Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Deze functie bevindt zich in openbare preview-versie.
Azure Databricks serverloze berekening maakt verbinding met uw cloudresources via een beheerde netwerkinfrastructuur. Als firewalls uw cloudresources beveiligen, moet u verkeer van serverloze berekeningen toestaan. De configuratiemethode is afhankelijk van het type resource:
-
Azure opslagaccounts in de regio van uw werkruimte: koppel uw opslagaccount aan een netwerkbeveiligingsperimeter (NSP) en sta de
AzureDatabricksServerlessservicetag toe.
- Andere resources: Hiermee staat u de uitgaande IP-adressen toe die zijn gepubliceerd door Azure Databricks.
Notitie
Als u een dedicated privéverbinding met uw resources nodig hebt, gebruikt u een uitgaande Private Link-verbinding om uw resources te bereiken in plaats van IP-adressen op de allowlist te zetten. Zie Privéconnectiviteit configureren voor resources in uw VNet.
Een Azure-netwerkbeveiligingsperimeter configureren voor Azure opslagaccounts
Een Azure netwerkbeveiligingsperimeter (NSP) is een ingebouwde Azure functie waarmee een logische isolatiegrens wordt gemaakt voor uw PaaS-resources (Platform-as-a-Service). Wanneer u uw opslagaccounts koppelt aan een NSP, beheert u netwerkverkeer centraal met een vereenvoudigde regelset in plaats van complexe lijsten met afzonderlijke IP-adressen of subnet-id's te onderhouden. In deze sectie wordt beschreven hoe u een NSP configureert voor het beheren van serverloze rekentoegang tot uw Azure-opslagaccounts met behulp van de Azure-portal.
NSP biedt ondersteuning voor toegang vanaf serverloze SQL-warehouses, taken, notebooks, Lakeflow Spark Declarative Pipelines en endpoints voor het serveren van modellen.
Belangrijk
Op 9 juni 2026 moeten alle bestaande Azure-opslagaccounts die Azure Databricks serverless subnet-id's toestaan, worden opgenomen in een netwerkbeveiligingsperimeter en moeten de AzureDatabricksServerless servicetag toestaan.
Belangrijkste voordelen
Het gebruik van NSP voor serverloos uitgaand verkeer van Azure Databricks verbetert uw beveiligingspostuur en vermindert de operationele overhead aanzienlijk:
| Benefit | Description |
|---|---|
| Kostenbesparingen | Verkeer dat wordt verzonden via service-eindpunten blijft op de Azure-backbone en brengt geen kosten voor gegevensverwerking in rekening. |
| Vereenvoudigd beheer | Azure Databricks raadt u aan om een regionale servicetag te gebruiken om de toegang tot een specifieke regio te beperken, bijvoorbeeld AzureDatabricksServerless.EastUS2. Alle communicatie wordt gerouteerd via de Azure backbone. Als werkruimten in veel regio's toegang nodig hebben, kunt u meerdere regionale servicetags gebruiken. Zie Azure Databricks-regio's voor de volledige lijst met ondersteunde Azure-regio's. |
| Gecentraliseerd beveiligingsbeheer | Beveiligingsbeleid beheren voor meerdere resourcetypen, waaronder opslag, sleutelkluizen en databases, binnen één NSP-profiel. |
Ondersteunde Azure-diensten
De AzureDatabricksServerless-servicetag wordt alleen ondersteund voor inkomende NSP-regels die zijn gericht op Azure Storage (inclusief ADLS Gen2) in de regio van de werkruimte.
Requirements
Voordat u begint, moet u aan de volgende vereisten voldoen:
- U moet een Azure Databricks-accountbeheerder zijn.
- U moet inzender- of eigenaarmachtigingen hebben voor de Azure-resource die u wilt configureren.
- U moet gemachtigd zijn om perimeterbronnen voor netwerkbeveiliging te maken in uw Azure-abonnement.
- Uw Azure Databricks werkruimte en Azure resources moeten zich in dezelfde Azure regio bevinden voor optimale prestaties en om kosten voor gegevensoverdracht tussen regio's te voorkomen.
