Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице представлены средства защиты сетевого доступа между вычислительными ресурсами в Azure Databricks бессерверной вычислительной плоскости и клиентскими ресурсами.
Дополнительные сведения о плоскости управления и бессерверной вычислительной плоскости см. в обзоре эталонной сетевой архитектуры.
Дополнительные сведения о классических вычислениях и бессерверных вычислениях см. в статье "Вычисления".
Заметка
Azure Databricks взимает плату за сетевой трафик, когда бессерверные рабочие нагрузки подключаются к ресурсам клиентов, а также когда службы с высокими требованиями к производительности передают данные из другого региона обратно клиентам. Ознакомьтесь с разделом "Общие сведения о затратах на сеть Databricks".
Общие сведения о сети в плоскости бессерверных вычислений
Бессерверные вычислительные ресурсы выполняются в бессерверной вычислительной плоскости, которая управляется Azure Databricks. Администраторы учетных записей могут настроить безопасное подключение между бессерверным уровнем вычислений и их ресурсами. Это сетевое подключение помечено как 2 на схеме ниже:
Подключение между плоскости управления и бессерверным вычислительным уровнем всегда осуществляется через магистраль облачной сети, а не через общедоступный Интернет. Дополнительные сведения о настройке функций безопасности в других сетевых подключениях на схеме см. в разделе "Сеть".
Определение бессерверного вычислительного трафика для включения конфигураций брандмауэра
Бессерверные вычисления достигают ресурсов с помощью различных методов подключения в зависимости от расположения, конфигурации и типа ресурса.
Заметка
Azure Databricks использует конечные точки службы, частные IP-адреса и общедоступные IP-адреса для подключения к ресурсам на основе их расположения, конфигурации и типа. Эти методы подключения обычно доступны, если явно не указано в противном случае.
Если вы хотите создать брандмауэр вокруг ресурсов, сохраняя доступ к бессерверным вычислительным ресурсам, см. статью "Настройка периметра безопасности сети" (NSP) Azure для Azure ресурсов.
Создание брандмауэра ресурсов также влияет на подключение с классической вычислительной плоскости. Кроме того, необходимо разрешить сети в брандмауэрах ресурсов для подключений из классических вычислительных ресурсов.
Что такое конфигурация сетевого подключения (NCC)?
Бессерверное сетевое подключение управляется конфигурациями сетевого подключения (NCC). NCCs — это региональные конструкции на уровне учетной записи, которые управляют созданием частных конечных точек.
Это важно
К 9 июня 2026 г. все существующие учетные записи хранения Azure, в которых в списке разрешенных адресов указаны идентификаторы бессерверной подсети Azure Databricks, должны быть подключены к периметру безопасности сети и должны добавить в список разрешенных тег службы AzureDatabricksServerless. См. статью Настройка периметра сетевой безопасности (NSP) в Azure для ресурсов Azure.
Администраторы учетных записей создают NCCs в консоли учетной записи. NCC можно подключить к одной или нескольким рабочим областям для управления доступом из бессерверных вычислений к ресурсам Azure.
При добавлении частной конечной точки в NCC Azure Databricks создает запрос частной конечной точки к ресурсу Azure. После принятия запроса Azure Databricks использует частную конечную точку для доступа к ресурсу Azure из бессерверной вычислительной плоскости. См. раздел Настройка частного подключения к ресурсам Azure.
Если частная конечная точка не настроена, бессерверные вычисления подключаются к хранилищу Azure с помощью конечных точек службы и других ресурсов с использованием IP-адресов NAT. Вы можете определить трафик, направляемый от конечных точек службы Azure Databricks к вашему хранилищу, используя тег службы AzureDatabricksServerless, который может быть привязан к вашему региону (например, AzureDatabricksServerless.EastUS2). Чтобы использовать этот тег, добавьте учетную запись хранения в периметр безопасности сети. См. статью Настройка периметра сетевой безопасности (NSP) в Azure для ресурсов Azure.
OpenSharing NCC
NCCs можно подключить к хранилищу метаданных, чтобы включить частное подключение для OpenSharing SecureConnect. См. раздел "Настройка частного подключения для SecureConnect".