Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Esse recurso está em Visualização Pública.
A computação serverless do Azure Databricks se conecta aos seus recursos de nuvem por meio de infraestrutura de rede gerenciada. Se os firewalls protegerem seus recursos de nuvem, você deverá permitir o tráfego da computação sem servidor. O método de configuração depende do tipo de recurso:
-
Contas de Armazenamento do Azure na região do seu espaço de trabalho: Associe sua conta de armazenamento a um perímetro de segurança de rede (NSP) e permita a
AzureDatabricksServerlesstag de serviço.
- Outros recursos: Adicione à lista de permissões os endereços IP de saída publicados pelo Azure Databricks.
Note
Se você precisar de conectividade dedicada e privada com seus recursos, use uma conexão de Link Privado de saída para acessar seus recursos em vez de adicionar endereços IP à lista de permissões. Veja Configuração da conectividade privada com recursos em sua VNet.
Configurar um perímetro de segurança de rede Azure para contas de armazenamento Azure
Um NSP (perímetro de segurança de rede) Azure é um recurso Azure interno que cria um limite de isolamento lógico para seus recursos paaS (plataforma como serviço). Ao associar suas contas de armazenamento a um NSP, você gerencia o tráfego de rede centralmente com um conjunto de regras simplificado em vez de manter listas complexas de endereços IP individuais ou IDs de sub-rede. Esta seção descreve como configurar um NSP para controlar o acesso de computação sem servidor às suas contas de armazenamento Azure usando o portal Azure.
O NSP dá suporte ao acesso de SQL warehouses sem servidor, jobs, notebooks, Pipelines Declarativas do Lakeflow Spark e endpoints de serviço de modelo.
Importante
Até 9 de junho de 2026, qualquer conta de armazenamento existente do Azure que adicione à lista de permissões os IDs de sub-rede sem servidor do Azure Databricks deve ser incorporada a um perímetro de segurança de rede e deve adicionar à lista de permissões a tag de serviço AzureDatabricksServerless.
Principais benefícios
O uso do NSP para o tráfego de saída sem servidor do Azure Databricks melhora sua postura de segurança, reduzindo significativamente a sobrecarga operacional:
| Benefício | Description |
|---|---|
| Economia de custos | O tráfego enviado por pontos de extremidade de serviço permanece no backbone do Azure e não incorre em encargos de processamento de dados. |
| Gerenciamento simplificado | Azure Databricks recomenda usar uma marca de serviço regional para limitar o acesso a uma região específica, por exemplo, AzureDatabricksServerless.EastUS2. Toda a comunicação é roteada pela Azure backbone. Se espaços de trabalho em várias regiões precisarem acessar, você poderá usar várias tags de serviço regionais. Para obter a lista completa de regiões do Azure com suporte, consulte as regiões do Azure Databricks. |
| Gerenciamento de segurança centralizado | Gerencie políticas de segurança em vários tipos de recursos, incluindo armazenamento, cofres de chaves e bancos de dados, dentro de um único perfil NSP. |
Serviços de Azure com suporte
A marca de serviço AzureDatabricksServerless é compatível somente com regras de entrada do NSP direcionadas ao Armazenamento do Azure (incluindo o ADLS Gen2) na região do espaço de trabalho.
Requisitos
Antes de começar, você precisa atender aos seguintes requisitos:
- Você precisa ser um administrador da conta do Azure Databricks.
- Você deve ter permissões de Colaborador ou Proprietário no recurso do Azure que deseja configurar.
- Você deve ter permissão para criar recursos de perímetro de segurança de rede em sua assinatura do Azure.
- O workspace Azure Databricks e os recursos de Azure devem estar na mesma região Azure para obter um desempenho ideal e evitar encargos de transferência de dados entre regiões.
Etapa 1: Criar um perímetro de segurança de rede e observar a ID do perfil
Para criar o perímetro e anotar o ID do perfil, faça o seguinte:
Entre no portal do Azure.
Na caixa de pesquisa na parte superior, insira os perímetros de segurança de rede e selecione-os nos resultados.
Clique em + Criar.
Na guia Noções básicas, insira as seguintes informações:
- Assinatura: selecione sua assinatura do Azure.
- Grupo de recursos: selecione um grupo de recursos existente ou crie um.
-
Nome: insira um nome para o NSP (por exemplo,
databricks-nsp). - Região: selecione a região para o NSP. A região deve corresponder à região do workspace Azure Databricks e à região de sua conta de armazenamento Azure.
-
Nome do perfil: insira um nome de perfil (por exemplo,
databricks-profile).
Clique em Examinar + criar e, em seguida, criar.
Depois que o NSP for criado, acesse-o no portal Azure.
Na barra lateral esquerda, vá para Perfis de Configurações>.
