Configurar conectividade privada com recursos em sua VNet

Esta página explica como usar o console de conta do Azure Databricks para configurar conexões de Link Privado de computação sem servidor para recursos em sua VNet (rede virtual) por meio de um balanceador de carga do Azure.

A configuração da conectividade privada para computação sem servidor fornece:

• Uma conexão dedicada e privada: Seu ponto de extremidade privado está vinculado exclusivamente à sua conta do Azure Databricks, garantindo que o acesso aos recursos da VNet seja restrito apenas a workspaces autorizados. Isso cria um canal de comunicação seguro e dedicado.
• Mitigação de exfiltração de dados aprimorada: Embora o Azure Databricks Serverless com o Catálogo do Unity ofereça proteção de exfiltração de dados interna, o Link Privado fornece uma camada adicional de defesa de rede. Ao colocar seus recursos de VNet em uma sub-rede privada e controlar o acesso por meio de pontos de extremidade privados dedicados, você reduz significativamente o risco de movimentação de dados não autorizados fora do ambiente de rede controlado.

Requisitos

• Sua conta e espaço de trabalho devem estar no plano Enterprise.
• Você é o administrador da conta da sua conta do Azure Databricks.
• Você tem pelo menos um workspace ativo sem servidor implantado em uma região com conectividade privada habilitada. Para regiões com suporte, consulte a disponibilidade sem servidor
• Seu balanceador de carga tem uma rede virtual e uma sub-rede e seu recurso está localizado nessa sub-rede.
• Cada conta do Azure Databricks pode ter até 10 NCCs por região.
• Cada região pode ter 100 pontos de extremidade privados, distribuídos conforme necessário em um a dez NCCs.
• Cada NCC pode ser anexado a até 50 espaços de trabalho.
• Cada regra para ponto de extremidade privado que estabelece a conectividade privada com recursos em sua VNet oferece suporte a até 10 nomes de domínio.
• Não há suporte para perseguição de DNS e redirecionamento de DNS. Todos os nomes de domínio devem ser redirecionados diretamente para os recursos de back-end.

Etapa 1: Criar um balanceador de carga do Azure

Crie um Azure Load Balancer que serve como front-end para seus recursos de VNet. Esse balanceador de carga está vinculado ao serviço de Link Privado.

Para criar um balanceador de carga, siga as instruções no Início Rápido: crie um balanceador de carga interno para balancear a carga de VMs usando o portal do Azure. Conclua o seguinte:

1. Crie um recurso de balanceador de carga.
2. Adicionar uma configuração de IP de front-end: Esse é o ponto de entrada para seu serviço de Link Privado.
3. Adicione um pool de back-end: Esse pool contém os endereços IP dos recursos da VNet.
4. Criar uma Sonda de Integridade: Configure uma sonda de integridade para monitorar a disponibilidade dos recursos de back-end.
5. Adicionar regras de balanceamento de carga: Defina regras para distribuir o tráfego de entrada ao seu pool de backend.

Etapa 2: Criar um serviço de Link Privado

Você deve criar um serviço de Link Privado para expor seu Load Balancer com segurança ao seu ponto de extremidade privado. Verifique se o serviço de Link Privado foi criado na mesma região que o balanceador de carga.

Para obter instruções, consulte a documentação do Azure: Criar um serviço de Link Privado usando o portal do Azure.

Etapa 3: Criar ou usar um objeto NCC (configurações de conectividade de rede) existente

O objeto NCC no Azure Databricks define as configurações de conectividade privada para seus workspaces. Ignore esta etapa se já existir um NCC. Para criar um objeto NCC:

1. Como administrador da conta, acesse o console da conta.
2. Na barra lateral, clique em Segurança.
3. Clique em configurações de conectividade de rede.
4. Clique em Adicionar configuração de rede.
5. Insira um nome para a NCC.
6. Escolha a região. Isso deve corresponder à região do seu espaço de trabalho.
7. Clique em Adicionar.

