Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite wird beschrieben, wie IP-Zugriffslisten für Azure Databricks-Arbeitsbereiche konfiguriert werden. In diesem Artikel werden die am häufigsten verwendeten Aufgaben erläutert, die Sie mit der Databricks CLI ausführen können.
Sie können auch die IP-Zugriffslisten-API verwenden.
Hinweis
Arbeitsbereich-IP-Zugriffslisten und kontextbasierte Eingangssteuerungen auf Kontoebene werden gemeinsam durchgesetzt. Eine Anforderung muss von beiden Steuerelementen zulässig sein, um erfolgreich zu sein.
Kontextbasierte Eingangssteuerelemente bieten eine präzisere Sicherheit, indem Identitäts-, Anforderungstyp- und Netzwerkquellbedingungen kombiniert werden. Sie ist auf Kontoebene konfiguriert, und eine einzelne Richtlinie kann mehrere Arbeitsbereiche steuern und eine konsistente Durchsetzung in Ihrer Organisation sicherstellen. Databricks empfiehlt die Verwendung kontextbasierter Eingangssteuerelemente als primäre Methode für die Verwaltung des Zugriffs. Siehe kontextbasierte Zugriffskontrolle.
Arbeitsbereich-IP-Zugriffslisten können weiterhin verwendet werden, um eine zusätzliche Einschränkungsebene, die nur auf der IP-Adresse basiert, hinzuzufügen, aber sie können den Zugriff nicht über das hinaus erweitern, was kontextbasierter Zugriff erlaubt.
Anforderungen
- Für dieses Feature ist der Premium-Plan erforderlich.
- IP-Zugriffslisten unterstützen nur IPv4-Adressen (Internet Protocol Version 4).
Wenn Sie eine sichere Clusterkonnektivität in einem Arbeitsbereich aktivieren, müssen alle öffentlichen IPs, die die Computeebene für den Zugriff auf die Steuerungsebene verwendet, entweder einer Zulassungsliste hinzugefügt werden, oder Sie müssen den privaten Back-End-Link konfigurieren. Andernfalls können klassische Computeressourcen nicht gestartet werden.
Wenn Sie z. B. sichere Clusterkonnektivität in Ihrem Arbeitsbereich aktivieren, in dem VNet-Injektion verwendet wird, empfiehlt Databricks, dass Ihr Arbeitsbereich über eine stabile öffentliche IP-Adresse für ausgehenden Datenverkehr verfügt. Diese öffentliche IP-Adresse und alle anderen IP-Adressen müssen in einer Zulassungsliste vorhanden sein. Weitere Informationen finden Sie unter Bereitstellen von Azure Databricks in Ihrem virtuellen Azure-Netzwerk (VNet-Injektion). Wenn Sie ein von Azure Databricks verwaltetes VNet verwenden und das verwaltete NAT-Gateway für den Zugriff auf öffentliche IP-Adressen konfigurieren, müssen diese IP-Adressen in einer Zulassungsliste enthalten sein. Weitere Informationen finden Sie im Databricks Community-Beitrag.
Überprüfen Sie, ob für Ihren Arbeitsbereich das IP-Zugriffslistenfeature aktiviert ist.
So überprüfen Sie, ob in Ihrem Arbeitsbereich das IP-Zugriffslistenfeature aktiviert ist:
databricks workspace-conf get-status enableIpAccessLists
Aktivieren oder Deaktivieren des IP-Zugriffslistenfeatures für einen Arbeitsbereich
Geben Sie in einem JSON-Anforderungstext enableIpAccessLists als true (aktiviert) oder false (deaktiviert) an.
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
Hinzufügen einer IP-Zugriffsliste
Wenn das Feature für IP-Zugriffslisten aktiviert ist und keine Positiv- oder Sperrlisten für den Arbeitsbereich vorhanden sind, sind alle IP-Adressen zulässig. Das Hinzufügen von IP-Adressen zur Positivliste blockiert alle IP-Adressen, die nicht in der Liste enthalten sind. Überprüfen Sie die Änderungen sorgfältig, um unbeabsichtigte Zugriffseinschränkungen zu vermeiden.
Alle öffentlichen IPs, die die Computeebene für den Zugriff auf die Steuerebene verwendet, sollten einer Zulassungsliste hinzugefügt werden.
IP-Zugriffslisten verfügen über eine Bezeichnung. Dabei handelt es sich um einen Namen für die Liste und einen Listentyp. Der Listentyp ist entweder ALLOW (Positivliste) oder BLOCK (Sperrliste, die auch Elemente in der Positivliste ausschließt).
So fügen Sie z. B. eine Zulassungsliste hinzu:
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
Auflisten von IP-Zugriffslisten
databricks ip-access-lists list
Aktualisieren einer IP-Zugriffsliste
Geben Sie mindestens einen der folgenden zu aktualisierenden Werte an:
-
label– Bezeichnung für diese Liste. -
list_type– entwederALLOW(Zulassungsliste) oderBLOCK(eine Liste „Blockieren“, d. h. auch das ausschließen, was in der Zulassungsliste enthalten ist). -
ip_addresses– ein JSON-Array von IP-Adressen und CIDR-Bereichen als Zeichenfolgenwerte. -
enabled– Gibt an, ob diese Liste aktiviert ist. Übergeben Sietrueoderfalse.
Die Antwort ist eine Kopie des Objekts, das Sie mit zusätzlichen Feldern für die ID und Änderungsdaten übergeben haben.
So deaktivieren Sie beispielsweise eine Liste
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
Löschen einer IP-Zugriffsliste
So löschen Sie eine IP-Zugriffsliste:
databricks ip-access-lists delete <list-id>
Nächste Schritte
- Konfigurieren Von IP-Zugriffslisten für die Kontokonsole: Richten Sie IP-Einschränkungen für den Kontokonsolenzugriff ein, um zu steuern, welche Netzwerke auf Einstellungen und APIs auf Kontoebene zugreifen können. Siehe Konfigurieren von IP-Zugriffslisten für die Kontokonsole.
- Konfigurieren sie private Konnektivität: Verwenden Sie den privaten Link, um sicheren und isolierten Zugriff auf Azure-Dienste aus Ihrem virtuellen Netzwerk herzustellen und das öffentliche Internet zu umgehen. Siehe Azure Private Link-Konzepte.
- Konfigurieren Sie VNet Injection: Richten Sie VNet Injection mit einer stabilen öffentlichen IP für eine verbesserte Netzwerksicherheit ein. Weitere Informationen finden Sie unter Bereitstellen von Azure Databricks in Ihrem virtuellen Azure-Netzwerk (VNet-Injektion).