Stap 1: Maak een netwerkbeveiligingsperimeter en noteer de profiel-id
Ga als volgt te werk om de perimeter te maken en de bijbehorende profiel-id te noteren:
Meld u aan bij het Azure-portaal.
Voer in het zoekvak bovenaan netwerkbeveiligingsperimeter in en selecteer deze in de resultaten.
Klik op en maakaan.
Voer op het tabblad Basisinformatie de volgende gegevens in:
- Abonnement: selecteer uw Azure-abonnement.
- Resourcegroep: Selecteer een bestaande resourcegroep of maak er een.
-
Naam: Voer een naam in voor uw NSP (bijvoorbeeld
databricks-nsp). - Regio: Selecteer de regio voor uw NSP. De regio moet overeenkomen met uw Azure Databricks werkruimteregio en de regio van uw Azure opslagaccount.
-
Profielnaam: Voer een profielnaam in (bijvoorbeeld
databricks-profile).
Klik Controleren en maken en vervolgens Maken.
Nadat de NSP is gemaakt, gaat u naar de NSP in de Azure-portal.
Ga in de linkerzijbalk naar Instellingenprofielen>.
Maak of selecteer uw profiel (bijvoorbeeld
databricks-profile).Kopieer de resource-id voor het profiel. U hebt deze id nodig om resources programmatisch te koppelen.
Tip
Sla de profiel-id op een veilige locatie op. U moet deze beschikbaar hebben als u resources wilt koppelen met behulp van de Azure CLI of API in plaats van de Azure-portal.
Stap 2: Uw opslagaccount koppelen aan NSP in de overgangsmodus
U moet elk Azure opslagaccount dat u wilt openen vanuit Azure Databricks serverloze berekening koppelen aan uw NSP-profiel door de onderstaande stappen uit te voeren:
- Ga naar uw netwerkbeveiligingsperimeter in de Azure-portal.
- Ga in de linkerzijbalk naar Gekoppelde resources onder Instellingen.
- Klik op + Toevoegen>Koppel resources aan een bestaand profiel.
- Selecteer het profiel dat u in stap 1 hebt gemaakt (bijvoorbeeld
databricks-profile). - Klik op Koppelen.
- Filter in het deelvenster Resourceselectie op
Microsoft.Storage/storageAccountsom een Azure Data Lake Storage Gen2-account te koppelen. - Selecteer uw opslagaccounts in de lijst.
- Klik onder aan het deelvenster op Koppelen .
Overgangsmodus controleren:
- Ga in de NSP naar Instellingen>gekoppelde resources.
- Zoek uw opslagaccount in de lijst.
- Controleer of in de kolom ToegangsmodusOvergang wordt weergegeven. Overgang is de standaardmodus.
Notitie
Blijf in de overgangsmodus om de compatibiliteit met uw bestaande netwerkinstallatie te behouden en profiteer van vereenvoudigd regelbeheer. Zie beperkingen voor netwerkbeveiligingsperimeter.
De overgangsmodus evalueert eerst NSP-regels. Als er geen NSP-regel overeenkomt met de binnenkomende aanvraag, valt het systeem terug op de bestaande firewallregels van de resource.
Stap 3: Een regel voor binnenkomende toegang toevoegen voor serverloze compute van Azure Databricks
U moet een binnenkomende toegangsregel maken in uw NSP-profiel om verkeer van serverloze Azure Databricks-berekeningen naar uw Azure-resources toe te staan.
- Ga naar uw netwerkbeveiligingsperimeter in de Azure-portal.
- Ga in de linkerzijbalk naar Instellingenprofielen>.
- Selecteer uw profiel (bijvoorbeeld
databricks-profile). - Klik onder Instellingen op Regels voor binnenkomende toegang.
- Klik op + Toevoegen.
- Configureer de regel:
-
Regelnaam: Voer een beschrijvende naam in (bijvoorbeeld
allow-databricks-serverless). - Brontype: selecteer servicetag.
