Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Diverse organizzazioni hanno requisiti di isolamento della rete diversi. Questa pagina descrive tre architetture di riferimento per i requisiti comuni. Identificare l'architettura più adatta alla topologia di rete, alle esigenze di governance dei dati e ai criteri di controllo in uscita.
Architettura di Databricks
Azure Databricks opera da un piano di controllo e da un piano di calcolo.
- Il piano di controllo include i servizi back-end gestiti da Azure Databricks nell'account Azure Databricks. L'applicazione Web si trova nel piano di controllo.
- Il piano di calcolo è la posizione in cui vengono elaborati i dati. Esistono due tipi di piani di calcolo a seconda del calcolo in uso.
- Per le risorse di calcolo classiche di Azure Databricks, le risorse di calcolo si trovano nella sottoscrizione di Azure nel cosiddetto piano di calcolo classico. Questo si riferisce alla rete nella sottoscrizione di Azure e alle relative risorse. Le risorse del piano di calcolo classico si trovano nella stessa area dell'area di lavoro.
- Per il calcolo serverless, le risorse di calcolo serverless vengono eseguite in un piano di calcolo serverless nell'account Azure Databricks. Le risorse del piano di calcolo serverless si trovano nella stessa area cloud del piano di calcolo classico dell'area di lavoro. Questa area viene selezionata durante la creazione di un'area di lavoro.
Per altre informazioni sul calcolo classico e sul calcolo serverless, vedere Calcolo. Per altre informazioni sull'architettura, vedere Architettura generale.
Tipi di connettività di rete
Databricks offre un ambiente di rete sicuro per impostazione predefinita, ma se l'organizzazione ha esigenze aggiuntive, è possibile configurare le funzionalità di connettività di rete tra le diverse connessioni di rete. Ogni architettura configura le funzionalità in tre tipi di connettività di rete:
- Inbound: utenti e applicazioni da Azure Databricks: è possibile configurare le funzionalità per controllare l'accesso e fornire connettività privata tra gli utenti e le aree di lavoro Azure Databricks. Consulta Rete utenti di Azure Databricks.
- Classic: il piano di controllo e il piano di calcolo classico: le risorse di calcolo classiche, ad esempio i cluster, vengono distribuite nella sottoscrizione Azure e si connettono al piano di controllo. È possibile usare le funzionalità di connettività di rete classiche per distribuire le risorse del piano di calcolo classico nella propria rete virtuale e abilitare la connettività privata dai cluster al piano di controllo. Vedere Rete del piano di calcolo classico.
- Traffico in uscita: il piano di calcolo serverless e l'archiviazione: è possibile configurare i firewall sulle risorse per consentire l'accesso dal piano di calcolo serverless di Azure Databricks. Vedere Rete per il piano di calcolo senza server.
Usare il diagramma seguente per visualizzare il modo in cui i dati passano attraverso Databricks.
Scegliere l'architettura di rete
Queste architetture forniscono la sicurezza di rete per ogni tipo di connettività in un avanzamento. Inizia con la sicurezza gestita come base di riferimento e aggiungi livelli di controllo man mano che i requisiti aumentano. La maggior parte delle organizzazioni rafforza l'ingresso e l'uscita prima di passare alla connettività privata completa.
| Architecture | Description |
|---|---|
| Sicurezza gestita | Il punto di partenza. Infrastruttura gestita da Azure Databricks con impostazioni predefinite sicure. Applicate i controlli di Unity Catalog oltre a questa base per la governance dei dati. |
| Connettività rafforzata | Rafforza l'ingresso e l'uscita oltre alla sicurezza gestita. Ideale per le organizzazioni che devono avere controllo di controllo e accesso senza eliminare gli endpoint pubblici. |
| Ambiente isolato | Rende privato ogni accesso, in aggiunta alla connettività rafforzata. Per i settori regolamentati (servizi finanziari, sanità, enti pubblici) con requisiti rigorosi di esfiltrazione dei dati. |
Matrice di funzionalità
La tabella seguente illustra le funzionalità di sicurezza di rete applicabili a ogni architettura:
| Connectivity | Feature | Sicurezza gestita | Connettività protetta | Ambiente isolato |
|---|---|---|---|---|
| Calcolo classico | Secure Cluster Connectivity (SCC) | Yes | Yes | Yes |
| Calcolo classico | Iniezione di VNet | Yes | Yes | Yes |
| Calcolo classico | Piano di calcolo classico collegamento privato | Facoltativo | Yes | Yes |
| Inbound | collegamento privato in ingresso dell'area di lavoro | No | No | Yes |
| Inbound | Collegamento privato in entrata per servizi ad alte prestazioni | No | No | Yes |
| Inbound | Elenchi di accesso IP dell'area di lavoro | No | Yes | Yes |
| Inbound | Elenchi di accesso IP a livello di account | No | Yes | Yes |
| Inbound | Elenchi di accesso IP di Delta Sharing | No | Yes | Yes |
| In uscita | Controllo dell'egresso serverless | No | Yes | Yes |
| In uscita | collegamento privato serverless (endpoint privati di NCC) | No | Yes | Yes |
| In uscita | Indirizzi IP serverless stabili | Yes | Yes | Yes |
| In uscita | Firewall esterno | Facoltativo | Facoltativo | Yes |
Risorse aggiuntive
| risorsa | Description |
|---|---|
| Procedure consigliate per la sicurezza di Databricks | Architetture di riferimento alla sicurezza, Security Analysis Tool (SAT) e il white paper sulla sicurezza di AWS. |
| Costi di rete | Pianificare e gestire i costi di rete tra le distribuzioni di Azure Databricks. |