Crie ou selecione seu perfil (por exemplo,
databricks-profile).Copie a ID do recurso para o perfil. Você precisa dessa ID para associar recursos programaticamente.
Dica
Salve a ID do perfil em um local seguro. Você deve tê-lo disponível se quiser associar recursos usando o CLI do Azure ou a API em vez do portal Azure.
Etapa 2: Associar sua conta de armazenamento ao NSP no modo de transição
Você deve associar cada conta de armazenamento Azure que deseja acessar de Azure Databricks computação sem servidor ao seu perfil NSP seguindo as etapas abaixo:
- Vá para o perímetro de segurança da rede no portal do Azure.
- Na barra lateral esquerda, vá para recursos associados em Configurações.
- Clique em + Adicionar>recursos associados a um perfil existente.
- Selecione o perfil que você criou na Etapa 1 (por exemplo,
databricks-profile). - Clique em Associar.
- No painel de seleção de recursos, filtre
Microsoft.Storage/storageAccountspara associar uma conta Azure Data Lake Storage Gen2. - Selecione suas contas de armazenamento na lista.
- Clique em Associar na parte inferior do painel.
Verificar o modo de transição:
- No NSP, vá para configurações>.
- Localize sua conta de armazenamento na lista.
- Verifique se a coluna Modo de Acesso mostra a Transição. A transição é o modo padrão.
Note
Permaneça no modo de transição para manter a compatibilidade com a configuração de rede existente, beneficiando-se do gerenciamento simplificado de regras. Consulte as limitações de perímetro de segurança de rede.
O modo de transição avalia as regras NSP primeiro. Se nenhuma regra NSP corresponder à solicitação de entrada, o sistema retornará às regras de firewall existentes do recurso.
Etapa 3: Adicionar uma regra de acesso de entrada para computação sem servidor do Azure Databricks
Você deve criar uma regra de acesso de entrada em seu perfil NSP para permitir o tráfego da computação sem servidor do Azure Databricks para seus recursos do Azure.
- Vá para o perímetro de segurança da rede no portal do Azure.
- Na barra lateral esquerda, vá para Perfis de Configurações>.
- Selecione seu perfil (por exemplo,
databricks-profile). - Em Configurações , clique em Regras de Acesso de Entrada.
- Clique em + Adicionar.
- Configure a regra:
-
Nome da regra: insira um nome descritivo (por exemplo,
allow-databricks-serverless). - Tipo de origem: selecionar marca de serviço.
-
Fontes permitidas: Selecione AzureDatabricksServerless.[ your_workspace_region] (por exemplo,
AzureDatabricksServerless.EastUS2). O uso de uma tag regional limita o acesso aos IPs do Azure Databricks à região do seu workspace, o que reduz a exposição em comparação com a tag global.
-
Nome da regra: insira um nome descritivo (por exemplo,
- Clique em Adicionar.
Dica
Azure Databricks recomenda usar uma marca de serviço regional (AzureDatabricksServerless.[your_workspace_region]) para uma segurança mais rígida. Adicionar a tag global AzureDatabricksServerless à lista de permissões permite acesso de todas as regiões do Azure Databricks. Se os workspaces de várias regiões precisarem acessar seu armazenamento, você pode usar várias tags de serviço regionais.
Etapa 4: Verificar a configuração
Depois de configurar o NSP, verifique se Azure Databricks computação sem servidor pode acessar o armazenamento e monitorar a atividade NSP.
Teste de acesso a partir da computação sem servidor
Vá para o recurso Azure no portal do Azure.
Vá para Segurança + Networking>Rede.
Verifique se o recurso mostra uma associação com o perímetro de segurança de rede.
Verifique se o status mostra o modo transição.
Exiba as regras de entrada associadas ao seu perfil para confirmar se a
AzureDatabricksServerlessregra está listada (regional ou global).No workspace do Azure Databricks, execute uma consulta de teste para confirmar se a computação sem servidor pode acessar seu recurso. Por exemplo, para testar o acesso a uma conta de armazenamento do ADLS Gen2:
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;Se a consulta for bem-sucedida, a configuração do NSP estará funcionando corretamente.
Monitorar a atividade NSP
Para monitorar as tentativas de conexão que as regras NSP permitem ou negam:
Vá para o recurso Azure no portal do Azure.
Ir para Monitoramento>Configurações de Diagnóstico.
Clique em + Adicionar configuração de diagnóstico.
Selecione as categorias de log que você deseja monitorar. Para contas Armazenamento do Azure, selecione:
- StorageRead
- StorageWrite
Selecione um destino:
- Espaço de Trabalho do Log Analytics (recomendado para consulta e análise)
- Conta de armazenamento (para arquivamento de longo prazo)
- Hub de Eventos (para streaming para sistemas externos)
Clique em Salvar.