Etapa 4: Criar um ponto de extremidade privado

Esta etapa vincula seu serviço de Link Privado ao NCC do Azure Databricks. Para criar um ponto de extremidade privado:

1. No console da conta, clique em Segurança.
2. Clique em configurações de conectividade de rede.
3. Selecione o objeto NCC que você criou na Etapa 3.
4. Na guia Regras de ponto de extremidade privado , clique em Adicionar regra de ponto de extremidade privado.
5. No campo ID do recurso do Azure, cole a ID completa do recurso do seu serviço de Private Link. Encontre essa ID no portal do Azure na página Visão geral do serviço de Link Privado. ID de exemplo: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>.
6. No campo Nomes de domínio, adicione os nomes de domínio personalizados que os recursos da VNet usam. Esses nomes de domínio devem ser mapeados para as configurações de IP no pool de back-end do Load Balancer.
7. Clique em Adicionar.
8. Confirme se a coluna Status da regra de ponto de extremidade privado recém-adicionada é PENDING.

Etapa 5: Aceitar o ponto de extremidade privado em seu recurso

Depois de criar a regra de ponto de extremidade privado no Databricks, você deve aprovar a solicitação de conexão no portal do Azure. Para aprovar a conexão:

1. Navegue até o Centro de Link Privado no portal do Azure.
2. Selecione serviços de Link Privado.
3. Localize e selecione o serviço de Link Privado associado ao balanceador de carga.
4. Na barra lateral esquerda, em Configurações, selecione Conexões de ponto de extremidade privado.
5. Selecione o ponto de extremidade privado pendente.
6. Clique em Aprovar para aceitar a conexão.
7. Quando solicitado, selecione Sim.
8. Após a aprovação, o estado de conexão muda para Aprovado.

Pode levar dez minutos para que a conexão seja totalmente estabelecida.

Etapa 6: Confirmar o status do ponto de extremidade privado

Verifique se a conexão de endpoint privado foi estabelecida com êxito a partir do Azure Databricks. Para confirmar a conexão:

1. Atualize a página configurações de conectividade de rede no console da conta do Azure Databricks.
2. Na guia Regras de ponto de extremidade privado , confirme se a coluna Status do novo ponto de extremidade privado é ESTABLISHED.

Etapa 7: Vincular o NCC a um ou mais espaços de trabalho

Esta etapa associa sua conectividade privada configurada aos workspaces do Azure Databricks. Pule esta etapa se o espaço de trabalho já estiver anexado ao NCC desejado. Para anexar o NCC a um espaço de trabalho:

1. Navegue até Workspaces na navegação à esquerda.
2. Selecione um workspace existente.
3. Selecione Atualizar Workspace.
4. Em configurações de conectividade de rede, selecione a lista suspensa e escolha o NCC que você criou.
5. Repita para todos os workspaces aos quais você gostaria que este NCC se aplicasse.

Próximas etapas

• Configurar a conectividade privada com os recursos do Azure: use o Link Privado para estabelecer acesso seguro e isolado aos serviços do Azure de sua rede virtual, ignorando a Internet pública. Consulte Configurar a conectividade privada com os recursos do Azure.
• Gerenciar regras de ponto de extremidade privado: controlar o tráfego de rede de e para seus pontos de extremidade privados do Azure definindo regras específicas que permitem ou negam conexões. Consulte Gerenciar regras de ponto de extremidade privado.
• Configurar um firewall para acesso à computação sem servidor: implemente um firewall para restringir e proteger conexões de rede de entrada e saída para seus ambientes de computação sem servidor. Veja Configurar um firewall para acesso computacional sem servidor.
• Entenda os custos de transferência e conectividade de dados: a transferência de dados e a conectividade referem-se à movimentação de dados para dentro e para fora dos ambientes sem servidor do Azure Databricks. Os encargos de rede para produtos sem servidor se aplicam somente aos clientes que usam a computação sem servidor do Azure Databricks. Consulte Noções básicas sobre os custos de rede sem servidor do Databricks.