Azure Databricks正在将 HTTP 连接路由从控制平面移动到无服务器计算平面,从而提高网络安全,并启用专用连接Private Link。 2026 年 4 月 30 日,将自动迁移所有工作区。
如果在 2026 年 3 月之前创建了工作区,并且外部服务使用基于 IP 的防火墙规则,您必须要么迁移到 Private Link,要么更新您的允许列表以使用无服务器出站 IP,以避免连接失败。
如果不确定工作区使用的是控制平面还是无服务器路由,请联系Azure Databricks帐户团队。
在您开始之前
- 验证你是否有权更新这些服务的防火墙规则或 IP 允许列表。
- 查看 安全与外部服务的网络连接中的网络安全选项。
标识 HTTP 连接
在更新防火墙规则之前,请标识所有 UC HTTP 连接及其目标 URL。 元存储管理员应在Azure Databricks笔记本中或本地使用 Azure Databricks SDK 在每个受影响的工作区中运行以下命令:
from databricks.sdk import WorkspaceClient
import pandas as pd
w = WorkspaceClient()
http_connections = [
{"Name": c.name, "Destination URL": c.url, "Owner": c.owner}
for c in w.connections.list()
if c.connection_type and c.connection_type.value == "HTTP"
]
if not http_connections:
print("No HTTP connections found in this workspace.")
else:
display(pd.DataFrame(http_connections))
每个目标 URL 代表一个外部服务,可能需要更新其防火墙规则,以允许无服务器计算的出站 IP 而不是控制平面 IP。 此脚本必须由元存储管理员为每个工作区运行,以确保无论每个对象权限如何,所有连接都可见。
迁移到Private Link(建议)
对于完整的租户隔离,Azure Databricks建议配置Private Link而不是 IP 允许列表。 通过Private Link,Azure Databricks与服务之间的流量通过专用连接传输,只有工作区才能访问该服务。
要设置专用链接:
- 请联系Azure Databricks帐户团队,为工作区启用无服务器路由。
- 按照 Private Link(建议)中的说明进行操作。
更新 IP 允许列表
如果 Private Link 不是您环境的可选方案,请将 IP 允许列表更新为改用无服务器架构的出站 IP,而不是控制平面 IP:
- 获取无服务器出站 IP。 请参阅 无服务器计算防火墙预览版的出站 IP。
- 更新防火墙规则。 将无服务器出站 IP 添加到 HTTP 连接访问的每个外部服务的 IP 允许列表。
- 联系Azure Databricks帐户团队,为工作区启用无服务器路由。
- 验证 HTTP 连接是否可以使用更新的允许列表访问每个外部服务。