Dica
Os logs de diagnóstico mostram tentativas de conexão que foram filtradas por regras do NSP comparadas às regras de firewall dos recursos. No modo de transição, os logs indicam se cada solicitação foi permitida por uma regra NSP ou caiu de volta para o firewall de recurso.
Noções básicas sobre os modos de acesso NSP
O NSP dá suporte a dois modos de acesso: modo de transição e modo imposto. O Azure Databricks recomenda permanecer no modo de transição indefinidamente para a maioria dos casos de uso.
Modo de transição (recomendado):
- Avalia primeiro as regras de NSP e, em seguida, recorre às regras de firewall do recurso se nenhuma regra de NSP corresponder.
- Permite que você use o NSP junto com as configurações de rede existentes.
- Compatível com pontos de extremidade de serviço, configurações de computação clássicas e padrões de tráfego de rede pública.
Modo forçado (não recomendado para a maioria dos clientes):
- Ignora as regras de firewall de recursos, bloqueando todo o tráfego que não corresponda a uma regra NSP. O modo imposto afeta não apenas Azure Databricks, mas também todos os outros serviços que você permitiu por meio do firewall de recursos. Esses serviços devem ter sido integrados ao NSP para continuar funcionando.
- Permaneça no modo de transição se você usar pontos de extremidade de serviço para se conectar ao armazenamento de qualquer espaço de trabalho do Azure Databricks.
Aviso
Permaneça no modo de transição para manter a compatibilidade com a configuração de rede existente, beneficiando-se do gerenciamento simplificado de regras. Consulte as limitações de perímetro de segurança de rede.
Configurar o acesso a outros recursos usando endereços IP de saída
Importante
A partir de meados de fevereiro de 2026, o Azure Databricks publica os IPs de saída em formato JSON em um endpoint público, que é o método com suporte para recuperar esses IPs.
Se você usa IPs estáveis da Prévia Pública ou os copiou de uma NCC (configuração de conectividade de rede) no console da conta, deverá migrar para o novo método antes de 25 de maio de 2026. Após 25 de maio de 2026, as listas de IP herdadas serão desativadas e migrações incompletas podem resultar em interrupções na carga de trabalho.
Para recursos que não sejam contas de armazenamento do Azure na mesma região do seu workspace, a computação sem servidor usa endereços IP públicos para acessar seus recursos.
Para permitir que o serverless acesse recursos protegidos por firewalls, você deve adicionar à sua lista de permissões os blocos CIDR publicados pelo Azure Databricks. Para obter mais informações sobre os endereços IP de saída publicados, consulte IPs de saída para a versão prévia do firewall da computação sem servidor.
Localizar os endereços IP de saída para seu ambiente
- Baixe o
ip-ranges.json. - Filtre o JSON para as entradas que se aplicam ao seu espaço de trabalho. Mantenha somente as entradas em que:
-
serviceéDatabricks -
typeéoutbound -
regioncorresponde à região do espaço de trabalho -
platformcorresponde aazure
-
- Adicione à lista de permissões os
ipv4Prefixes(blocos CIDR) das entradas correspondentes no firewall do recurso.
Automatizar atualizações para manter sua lista de permissões atual
Você deve automatizar as atualizações na lista de permissões. Azure Databricks altera esses IPs ao longo do tempo, portanto, uma cópia estática e única eventualmente quebra a conectividade sem servidor. As atualizações são publicadas uma vez a cada 30 dias, novos IPs ficam ativos assim que 60 dias após a publicação e novas regiões são adicionadas periodicamente. Para manter sua lista de permitidos atual:
- Buscar
ip-ranges.jsonem um agendamento (por exemplo, a cada 30 dias). - Compare seu
timestampSecondscampo com a cópia salva para detectar alterações. - Se isso mudou, verifique se os IPs do seu
platforme do seuregionforam alterados. - Atualize sua lista de permissões de firewall com quaisquer novos IPs.
- Salve o arquivo para a próxima comparação.
Considerações
Examine as seguintes considerações antes de configurar um firewall para computação sem servidor:
- A configuração de um firewall também afeta a conectividade dos recursos de computação clássicos. Você também deve atualizar suas regras de acesso a recursos para permitir os IPs para conexões de recursos de computação clássicos.
- Permita tempo para propagação de regra de firewall antes de testar a conectividade da computação sem servidor.
Próximas Etapas
- Configure a conectividade privada com recursos em seu VPC: use PrivateLink para estabelecer acesso seguro e isolado aos recursos em seu VPC a partir da computação sem servidor. Veja Configuração da conectividade privada com recursos em sua VNet.
- Gerenciar regras de ponto de extremidade privado: exibir, atualizar e remover regras de ponto de extremidade privado para sua configuração de conectividade de rede. Consulte Gerenciar regras de ponto de extremidade privado.