本页介绍如何使用 Azure 门户配置Azure网络安全外围(NSP),以控制从无服务器计算到Azure资源的访问。
Azure资源的网络安全外围概述
Azure网络安全外围(NSP)是一项Azure内置功能,可为 PaaS 资源创建逻辑隔离边界。 通过将存储帐户或数据库等资源与 NSP 相关联,可以使用简化的规则集集中管理网络流量。 NSP 无需手动管理单个 IP 地址或子网 ID 的复杂列表。
NSP 支持从无服务器 SQL 仓库、作业、笔记本、Lakeflow Spark 声明性管道和模型服务终结点进行访问。
主要优势
使用 NSP 技术处理 Azure Databricks 的无服务器出站流量,可以提高您的安全防护,同时显著减少运维开销。
| 益处 | Description |
|---|---|
| 成本节约 | 通过服务终结点发送的流量保留在Azure主干上,不会产生数据处理费用。 |
| 简化管理 | Azure Databricks建议使用区域服务标记来限制对特定区域的访问,例如,AzureDatabricksServerless.EastUS2。 该标记包括服务终结点 IP 和 Azure Databricks NAT IP,所有通信都通过Azure主干路由。 如果需要允许跨所有Azure Databricks区域进行访问,请改用全局标记 AzureDatabricksServerless。 有关受支持的Azure区域的完整列表,请参阅 Azure Databricks 区域。 |
| 集中式安全管理 | 在单个 NSP 配置文件中管理多个资源类型(包括存储、密钥保管库和数据库)的安全策略。 |
支持的Azure服务
支持将 AzureDatabricksServerless 服务标记用于以下Azure服务的 NSP 入站访问规则:
- Azure 存储(包括 ADLS Gen2)
- Azure SQL 数据库
- Azure Cosmos DB
- Azure 密钥保管库
要求
- 你必须是 Azure Databricks 帐户管理员。
- 必须对要配置的Azure资源具有“参与者”或“所有者”权限。
- 必须有权在Azure订阅中创建网络安全外围资源。
- Azure Databricks工作区和Azure资源必须位于同一Azure区域中,以实现最佳性能,并避免跨区域数据传输费用。
步骤 1:创建网络安全边界并记下配置文件 ID
登录到 Azure 门户。
在顶部的搜索框中,输入 网络安全外围 并从结果中选择它。
单击 + 创建。
在 “基本信息 ”选项卡上,输入以下信息:
- Subscription:选择Azure订阅。
- 资源组:选择现有资源组或创建一个资源组。
-
名称:输入 NSP 的名称(例如
databricks-nsp)。 - 区域:选择 NSP 的区域。 该区域必须与Azure Databricks工作区区域和Azure资源的区域匹配。
-
配置文件名称:输入配置文件名称(例如
databricks-profile)。
单击“查看 + 创建”,然后单击“创建”。
创建 NSP 后,请在 Azure 门户中进入 NSP 界面。
在左侧边栏中,转到 “设置>配置文件”。
创建或选择个人资料(例如
databricks-profile)。复制资源 ID以获取配置文件。 需要此 ID 以编程方式关联资源。
小窍门
将个人资料 ID 保存在安全位置。 如果要使用 Azure CLI 或 API(而不是Azure门户)关联资源,则必须使其可用。
步骤 2:在转换模式下将资源与 NSP 相关联
必须将您希望从 Azure Databricks 无服务器计算访问的每个 Azure 资源与 NSP 配置文件关联。 此示例演示如何关联Azure 存储帐户,但相同的步骤也适用于其他Azure资源。
- 在 Azure 门户中转到您的外围网络安全。
- 在左侧边栏中,转到“设置”下的“资源”。
- 单击“ + 添加>将资源与现有配置文件关联”。
- 选择您在步骤 1 创建的配置文件(例如
databricks-profile)。 - 单击关联。
- 在资源选择窗格中,按资源类型进行筛选。 例如,若要关联Azure Data Lake Storage Gen2帐户,请按
Microsoft.Storage/storageAccounts进行筛选。 - 从列表中选择你的资源。
- 单击窗格底部的 “关联 ”。
验证转换模式:
- 在 NSP 中,转到“设置>”(或“关联资源”)。
- 在列表中找到存储帐户。
- 验证 “访问模式” 列是否显示 “转换”。 转换是默认模式。
注释
转换模式首先评估 NSP 规则。 如果没有 NSP 规则与传入请求匹配,系统会回退到资源的现有防火墙规则。 转换模式允许你测试 NSP 配置,而不会中断现有的流量模式。
