本页介绍用于保护Azure Databricks无服务器计算平面中计算资源与客户资源之间的网络访问的工具。 若要详细了解控制平面和无服务器计算平面,请参阅 网络安全体系结构。
若要详细了解经典计算和无服务器计算,请参阅 “计算”。
注意
Azure Databricks 在无服务器工作负载连接至客户资源时会产生网络成本的费用。 请参阅 了解 Databricks 无服务器网络成本。
无服务器计算平面网络概述
无服务器计算资源在无服务器计算平面中运行,该计算平面由Azure Databricks管理。 帐户管理员可以在无服务器计算平面与其资源之间配置安全连接。 下图中将此网络连接标记为 2:
控制平面与无服务器计算平面之间的连接始终通过云网络主干而不是公共 Internet。 如需更多关于图中其他网络连接的安全功能配置的信息,请参阅网络。
什么是网络连接配置 (NCC)?
无服务器网络连接由网络连接配置 (NCC) 负责管理。 NC 是用于管理专用终结点创建的帐户级区域构造。
重要
到 2026 年 6 月 9 日,任何将 Azure Databricks 无服务器子网 ID 列入白名单的现有 Azure 存储帐户都必须纳入网络安全边界,并且必须将 AzureDatabricksServerless 服务标记列入白名单。 请参阅 为Azure资源配置Azure网络安全外围。
帐户管理员在帐户控制台中创建 NCC。 NCC 可以附加到一个或多个工作区,以管理从无服务器计算到Azure资源的访问权限。
将专用终结点添加到 NCC 时,Azure Databricks 为 Azure 资源创建专用终结点请求。 接受请求后,Azure Databricks 将使用专用终结点,通过无服务器计算平面来访问您的 Azure 资源。 请参阅 配置Azure资源的专用连接。
如果未配置专用终结点,则无服务器计算将使用服务终结点连接到Azure存储,并使用 NAT IP 连接到其他资源。 您可以使用 AzureDatabricksServerless 服务标记来标识从 Azure Databricks 服务终结点到存储的流量,该标记可以限定在您的区域内(例如,AzureDatabricksServerless.EastUS2)。 若要使用此标签,请将存储帐户加入网络安全边界。 请参阅 为Azure资源配置Azure网络安全外围。
注意
Azure Databricks使用服务终结点、专用 IP 和公共 IP 根据资源的位置和类型连接到资源。 除非另有明确说明,否则这些连接方法普遍可用。