经典计算平面网络

本指南介绍了在 Azure Databricks 控制平面和经典计算平面之间自定义网络访问的功能。 控制平面与无服务器计算平面之间的连接始终通过云网络主干而不是公共 Internet。

要详细了解控制平面和计算平面，请参阅 Azure Databricks 体系结构概述。

本部分中的功能侧重于建立和保护 Azure Databricks 控制平面与经典计算平面之间的连接。 此连接在下图中标记为 2：

有关在 Azure Databricks 和 Azure 存储之间配置 Azure 网络功能的详细信息，请参阅授予 Azure Databricks 工作区对 Azure Data Lake Storage Gen2 的访问权限。

启用安全群集连接

Databricks 建议在 Azure Databricks 工作区上启用安全群集连接。 启用安全群集连接后，经典控制平面中的计算资源将通过中继连接到控制平面。 这意味着计算平面没有开放端口，并且经典控制平面资源没有公共 IP 地址。 这简化了网络管理，因为无需在安全组或网络对等互连上配置端口。 若要详细了解如何部署具有安全群集连接的工作区，请参阅安全群集连接（无公共 IP/NPIP）。

在你自己的虚拟网络中部署工作区

默认情况下，每个 Azure Databricks 部署都会在 Azure 订阅中创建一个锁定的虚拟网络 (VNet)。 经典计算资源是在该虚拟网络中创建的。 你可以改为在自己的客户管理的虚拟网络中创建新的工作区（也称为 VNet 注入），这样就可以：

• 使用服务终结点或专用终结点保护从 Azure Databricks 到 Azure 存储的连接。 请参阅授予 Azure Databricks 工作区对 Azure Data Lake Storage Gen2 的访问权限。
• 使用网络安全组规则限制来自虚拟网络的出站流量。
• 利用由用户定义的路由，保护从 Azure Databricks 到本地网络的连接。 请参阅将 Azure Databricks 工作区连接到本地网络和用户定义的 Azure Databricks 路由设置。

要在自己的虚拟网络中部署工作区，请参阅在 Azure 虚拟网络中部署 Azure Databricks（VNet 注入）。 还可以将 Azure Databricks 虚拟网络与其他 Azure 虚拟网络对等互连，请参阅将虚拟网络对等互连。

启用从控制平面到经典计算平面的专用连接

Azure 专用链接可提供从 Azure VNet 和本地网络到 Azure 服务的专用连接，而无需公开流向公用网络的流量。 通过启用 Azure 专用链接在控制平面中启用从经典计算平面到 Azure Databricks 工作区核心服务的专用连接。

有关详细信息，请参阅启用 Azure 专用链接后端和前端连接。