-
Toegestane bronnen: Selecteer AzureDatabricksServerless.[ your_workspace_region] (bijvoorbeeld
AzureDatabricksServerless.EastUS2). Als u een regionale tag gebruikt, beperkt u de toegang tot Azure Databricks IP-adressen in de regio van uw werkruimte, waardoor de blootstelling wordt verminderd ten opzichte van de globale tag.
-
Regelnaam: Voer een beschrijvende naam in (bijvoorbeeld
- Klik op Toevoegen.
Tip
Azure Databricks raadt u aan om een regionale servicetag (AzureDatabricksServerless.[your_workspace_region]) te gebruiken voor een strakkere beveiliging. Als u de globale tag AzureDatabricksServerless toestaat, hebt u toegang vanuit alle Azure Databricks regio's. Als werkruimten in veel regio's toegang nodig hebben tot uw opslag, kunt u meerdere regionale servicetags gebruiken.
Stap 4: De configuratie controleren
Nadat u uw NSP hebt geconfigureerd, controleert u of Azure Databricks serverloze berekening toegang heeft tot uw opslag en de NSP-activiteit kan bewaken.
Toegang testen vanuit serverloze rekenkracht
Ga naar uw Azure resource in de Azure-portal.
Ga naar Beveiliging en netwerken>.
Controleer of de resource een koppeling met uw netwerkbeveiligingsperimeter weergeeft.
Controleer of de status de overgangsmodus weergeeft.
Bekijk de regels voor inkomend verkeer die zijn gekoppeld aan uw profiel om te bevestigen dat de
AzureDatabricksServerlessregel wordt vermeld (regionaal of globaal).Voer in uw Azure Databricks-werkruimte een testquery uit om te controleren of serverloze compute toegang heeft tot uw resource. Als u bijvoorbeeld de toegang tot een ADLS Gen2-opslagaccount wilt testen:
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;Als de query slaagt, werkt uw NSP-configuratie correct.
NSP-activiteit bewaken
Verbindingen monitoren die door NSP-regels zijn toegestaan of geweigerd:
Ga naar uw Azure resource in de Azure-portal.
Ga naar Monitoring>Diagnostische instellingen.
Klik Diagnostische instelling toevoegen.
Selecteer de logboekcategorieën die u wilt bewaken. Voor Azure Storage-accounts selecteert u:
- StorageRead
- StorageWrite
Selecteer een bestemming:
- Log Analytics-werkruimte (aanbevolen voor het uitvoeren van query's en analyses)
- Opslagaccount (voor langetermijnarchivering)
- Event Hub (voor streaming naar externe systemen)
Klik op Opslaan.
Tip
Diagnostische logboeken tonen verbindingspogingen die overeenkomen met NSP-regels in vergelijking met resourcefirewallregels. In de overgangsmodus geven de logboeken aan of elke aanvraag is toegestaan door een NSP-regel of is teruggevallen naar de resourcefirewall.
Informatie over NSP-toegangsmodi
NSP ondersteunt twee toegangsmodi: overgangsmodus en afgedwongen modus. Azure Databricks raadt de overgangsmodus voor onbepaalde tijd aan voor de meeste gebruiksscenario's.
Overgangsmodus (aanbevolen):
- Controleert eerst NSP-regels en valt vervolgens terug op firewallregels voor resources als er geen NSP-regel overeenkomt.
- Hiermee kunt u NSP naast bestaande netwerkconfiguraties gebruiken.
- Compatibel met service-eindpunten, klassieke rekenconfiguraties en patronen voor openbaar netwerkverkeer.
Afgedwongen modus (niet aanbevolen voor de meeste klanten):
- Hiermee worden firewallregels voor resources omzeild, waardoor al het verkeer dat niet overeenkomt met een NSP-regel, wordt geblokkeerd. De afgedwongen modus is niet alleen van invloed op Azure Databricks, maar ook op andere services die u hebt toegestaan via uw resourcefirewall. Deze services moeten zijn toegevoegd aan NSP om door te gaan met werken.
- Blijf in de overgangsmodus als u service-eindpunten gebruikt om vanuit Azure Databricks werkruimten verbinding te maken met opslag.
