kontroler sieci może być dołączony do co najmniej jednego obszaru roboczego

Po dodaniu prywatnego punktu końcowego w kontrolerze domeny usługa Azure Databricks tworzy żądanie prywatnego punktu końcowego do zasobu platformy Azure. Po zaakceptowaniu żądania po stronie zasobu prywatny punkt końcowy jest używany do uzyskiwania dostępu do zasobów z bezserwerowej płaszczyzny obliczeniowej. Prywatny punkt końcowy jest przeznaczony dla konta usługi Azure Databricks i dostępny tylko z autoryzowanych obszarów roboczych.

Prywatne punkty końcowe ncC są obsługiwane przez magazyny SQL, zadania, notesy, tabele Delta Live Tables i model obsługujący punkty końcowe.

Uwaga

Prywatne punkty końcowe ncC są obsługiwane tylko w przypadku zarządzanych źródeł danych. Aby nawiązać połączenie z kontem magazynu obszaru roboczego, skontaktuj się z zespołem konta usługi Azure Databricks.

Uwaga

Obsługa modelu używa ścieżki magazynu obiektów blob platformy Azure do pobierania artefaktów modelu, więc utwórz prywatny punkt końcowy dla obiektu blob identyfikatora zasobu podrzędnego. Do rejestrowania modeli w wykazie aparatu Unity z notesów bezserwerowych będzie potrzebny system PLIKÓW DFS.

Aby uzyskać więcej informacji na temat kontrolerów sieci, zobacz Co to jest konfiguracja łączności sieciowej (NCC)?.

Wymagania

  • Obszar roboczy musi znajdować się w planie Premium.
  • Musisz być administratorem konta usługi Azure Databricks.
  • Każde konto usługi Azure Databricks może mieć maksymalnie 10 kontrolerów sieciowych na region.
  • Każdy region może mieć 100 prywatnych punktów końcowych, dystrybuowanych zgodnie z potrzebami w ramach 1–10 kontrolerów sieciowych.
  • Każdy kontroler domeny może być dołączony do maksymalnie 50 obszarów roboczych.

Krok 1. Tworzenie konfiguracji łączności sieciowej

Usługa Databricks zaleca udostępnianie ncc między obszarami roboczymi w ramach tej samej jednostki biznesowej i tymi, które współużytkują te same właściwości łączności regionu. Jeśli na przykład niektóre obszary robocze używają usługi Private Link, a inne obszary robocze używają włączania zapory, użyj oddzielnych kontrolerów sieciowych dla tych przypadków użycia.

  1. Jako administrator konta przejdź do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zasoby w chmurze.
  3. Kliknij pozycję Konfiguracje łączności sieciowej.
  4. Kliknij pozycję Dodaj konfigurację łączności sieciowej.
  5. Wpisz nazwę kontrolera domeny.
  6. Wybierz region. Musi to być zgodne z regionem obszaru roboczego.
  7. Kliknij przycisk Dodaj.

Krok 2. Dołączanie kontrolera domeny do obszaru roboczego

  1. Na pasku bocznym konsoli konta kliknij pozycję Obszary robocze.
  2. Kliknij nazwę obszaru roboczego.
  3. Kliknij pozycję Aktualizuj obszar roboczy.
  4. W polu Konfiguracja łączności sieciowej wybierz kontroler sieci. Jeśli nie jest widoczny, upewnij się, że wybrano ten sam region świadczenia usługi Azure dla obszaru roboczego i kontrolera domeny.
  5. Kliknij Aktualizuj.
  6. Poczekaj 10 minut na zastosowanie zmiany.
  7. Uruchom ponownie wszystkie uruchomione usługi bezserwerowe w obszarze roboczym.

Krok 3. Tworzenie reguł prywatnego punktu końcowego

Musisz utworzyć regułę prywatnego punktu końcowego w kontrolerze domeny dla każdego zasobu platformy Azure.

