Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Если рабочая область Azure Databricks развернута в вашу собственную виртуальную сеть (VNet), можно использовать настраиваемые маршруты, также известные как пользовательские маршруты (UDR), чтобы обеспечить правильность маршрутизации сетевого трафика для рабочей области. Например, если вы подключите виртуальную сеть к локальной сети, трафик может направляться через локальную сеть и не сможет получить доступ к плоскости управления Azure Databricks. Эту проблему могут решить определяемые пользователем маршруты.
Определяемые пользователем маршруты (UDR) требуются для каждого типа исходящего подключения из Виртуальной сети. Вы можете использовать оба тега служб Azure и IP-адреса для настройки сетевых политик доступа на маршрутах, заданных пользователем. Databricks рекомендует использовать теги службы Azure, чтобы предотвратить сбои служб из-за изменений IP-адресов.
Настройка пользовательских маршрутов с тегами сервисов Azure
Databricks рекомендует использовать теги службы Azure, представляющие группу префиксов IP-адресов из данной службы Azure. Microsoft управляет префиксами адресов, охватываемым тегом службы, и автоматически обновляет тег службы по мере изменения адресов. Это помогает предотвратить сбои служб из-за изменений IP-адресов и удаляет необходимость периодически искать эти IP-адреса и обновлять их в таблице маршрутов. Однако если политики организации запрещают теги служб, можно также указать маршруты в качестве IP-адресов.
Используя теги служб, определяемые пользователем маршруты должны использовать следующие правила и связать таблицу маршрутов с общедоступными и частными подсетями виртуальной сети.
| Источник | Префикс адреса | Тип следующего прыжка |
|---|---|---|
| Значение по умолчанию | AzureDatabricks |
Интернет |
| Значение по умолчанию | Storage |
Интернет |
| Значение по умолчанию | EventHub |
Интернет |
Примечание.
Вы можете добавить тег службы Microsoft Entra ID, чтобы облегчить проверку подлинности Microsoft Entra ID, осуществляемую из кластеров Azure Databricks к ресурсам Azure.
Если Приватный канал Azure включен в рабочей области, тег службы Azure Databricks не требуется.
Тег службы Azure Databricks представляет IP-адреса для необходимых исходящих подключений к плоскости управления Azure Databricks, безопасного подключения кластера (SCC) и веб-приложения Azure Databricks. Кроме того, необходимо открыть порт 3306 для исходящего трафика в группе безопасности сети, чтобы разрешить подключение к устаревшему хранилищу метаданных Hive.
Тег службы служба хранилища Azure представляет IP-адреса для хранилища BLOB-объектов артефактов и хранилища BLOB-объектов журналов. Тег службы Центры событий Azure представляет собой необходимые выходящие подключения для ведения журнала событий в центре событий Azure.
Некоторые теги служб позволяют более детально контролировать, ограничив диапазоны IP-адресов указанным регионом. Например, таблица маршрутов для рабочей области Azure Databricks в регионах западной части США может выглядеть следующим образом:
| Имя. | Префикс адреса | Тип следующего прыжка |
|---|---|---|
| adb-servicetag | AzureDatabricks | Интернет |
| хранилище adb-storage | Storage.WestUS | Интернет |
| adb-eventhub | EventHub.WestUS | Интернет |
Это важно
Если вы используете теги служб с областью действия региона, обратите внимание, что некоторые конечные точки региона могут находиться в другом регионе Azure, отличном от основной хранилищной конечной точки. Например, рабочая область в Восточной Японии имеет свое дополнительное хранилище артефактов на Западе Японии. В этом случае необходимо добавить тег службы для дополнительного региона. Сведения о полных доменных именах для региона рабочей области см. в разделе "Хранилище метаданных", хранилище BLOB-объектов артефактов, системные таблицы, хранилище BLOB-объектов журнала и IP-адреса конечных точек Центров событий.
Чтобы получить теги служб, необходимые для определяемых пользователем маршрутов, см. теги службы виртуальной сети.
Настройка определяемых пользователем маршрутов с IP-адресами
Databricks рекомендует использовать теги служб Azure, но если политики вашей организации не разрешают использование тегов служб, можно использовать IP-адреса для определения контроля доступа к сети на маршрутах, определяемых пользователями.
Сведения зависят от того, включена ли для рабочей области Служба безопасного подключения кластера (SCC):
- Если для рабочей области включено безопасное подключение кластера, вам потребуется определяемый пользователем маршрут, чтобы разрешить кластерам подключаться к ретранслятору с защитным подключением кластера на уровне управления. Не забудьте включить системы, отмеченные как ретрансляция IP-адресов SCC для вашего региона.
- Если для рабочей области отключено безопасное подключение кластера, то существует входящее подключение от Control Plane NAT, однако TCP SYN-ACK низкого уровня для этого подключения с технической точки зрения рассматриваются как исходящие данные, для них требуется определяемый пользователем маршрут. Не забудьте включить системы, помеченные как NAT IP-адреса для уровня управления в вашем регионе.
Определяемые пользователем маршруты должны использовать следующие правила и связать таблицу маршрутов с общедоступными и частными подсетями виртуальной сети.
| Источник | Префикс адреса | Тип следующего прыжка |
|---|---|---|
| Значение по умолчанию | IP-адрес NAT плоскости управления (если подключение кластера отключено) | Интернет |
| Значение по умолчанию | IP-адрес ретранслятора SCC (если SCC включен) | Интернет |
| Значение по умолчанию | Webapp IP-адрес | Интернет |
| Значение по умолчанию | IP-адрес хранилища метаданных | Интернет |
| Значение по умолчанию | IP-адрес хранилища больших двоичных объектов артефакта | Интернет |
| Значение по умолчанию | IP-адрес хранилища журналов Blob | Интернет |
| Значение по умолчанию | IP-адрес хранилища рабочей области — конечная точка Хранилище BLOB-объектов | Интернет |
| Значение по умолчанию | IP-адрес хранилища рабочей области — конечная точка ADLS (dfs) |
Интернет |
| Значение по умолчанию | IP-адрес Центров событий | Интернет |
Если в рабочей области включена Приватный канал Azure, определяемые пользователем маршруты должны использовать следующие правила и связать таблицу маршрутов с общедоступными и частными подсетями виртуальной сети.
| Источник | Префикс адреса | Тип следующего прыжка |
|---|---|---|
| Значение по умолчанию | IP-адрес хранилища метаданных | Интернет |
| Значение по умолчанию | IP-адрес хранилища больших двоичных объектов артефакта | Интернет |
| Значение по умолчанию | IP-адрес хранилища журналов Blob | Интернет |
| Значение по умолчанию | IP-адрес Центров событий | Интернет |
Чтобы получить IP-адреса, необходимые для определяемых пользователем маршрутов, используйте таблицы и инструкции в Azure Databricks регионах, в частности: