配置到Azure资源的专用连接

本文介绍如何通过 Azure Databricks 帐户控制台用户界面配置无服务器计算服务的专用连接。 还可以使用 网络连接配置 API。

如果将Azure资源配置为仅接受来自专用终结点的连接，则从经典 Databricks 计算资源到该资源的任何连接也必须使用专用终结点。

若要使用子网为无服务器计算访问配置Azure 存储防火墙，请参阅为无服务器计算访问配置防火墙（旧版）。 若要管理现有的专用终结点规则，请参阅 “管理专用终结点规则”。

无服务器计算的专用连接概述

无服务器网络连接由网络连接配置 (NCC) 负责管理。 帐户管理员在帐户控制台中创建 NCC，单个 NCC 可以连接到一个或多个工作区。

在 NCC 中添加专用终结点时，Azure Databricks为Azure资源创建专用终结点请求。 资源所有者批准请求后，Azure Databricks使用该专用终结点从无服务器计算平面访问资源。 专用终结点专用于Azure Databricks帐户，只能从授权工作区访问。

支持 NCC 专用终结点的功能包括 SQL 仓库、作业、笔记本、Lakeflow Spark 声明性管道和模型服务终结点。

有关 NCC 的详细信息，请参阅什么是网络连接配置 (NCC)？。

蔚蓝

要求

• 你的帐户和工作区必须位于高级计划中。
• 必须是Azure Databricks帐户管理员。
• 每个 Azure Databricks 帐户在每个地区最多可以有 10 个 NCC。
• 每个区域可以有 100 个专用终结点，根据需要分布在 1-10 个 NCC 之间。
• 每个 NCC 最多可连接到 50 个工作区。

步骤 1：创建网络连接配置

Databricks 建议在同一业务部门和区域中的工作区之间共享 NCC。 例如，如果某些工作区使用专用链接和其他工作区使用 firewall enablement，请对这些用例使用单独的 NCC。

1. 作为帐户管理员，请转到帐户控制台。
2. 在边栏中，单击“ 安全性”。
3. 单击 “网络连接配置”。
4. 单击“ 添加网络配置”。
5. 键入 NCC 的名称。
6. 选择区域。 这必须与你的工作空间地区匹配。
7. 单击“添加”。

步骤 2：将 NCC 附加到工作区

1. 在帐户控制台边栏中，单击“工作区”。
2. 单击工作区的名称。
3. 单击“更新工作区”。
4. 在 “网络连接配置 ”字段中，选择 NCC。 如果它不可见，请确认你已为工作区和 NCC 选择了相同的Azure区域。
5. 单击“更新” 。
6. 等待 10 分钟，让更改生效。
7. 重启工作区中运行的任何无服务器服务。

步骤 3：创建专用终结点规则

必须在 NCC 中为每个Azure资源创建专用终结点规则。

1. 获取所有目标Azure资源 ID 的列表。
   1. 在另一个浏览器选项卡中，使用Azure门户导航到数据源的Azure服务。
   2. 在其概述页上，查看基础部分。
   3. 单击“JSON 视图”链接。 服务的资源 ID 显示在页面顶部。
   4. 将该资源 ID 复制到另一个位置。 对所有目标重复此操作。 有关查找资源 ID 的详细信息，请参阅 Azure专用终结点专用 DNS 区域值。
2. 切换回帐户控制台浏览器选项卡。
3. 在边栏中，单击“ 安全性”。
4. 单击 “网络连接配置”。
5. 选择步骤 1 中创建的 NCC。
6. 在“专用终结点规则”中，单击“添加专用终结点规则”。
7. 在目标 Azure 资源 ID 字段中，粘贴您的资源 ID。
8. 在 Azure 子资源 ID 字段中，指定目标 ID 和子资源类型。 每个专用终结点规则都必须使用不同的子资源 ID。 有关支持的子资源类型的列表，请参阅 支持的资源。
9. 单击“添加”。
10. 等待几分钟，直到所有终结点规则的状态都变为 PENDING。

步骤 4：批准资源上的新专用终结点

终结点只有在管理员在资源端批准后才会生效。 若要使用 Azure 门户进行批准，请执行以下操作：

1. 在 Azure 门户中，导航到您的资源。

2. 在边栏中，单击“网络”。

3. 单击“专用终结点连接”。

4. 单击“专用访问”选项卡。

5. 在“专用终结点连接”下，查看专用终结点的列表。

6. 单击每个项目旁边的复选框进行批准，然后单击列表上方的“批准”按钮。

7. 在 Azure Databricks 中，返回 NCC 并刷新浏览器页面，直到所有终结点规则的状态为ESTABLISHED。

   

（可选）步骤 5：将资源设置为禁止公共网络访问

如果尚未将资源限制为仅允许列出的网络，现在可以执行此操作。

1. 转到Azure门户。
2. 导航到数据源的存储帐户。
3. 在边栏中，单击“网络”。
4. 在“公用网络访问”字段中，检查该值。 默认情况下，该值为“已从所有网络启用”。 将此值更改为“已禁用”

将专用链接配置为Azure 应用网关 v2

如果要将专用链接配置为Azure 应用网关 v2 资源，则必须使用网络连接配置 REST API 而不是帐户控制台 UI。 Azure 应用网关 v2 需要其他参数：资源 ID、组 ID 和域名。

1. 使用以下 API 调用来创建具有域名配置的私有终结点规则：

   curl --location 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \
   --header 'Content-Type: application/json' \
   --header 'Authorization: Bearer <TOKEN>' \
   --data '{
      "domain_names": [
         "<YOUR_DOMAIN_HERE>"
      ],
      "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>",
      "group_id": "<GROUP_ID>"
   }'
   

2. 如果您需要修改现有的专用终结点规则中的域名，请使用以下 PATCH 请求：

   curl --location --request PATCH 'https://accounts.azuredatabricks.net/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \
   --header 'Content-Type: application/json' \
   --header 'Authorization: Bearer <TOKEN>' \
   --data '{
      "domain_names": [
         "<YOUR_DOMAIN_HERE>"
      ]
   }'
   

3. 若要列出、查看或删除应用网关专用终结点规则，请使用 网络连接配置 API 中记录的标准操作。

步骤 7：重启无服务器计算平面资源并测试连接

1. 再等待五分钟，更改才会生效。
2. 重启 NCC 附加到的工作区中任何正在运行的无服务器计算平面资源。 如果没有任何正在运行的无服务器计算平面资源，请立即启动一个。
3. 确认所有资源都已成功启动。
4. 对数据源运行至少一个查询，以确认无服务器 SQL 仓库可以访问数据源。

后续步骤

• 管理专用终结点规则：更新、查看和删除专用终结点规则。 请参阅管理专用终结点。
• 为无服务器计算访问配置防火墙：设置网络防火墙规则，以控制使用子网而不是专用终结点对Azure服务的访问。 请参阅配置防火墙以获取无服务器计算访问（旧版）。
• 配置网络策略：实施其他网络安全控制和策略来管理无服务器计算连接。 请参阅 什么是无服务器出口控制？。
• 了解无服务器网络安全：了解无服务器计算的网络安全选项。 请参阅无服务器计算平面网络。

Azure 中国

Azure中国要求

• 你的帐户和工作区必须位于高级计划中。
• 必须是Azure Databricks帐户管理员。
• 每个 Azure Databricks 帐户在每个地区最多可以有 10 个 NCC。
• 中国区的 Azure 中，每个帐户最多可以有 20 个专用终结点。
• 每个 NCC 最多可连接到 50 个工作区。

Step 1：创建网络连接配置（Azure中国）

Databricks 建议在同一业务部门和区域中的工作区之间共享 NCC。 例如，如果某些工作区使用 专用链接，而其他工作区使用不同的连接配置，则应为这些不同用例分别使用单独的网络配置中心 (NCC)。

1. 作为帐户管理员，请转到帐户控制台。
2. 在边栏中，单击“ 安全性”。
3. 单击 “网络连接配置”。
4. 单击“ 添加网络配置”。
5. 键入 NCC 的名称。
6. 选择 “中国北部 3” 作为区域。 这必须与你的工作空间地区匹配。
7. 单击“添加”。

步骤 2：将 NCC 附加到工作区（Azure 中国）

1. 在帐户控制台边栏中，单击“工作区”。
2. 单击工作区的名称。
3. 单击“更新工作区”。
4. 在 “网络连接配置 ”字段中，选择 NCC。 如果看不到，请确认您已将“中国北部 3”选择为工作区和 NCC 的 Azure 区域。
5. 单击“更新” 。
6. 等待 10 分钟，让更改生效。
7. 重启工作区中运行的任何无服务器服务。

Step 3：创建专用终结点规则（Azure中国）

必须在 NCC 中为每个Azure资源创建专用终结点规则。 有关 Azure 中国支持的资源列表，请参阅 支持的资源。

1. 获取所有目标Azure资源 ID 的列表。
   1. 在另一个浏览器选项卡中，使用Azure门户导航到数据源的Azure服务。
   2. 在其概述页上，查看基础部分。
   3. 单击“JSON 视图”链接。 服务的资源 ID 显示在页面顶部。
   4. 将该资源 ID 复制到另一个位置。 对所有目标重复此操作。 有关查找资源 ID 的详细信息，请参阅 Azure专用终结点专用 DNS 区域值。
2. 切换回帐户控制台浏览器选项卡。
3. 在边栏中，单击“ 安全性”。
4. 单击 “网络连接配置”。
5. 选择步骤 1 中创建的 NCC。
6. 在“专用终结点规则”中，单击“添加专用终结点规则”。
7. 在目标 Azure 资源 ID 字段中，粘贴您的资源 ID。
8. 在 Azure 子资源 ID 字段中，指定目标 ID 和子资源类型。 每个专用终结点规则都必须使用不同的子资源 ID。
9. 单击“添加”。
10. 等待几分钟，直到所有终结点规则的状态都变为 PENDING。

步骤 4：批准资源上的新专用终结点（Azure中国）

终结点只有在管理员在资源端批准后才会生效。 若要使用 Azure 门户进行批准，请执行以下操作：

1. 在 Azure 门户中，导航到您的资源。

2. 在边栏中，单击“网络”。

3. 单击“专用终结点连接”。

4. 单击“专用访问”选项卡。

5. 在“专用终结点连接”下，查看专用终结点的列表。

6. 单击每个项目旁边的复选框进行批准，然后单击列表上方的“批准”按钮。

7. 在 Azure Databricks 中，返回 NCC 并刷新浏览器页面，直到所有终结点规则的状态为ESTABLISHED。

   

（可选） 步骤 5：将资源设置为禁止公共网络访问（Azure中国）

如果尚未将资源限制为仅允许列出的网络，现在可以执行此操作。

1. 转到Azure门户。
2. 导航到数据源的存储帐户。
3. 在边栏中，单击“网络”。
4. 在“公用网络访问”字段中，检查该值。 默认情况下，该值为“已从所有网络启用”。 将此值更改为“已禁用”

配置专用链接到 Azure 应用网关 v2（Azure 中国）

如果要将专用链接配置为Azure 应用网关 v2 资源，则必须使用网络连接配置 REST API 而不是帐户控制台 UI。 Azure 应用网关 v2 需要其他参数：资源 ID、组 ID 和域名。

1. 使用以下 API 调用来创建具有域名配置的私有终结点规则：

   curl --location 'https://accounts.databricks.azure.cn/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules' \
   --header 'Content-Type: application/json' \
   --header 'Authorization: Bearer <TOKEN>' \
   --data '{
      "domain_names": [
         "<YOUR_DOMAIN_HERE>"
      ],
      "resource_id": "<YOUR_APP_GATEWAY_RESOURCE_ID_HERE>",
      "group_id": "<GROUP_ID>"
   }'
   

2. 如果您需要修改现有的专用终结点规则中的域名，请使用以下 PATCH 请求：

   curl --location --request PATCH 'https://accounts.databricks.azure.cn/api/2.0/accounts/<ACCOUNT_ID>/network-connectivity-configs/<NCC_ID>/private-endpoint-rules/<PRIVATE_ENDPOINT_RULE_ID>?update_mask=domain_names' \
   --header 'Content-Type: application/json' \
   --header 'Authorization: Bearer <TOKEN>' \
   --data '{
      "domain_names": [
         "<YOUR_DOMAIN_HERE>"
      ]
   }'
   

3. 若要列出、查看或删除应用网关专用终结点规则，请使用 网络连接配置 API 中记录的标准操作。

Step 7：重启无服务器计算平面资源并测试连接（Azure中国）

1. 再等待五分钟，使更改生效并传播。
2. 重启 NCC 附加到的工作区中任何正在运行的无服务器计算平面资源。 如果没有任何正在运行的无服务器计算平面资源，请立即启动一个。
3. 确认所有资源都已成功启动。
4. 对数据源运行至少一个查询，以确认无服务器 SQL 仓库可以访问数据源。

后续步骤（Azure中国）

• 管理专用终结点规则：更新、查看和删除专用终结点规则。 请参阅管理专用终结点。
• 了解无服务器网络安全：了解无服务器计算的网络安全选项。 请参阅无服务器计算平面网络。