本页介绍如何为 Azure Databricks 工作区配置 IP 访问列表。 本文讨论可以使用 Databricks CLI 执行的最常见任务。
也可以使用 IP 访问列表 API。
要求
- 此功能需要高级计划。
- IP 访问列表仅支持 Internet 协议版本 4 (IPv4) 地址。
如果你在工作区上启用安全群集连接,则必须将计算平面用来访问控制平面的任何公共 IP 添加到允许列表,或者必须配置后端专用链接。 否则,经典计算资源无法启动。
例如,如果你在使用 VNet 注入的工作区上启用安全群集连接,则 Databricks 会建议你为工作区使用一个稳定的出口公共 IP。 该公共 IP 和任何其他 IP 都必须出现在允许列表中。 请参阅 在 Azure 虚拟网络(VNet 注入)中部署 Azure Databricks。 或者,如果使用 Azure Databricks 托管 VNet 并将托管 NAT 网关配置为访问公共 IP,则必须在允许列表中显示这些 IP。 有关详细信息,请参阅此 Databricks Community 帖子。
检查工作区是否启用了 IP 访问列表功能
若要检查工作区是否启用了 IP 访问列表功能:
databricks workspace-conf get-status enableIpAccessLists
启用或禁用工作区的 IP 访问列表功能
在 JSON 请求正文中,将 enableIpAccessLists 指定为 true(已启用)或 false(已禁用)。
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
添加 IP 访问列表
如果启用了 IP 访问列表功能,而工作区没有允许列表或阻止列表,则允许所有 IP 地址。 如果将 IP 地址添加到允许列表,会阻止该列表中未包含的所有 IP 地址。 请仔细查看更改,避免意外的访问限制。
计算平面用于访问控制平面的任何公共 IP 都应添加到允许列表中。
IP 访问列表有一个标签,该标签是列表的名称,也是列表类型。 此列表类型是 ALLOW(允许列表)或 BLOCK(阻止列表,这意味着即使在允许列表中也要排除)。
例如,添加允许列表:
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
列出 IP 访问列表
databricks ip-access-lists list
更新 IP 访问列表
至少指定以下值之一进行更新:
-
label- 此列表的标签。 -
list_type-ALLOW(允许列表)或BLOCK(阻止列表,这意味着即使在允许列表中也要排除)。 -
ip_addresses- 一个 IP 地址和 CIDR 范围的 JSON 数组,作为字符串值。 -
enabled- 指定是否启用了该列表。 传递true或false。
响应是你传入的对象的副本,其中包含其他的 ID 和修改日期字段。
例如,若要禁用列表,请运行:
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
删除 IP 访问列表
若要删除 IP 访问权限:
databricks ip-access-lists delete <list-id>
后续步骤
- 为帐户控制台配置 IP 访问列表:为帐户控制台访问设置 IP 限制,以控制哪些网络可以访问帐户级设置和 API。 请参阅 配置帐户控制台的 IP 访问列表。
- 配置专用连接:使用专用链接从虚拟网络建立对 Azure 服务的安全隔离访问,从而绕过公共 Internet。 请参阅 Azure 专用链接概念。
- 配置 VNet 注入:使用稳定的出口公共 IP 设置 VNet 注入,以提高网络安全。 请参阅 在 Azure 虚拟网络(VNet 注入)中部署 Azure Databricks。