  1. Pobierz listę identyfikatorów zasobów platformy Azure dla wszystkich miejsc docelowych.
    1. Na innej karcie przeglądarki użyj witryny Azure Portal, aby przejść do usług platformy Azure źródła danych.
    2. Na stronie Przegląd poszukaj w sekcji Podstawy .
    3. Kliknij link Widok JSON. Identyfikator zasobu usługi jest wyświetlany w górnej części strony.
    4. Skopiuj ten identyfikator zasobu do innej lokalizacji. Powtórz dla wszystkich miejsc docelowych. Aby uzyskać więcej informacji na temat znajdowania identyfikatora zasobu, zobacz Wartości prywatnej strefy DNS prywatnego punktu końcowego platformy Azure.
  2. Wróć do karty przeglądarki konsolowej konta.
  3. Na pasku bocznym kliknij pozycję Zasoby w chmurze.
  4. Kliknij pozycję Konfiguracje łączności sieciowej.
  5. Wybierz kontroler domeny utworzony w kroku 1.
  6. W obszarze Reguły prywatnego punktu końcowego kliknij pozycję Dodaj regułę prywatnego punktu końcowego.
  7. W polu Docelowy identyfikator zasobu platformy Azure wklej identyfikator zasobu dla zasobu.
  8. W polu Identyfikator podźródła platformy Azure określ identyfikator docelowy i typ podźródła. Każda reguła prywatnego punktu końcowego musi używać innego identyfikatora podźródła. Aby uzyskać listę obsługiwanych typów podźródła, zobacz Dostępność usługi Azure Private Link.
  9. Kliknij przycisk Dodaj.
  10. Poczekaj kilka minut, aż wszystkie reguły punktu końcowego mają stan PENDING.

Krok 4. Zatwierdzanie nowych prywatnych punktów końcowych w zasobach

Punkty końcowe nie będą obowiązywać, dopóki administrator z uprawnieniami do zasobu nie zatwierdzi nowego prywatnego punktu końcowego. Aby zatwierdzić prywatny punkt końcowy przy użyciu witryny Azure Portal, wykonaj następujące czynności:

  1. W witrynie Azure Portal przejdź do zasobu.

  2. Na pasku bocznym kliknij pozycję Sieć.

  3. Kliknij pozycję Połączenia prywatnego punktu końcowego.

  4. Kliknij kartę Dostęp prywatny.

  5. W obszarze Połączenia prywatnego punktu końcowego przejrzyj listę prywatnych punktów końcowych.

  6. Kliknij pole wyboru obok każdego z nich, aby zatwierdzić, a następnie kliknij przycisk Zatwierdź nad listą.

  7. Wróć do kontrolera domeny w usłudze Azure Databricks i odśwież stronę przeglądarki, dopóki wszystkie reguły punktu końcowego nie będą miały stanu ESTABLISHED.

    Lista prywatnych punktów końcowych

(Opcjonalnie) Krok 5. Ustawienie konta magazynu w celu uniemożliwiania dostępu do sieci publicznej

Jeśli nie masz jeszcze ograniczonego dostępu do konta usługi Azure Storage tylko do sieci dozwolonych, możesz to zrobić.

  1. Przejdź do portalu Azure Portal.
  2. Przejdź do konta magazynu dla źródła danych.
  3. Na pasku bocznym kliknij pozycję Sieć.
  4. W polu Dostęp do sieci publicznej sprawdź wartość. Domyślnie wartość jest włączona ze wszystkich sieci. Zmień to na Wyłączone

Krok 6. Ponowne uruchamianie bezserwerowych zasobów płaszczyzny obliczeniowej i testowanie połączenia

  1. Po poprzednim kroku poczekaj pięć dodatkowych minut na propagację zmian.
  2. Uruchom ponownie wszystkie uruchomione bezserwerowe zasoby płaszczyzny obliczeniowej w obszarach roboczych dołączonych do kontrolera domeny. Jeśli nie masz żadnych uruchomionych zasobów bezserwerowej płaszczyzny obliczeniowej, uruchom je teraz.
  3. Upewnij się, że wszystkie zasoby zostały uruchomione pomyślnie.
  4. Uruchom co najmniej jedno zapytanie w źródle danych, aby potwierdzić, że bezserwerowa usługa SQL Warehouse może uzyskać dostęp do źródła danych.