Step 3:为Azure Databricks无服务器计算添加入站访问规则
必须在 NSP 配置文件中创建入站访问规则,以允许 Azure Databricks 无服务器计算的流量访问 Azure 资源。
- 请在Azure门户中转到您的网络安全边界。
- 在左侧边栏中,转到 “设置>配置文件”。
- 选择配置文件(例如
databricks-profile, )。 - 在 “设置” 下,单击“ 入站访问规则”。
- 单击“ + 添加”。
- 配置规则:
-
规则名称:输入描述性名称(例如
allow-databricks-serverless, )。 - 源类型:选择 服务标记。
-
允许的源:选择 AzureDatabricksServerless。[your_workspace_region] (例如,
AzureDatabricksServerless.EastUS2)。 使用区域标记限制对工作区区域中Azure Databricks IP 的访问,这减少了与全局标记相比的曝光率。
-
规则名称:输入描述性名称(例如
- 单击 添加。
小窍门
Databricks 建议使用区域服务标记(AzureDatabricksServerless.[your_workspace_region])来获得更严格的安全性。 如果需要允许从所有Azure Databricks区域进行访问(例如,当工作区跨越多个区域时),请改用全局标记AzureDatabricksServerless。 这两个标记都会自动更新,因此在Azure Databricks添加新 IP 范围时,无需手动管理 IP 地址或更新规则。
步骤 4:验证配置
配置 NSP 后,验证Azure Databricks无服务器计算是否可以访问Azure资源并监视 NSP 活动。
无服务器计算中测试访问权限
在Azure门户中转到Azure资源。
转到 “安全性 + 网络>网络”。
验证资源是否显示与网络安全边界的关联。
验证状态是否显示 转换模式。
查看与用户配置关联的入站规则,确认
AzureDatabricksServerless规则是否已列出(区域或全局)。在Azure Databricks工作区中,运行测试查询以确认无服务器计算可以访问资源。 例如,若要测试对 ADLS Gen2 存储帐户的访问:
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;如果查询成功,则 NSP 配置正常工作。
监视 NSP 活动
监视 NSP 规则允许或拒绝的连接尝试:
- 在“Azure”门户中转到您的Azure资源。
- 转到 “监视>诊断”设置。
- 单击“+ 添加诊断设置”。
- 选择要监视的日志类别。 对于Azure 存储帐户,请选择:
- StorageRead
- StorageWrite
- 选择目标:
- Log Analytics 工作区(建议用于查询和分析)
- 存储帐户 (用于长期存档)
- 事件中心 (用于流式传输到外部系统)
- 单击“ 保存”。
小窍门
诊断日志显示 NSP 规则与资源防火墙规则匹配的连接尝试。 这些日志有助于在迁移到强制模式之前验证配置。 在过渡模式下,日志记录指示每个请求是被 NSP 规则允许,还是回退到资源防火墙。
了解 NSP 访问模式
NSP 支持两种访问模式: 转换模式 和 强制模式。 对于大多数用例,Azure Databricks建议无限期地保持过渡模式。
转换模式 (建议):
- 首先评估 NSP 规则,如果没有 NSP 规则匹配,则回退到资源防火墙规则
- 允许将 NSP 与现有网络配置一起使用
- 与服务终结点、经典计算配置和公共网络流量模式兼容
强制模式 (不建议大多数客户使用):
- 绕过资源防火墙规则,阻止与 NSP 规则不匹配的所有流量。 强制模式不仅影响Azure Databricks,还影响通过资源防火墙允许的任何其他服务—这些服务必须已载入到 NSP 才能继续工作。
- 如果您使用服务终结点从任何 Azure Databricks 工作区连接到存储,请保持过渡模式。
警告
保持过渡模式,以保持与现有网络设置的兼容性,同时受益于简化的规则管理。 请参阅 网络安全外围限制。
后续步骤
- 配置专用终结点:有关与没有公共终结点的Azure资源的专用连接,请参阅 配置与 Azure 资源的专用连接。
- 管理网络策略:实施网络策略,为无服务器计算环境提供额外的安全控制和访问限制。 请参阅 什么是无服务器出口控制?。
- 了解数据传输成本:了解将数据移入和移出无服务器环境相关的成本。 请参阅了解 Databricks 无服务器网络成本。