Warning
Blijf in de overgangsmodus om de compatibiliteit met uw bestaande netwerkinstallatie te behouden en profiteer van vereenvoudigd regelbeheer. Zie beperkingen voor netwerkbeveiligingsperimeter.
Toegang tot andere resources configureren met behulp van uitgaande IP-adressen
Belangrijk
Vanaf medio februari 2026 publiceert Azure Databricks uitgaande IP-adressen in JSON-indeling op een openbaar eindpunt. Dit is de ondersteunde methode voor het ophalen van deze IP-adressen.
Als u stabiele IP-adressen uit de openbare preview gebruikt of deze hebt gekopieerd uit een netwerkverbindingsconfiguratie (NCC) in de accountconsole, moet u vóór 25 mei 2026 migreren naar de nieuwe methode. Na 25 mei 2026 worden verouderde IP-lijsten buiten gebruik gesteld en kunnen onvolledige migraties leiden tot onderbrekingen van de werkbelasting.
Voor andere resources dan Azure-opslagaccounts in dezelfde regio als uw werkruimte, gebruikt serverloze rekenkracht openbare IP-adressen om uw resources te bereiken.
Als u serverloze toegang wilt tot resources met firewalls, moet u de CIDR-blokken toevoegen die zijn gepubliceerd door Azure Databricks aan uw acceptatielijst. Zie Uitgaande IP-adressen voor preview van firewall voor serverloze rekenkracht voor meer informatie over gepubliceerde uitgaande IP-adressen.
De uitgaande IP-adressen voor uw omgeving zoeken
- Downloaden
ip-ranges.json. - Filter de JSON op de vermeldingen die van toepassing zijn op uw werkruimte. Behoud alleen vermeldingen waar:
-
serviceisDatabricks -
typeisoutbound -
regionkomt overeen met uw werkruimteregio -
platformkomt overeen metazure
-
- Voeg de
ipv4Prefixes(CIDR-blokken) van de overeenkomende vermeldingen toe aan de lijst met toegestane items in de firewall van uw resource.
Updates automatiseren om uw acceptatielijst actueel te houden
U moet updates voor uw acceptatielijst automatiseren. Azure Databricks deze IP-adressen na verloop van tijd wijzigt, waardoor een statische, eenmalige kopie uiteindelijk geen serverloze connectiviteit meer heeft. Updates worden zo vaak gepubliceerd als elke 30 dagen, nieuwe IP-adressen worden actief zodra 60 dagen na publicatie en nieuwe regio's periodiek worden toegevoegd. Uw acceptatielijst actueel houden:
- Haal
ip-ranges.jsonvolgens een planning op (bijvoorbeeld elke 30 dagen). - Vergelijk het
timestampSecondsveld met uw opgeslagen kopie om wijzigingen te detecteren. - Als dit is gewijzigd, controleer dan of de IP-adressen van uw
platformenregionzijn gewijzigd. - Werk de acceptatielijst van uw firewall bij met nieuwe IP-adressen.
- Sla het bestand op voor de volgende vergelijking.
Considerations
Bekijk de volgende overwegingen voordat u een firewall configureert voor serverloze berekeningen:
- Het configureren van een firewall is ook van invloed op de connectiviteit van klassieke rekenresources. U moet ook de toegangsregels voor resources bijwerken om de IP-adressen voor verbindingen van klassieke rekenresources toe te staan.
- Wacht totdat firewallregels zijn doorgevoerd voordat u de verbinding vanaf serverloze rekenresources test.
Volgende stappen
- Configureer privéconnectiviteit met resources in uw VPC: Gebruik PrivateLink om beveiligde en geïsoleerde toegang tot resources in uw VPC tot stand te brengen vanaf serverloze berekeningen. Zie Privéconnectiviteit configureren voor resources in uw VNet.
- Regels voor privé-eindpunten beheren: regels voor privé-eindpunten weergeven, bijwerken en verwijderen voor de configuratie van uw netwerkconnectiviteit. Zie Regels voor privé-eindpunten beheren.