Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Verschillende organisaties hebben verschillende vereisten voor netwerkisolatie. Deze pagina bevat drie referentiearchitecturen voor algemene vereisten. Identificeer de architectuur die het beste past bij uw netwerktopologie, behoeften voor gegevensbeheer en beleidsregels voor uitgaand verkeer.
Databricks-architectuur
Azure Databricks werkt vanuit een besturingsvlak en een rekenvlak.
- Het besturingsvlak bevat de back-endservices die Azure Databricks beheert in uw Azure Databricks-account. De webtoepassing bevindt zich in het controlevlak.
- Het rekenvlak is waar uw gegevens worden verwerkt. Er zijn twee typen rekenvlakken, afhankelijk van de berekening die u gebruikt.
- Voor klassieke Azure Databricks-berekeningen bevinden de rekenresources zich in uw Azure-abonnement in de zogenaamde klassieke rekenlaag. Dit verwijst naar het netwerk in uw Azure-abonnement en de bijbehorende resources. Klassieke rekenvlakresources bevinden zich in dezelfde regio als uw werkruimte.
- Voor serverloze berekeningen worden de serverloze rekenresources uitgevoerd in een serverloze rekenlaag in uw Azure Databricks-account. Serverloze rekenvlakresources bevinden zich in dezelfde cloudregio als het klassieke rekenvlak van uw werkruimte. U selecteert deze regio bij het maken van een werkruimte.
Zie Compute voor meer informatie over klassieke berekeningen en serverloze berekeningen. Zie Architectuur op hoog niveau voor meer informatie over de architectuur.
Typen netwerkconnectiviteit
Databricks biedt standaard een beveiligde netwerkomgeving, maar als uw organisatie aanvullende behoeften heeft, kunt u netwerkconnectiviteitsfuncties tussen de verschillende netwerkverbindingen configureren. Elke architectuur configureert functies voor drie typen netwerkconnectiviteit:
- Inbound: Gebruikers en toepassingen voor Azure Databricks: U kunt functies configureren om de toegang te beheren en privéconnectiviteit te bieden tussen gebruikers en hun Azure Databricks werkruimten. Zie Gebruikers voor Azure Databricks-netwerken.
- Classic: Het besturingsvlak en het klassieke rekenvlak: Klassieke rekenresources, zoals clusters, worden geïmplementeerd in uw Azure-abonnement en maken verbinding met het besturingsvlak. U kunt klassieke netwerkconnectiviteitsfuncties gebruiken om klassieke rekenvlakresources in uw eigen virtuele netwerk te implementeren en privéconnectiviteit van de clusters naar het besturingsvlak in te schakelen. Zie Klassiek rekenvliegtuignetwerk.
- Outbound: het serverloze rekenvlak en de opslag: U kunt firewalls op uw resources configureren om toegang vanaf het serverloze rekenvlak van Azure Databricks toe te staan. Zie Serverloze rekenvlaknetwerken.
Gebruik het volgende diagram om de manier te visualiseren waarop gegevens door Databricks stromen.
Uw netwerkarchitectuur kiezen
Deze architecturen bieden netwerkbeveiliging voor elk type connectiviteit in een voortgang. Begin met beheerde beveiliging als uitgangspunt en voeg extra beheersmaatregelen toe naarmate uw vereisten toenemen. De meeste organisaties beveiligen inkomend en uitgaand verkeer voordat ze overstappen op volledige privéconnectiviteit.
| Architecture | Description |
|---|---|
| Beheerde beveiliging | Uw beginpunt. Azure Databricks beheerde infrastructuur met beveiligde standaardinstellingen. Pas Unity Catalog-besturingselementen toe boven op deze basislijn voor gegevensbeheer. |
| Beperkte connectiviteit | Versterkt de beveiliging van inkomend en uitgaand verkeer boven op Managed Security. Het meest geschikt voor organisaties die controlebaarheid en toegangsbeheer moeten hebben zonder openbare eindpunten te elimineren. |
| Geïsoleerde omgeving | Zorgt ervoor dat alle toegang privé is boven op beveiligde connectiviteit. Voor gereguleerde branches (financiële dienstverlening, gezondheidszorg, overheid) met strikte vereisten voor gegevensexfiltratie. |
Kenmerkenmatrix
In de volgende tabel ziet u welke netwerkbeveiligingsfuncties van toepassing zijn op elke architectuur:
| Connectivity | Feature | Beheerde beveiliging | Beperkte connectiviteit | Geïsoleerde omgeving |
|---|---|---|---|---|
| Klassieke rekenkracht | SCC (Secure Cluster Connectivity) | Yes | Yes | Yes |
| Klassieke rekenkracht | VNet-invoeging | Yes | Yes | Yes |
| Klassieke rekenkracht | Klassiek rekenplatform Private Link | Optional | Yes | Yes |
| Inkomend | Inkomende Private Link voor werkruimte | No | No | Yes |
| Inkomend | Inkomende Private Link voor prestatiesintensieve diensten | No | No | Yes |
| Inkomend | IP-toegangslijsten voor werkruimten | No | Yes | Yes |
| Inkomend | IP-toegangslijsten op accountniveau | No | Yes | Yes |
| Inkomend | IP-toegangslijsten voor Delta Sharing | No | Yes | Yes |
| Uitgaand | Serverloze uitgaande verkeerscontrole | No | Yes | Yes |
| Uitgaand | Serverloze Private Link (privé-eindpunten van NCC) | No | Yes | Yes |
| Uitgaand | Serverloze stabiele IP-adressen | Yes | Yes | Yes |
| Uitgaand | Externe firewall | Optional | Optional | Yes |
Aanvullende bronnen
| Resource | Description |
|---|---|
| Best practices voor Databricks-beveiliging | Beveiligingsreferentiearchitecturen, Security Analysis Tool (SAT) en de AWS-securitywhitepaper. |
| Netwerkkosten | Netwerkkosten plannen en beheren voor Azure Databricks implementaties. |