Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Unterschiedliche Organisationen haben unterschiedliche Anforderungen an die Netzwerkisolation. Auf dieser Seite werden drei Referenzarchitekturen für allgemeine Anforderungen beschrieben. Identifizieren Sie die Architektur, die am besten zu Ihrer Netzwerktopologie, Ihren Data-Governance-Anforderungen und Ihren Egress-Control-Richtlinien passt.
Databricks-Architektur
Azure Databricks wird auf einer Steuerungsebene und einer Computeebeneausgeführt.
- Die Steuerungsebene umfasst die Back-End-Dienste, die Azure Databricks in Ihrem Azure Databricks-Konto verwaltet. Die Webanwendung befindet sich in der Steuerungsebene.
- Die Computeebene ist der Ort, an dem Ihre Daten verarbeitet werden. Es gibt zwei Arten von Rechenebenen, je nach der von Ihnen verwendeten Rechenleistung.
- Für das klassische Azure Databricks-Computing befinden sich die Computeressourcen in Ihrem Azure-Abonnement in der so genannten klassischen Computeebene. Dies bezieht sich auf das Netzwerk in Ihrem Azure-Abonnement und seine Ressourcen. Klassische Computeebenenressourcen befinden sich in derselben Region wie Ihr Arbeitsbereich.
- Für serverloses Computing werden die serverlosen Computeressourcen in einer serverlosen Computeebene in Ihrem Azure Databricks-Konto ausgeführt. Serverlose Computeebenenressourcen befinden sich in derselben Cloudregion wie die klassische Computeebene Ihres Arbeitsbereichs. Sie wählen diese Region bei der Erstellung eines Arbeitsbereichs aus.
Weitere Informationen zum klassischen Compute und serverlosen Compute finden Sie unter Compute. Weitere Architekturinformationen finden Sie unter Allgemeine Architektur.
Arten von Netzwerkkonnektivität
Databricks bietet standardmäßig eine sichere Netzwerkumgebung, aber wenn Ihre Organisation zusätzliche Anforderungen hat, können Sie Netzwerkkonnektivitätsfeatures zwischen den verschiedenen Netzwerkverbindungen konfigurieren. Jede Architektur konfiguriert Features für drei Arten von Netzwerkkonnektivität:
- Inbound: Benutzer und Anwendungen für Azure Databricks: Sie können Features konfigurieren, um den Zugriff zu steuern und private Verbindungen zwischen Benutzern und ihren Azure Databricks Arbeitsbereichen bereitzustellen. Weitere Informationen finden Sie unter Benutzer/Benutzerinnen in Azure Databricks-Netzwerken.
- Classic: Die Steuerungsebene und die klassische Computeebene: Klassische Computeressourcen wie Cluster werden in Ihrem Azure-Abonnement bereitgestellt und stellen eine Verbindung mit der Steuerungsebene her. Sie können klassische Netzwerkkonnektivitätsfeatures verwenden, um klassische Computeebenenressourcen in Ihrem eigenen virtuellen Netzwerk bereitzustellen und private Verbindungen zwischen den Clustern und der Steuerungsebene zu ermöglichen. Weitere Informationen finden Sie unter Netzwerke auf der klassischen Computeebene.
- Outbound: Die serverlose Computeebene und -speicherung: Sie können Firewalls für Ihre Ressourcen konfigurieren, um den Zugriff von der Azure Databricks serverlosen Computeebene zu ermöglichen. Siehe Serverless Compute Plane Networking.
Verwenden Sie das folgende Diagramm, um die Art und Weise zu visualisieren, wie Daten durch Databricks fließen.
Auswählen der Netzwerkarchitektur
Diese Architekturen bieten Netzwerksicherheit für jede Art von Konnektivität in einer stufenweisen Abfolge. Beginnen Sie mit verwalteter Sicherheit als Basisplan und Ebene für Steuerelemente, während Ihre Anforderungen steigen. Die meisten Organisationen sichern den eingehenden und ausgehenden Datenverkehr ab, bevor sie zu einer vollständig privaten Konnektivität übergehen.
| Architecture | Description |
|---|---|
| Verwaltete Sicherheit | Ihr Ausgangspunkt. Azure Databricks verwaltete Infrastruktur mit sicheren Standardwerten. Wenden Sie auf dieser Grundlage die Kontrollen von Unity Catalog zur Datengovernance an. |
| Gehärtete Konnektivität | Härtet den eingehenden und ausgehenden Datenverkehr zusätzlich zu Managed Security ab. Am besten geeignet für Organisationen, die über Auditierbarkeit und Zugriffssteuerung verfügen müssen, ohne öffentliche Endpunkte zu beseitigen. |
| Isolierte Umgebung | Macht zusätzlich zu Hardened Connectivity sämtliche Zugriffe privat. Für regulierte Branchen (Finanzdienstleistungen, Gesundheitswesen, Regierung) mit strengen Datenexfiltrationsanforderungen. |
Merkmalsmatrix
Die folgende Tabelle zeigt, welche Netzwerksicherheitsfeatures für jede Architektur gelten:
| Connectivity | Funktion | Verwaltete Sicherheit | Abgesicherte Konnektivität | Isolierte Umgebung |
|---|---|---|---|---|
| Klassisches Rechnen | Secure Cluster Connectivity (SCC) | Yes | Yes | Yes |
| Klassisches Rechnen | VNet-Injektion | Yes | Yes | Yes |
| Klassisches Rechnen | Klassische Rechenebene Private Link | Fakultativ | Yes | Yes |
| Inbound | Eingehender Private Link für den Arbeitsbereich | No | No | Yes |
| Inbound | Eingehender privater Link für leistungsintensive Dienste | No | No | Yes |
| Inbound | IP-Zugriffslisten für Arbeitsbereiche | No | Yes | Yes |
| Inbound | IP-Zugriffslisten auf Kontoebene | No | Yes | Yes |
| Inbound | IP-Zugriffslisten für Delta Sharing | No | Yes | Yes |
| Ausgehend | Serverless-Egress-Steuerung | No | Yes | Yes |
| Ausgehend | Serverlose Private Link (private NCC-Endpunkte) | No | Yes | Yes |
| Ausgehend | Serverlose stabile IPs | Yes | Yes | Yes |
| Ausgehend | Externe Firewall | Fakultativ | Fakultativ | Yes |
Weitere Ressourcen
| Ressource | Description |
|---|---|
| Bewährte Methoden für Databricks-Sicherheit | Sicherheitsreferenzarchitekturen, Security Analysis Tool (SAT) und das AWS-Sicherheits-Whitepaper. |
| Netzwerkkosten | Planen und verwalten Sie Netzwerkkosten für Azure-Databricks-Bereitstellungen. |