本文列出了Azure Databricks服务和资产的 IP 地址和域。
如果将Azure Databricks工作区部署到自己的虚拟网络(VNet),并且使用自定义路由(也称为用户定义的路由(UDR)来管理使用虚拟设备或防火墙的网络流量,则可能需要此信息。
请参阅 Azure Databricks 的用户定义路由设置。
Databricks 强烈建议使用Azure Databricks服务标记而不是特定的 IP 地址。 Azure服务标记表示给定Azure服务中的一组 IP 地址前缀。 Azure Databricks服务标记表示与Azure Databricks控制平面、安全群集连接(SCC)和Azure Databricks Web 应用程序的所需出站连接的 IP 地址。 Azure Databricks管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记。 这有助于防止由于 IP 更改而导致的服务中断,并且无需定期查找这些 IP 和更新它们。
Azure Databricks控制平面地址
用于路由网络流量的 IP 地址取决于Azure Databricks工作区是否使用 安全群集连接(SCC):
- 已启用安全群集连接:使用 SCC 中继值和控制平面 IP,包括工作区区域的默认存储和 Web 应用值。 这些值位于 Inbound 到Azure Databricks控制平面节中。
- 安全集群连接已禁用:使用控制平面服务,包括工作区区域的默认存储和 webapp的值,从Azure Databricks 控制平面的入站部分,以及控制平面 NAT在Azure Databricks 控制平面中出站 IP 部分的工作区区域值。
大多数区域具有用于控制平面 IP、Webapp 和 NAT 的多个 IP 地址范围。 原因如下:相较于其他区域,这些区域包含更多基础结构服务。 在创建工作区期间,您的工作区将被分配给基础设施服务,分别使用一个用于控制平面 NAT 的 IP 地址和一个用于 Webapp 的 IP 地址。 由于区域内的基础结构服务之间不会共享数据和机密,因此无法通过其他 IP 地址中的基础结构服务访问工作区。 因此,在网络安全组中指定多个 IP 地址不会出现安全问题。
入站到Azure Databricks控制平面
注意
Databricks 将为我们的控制平面服务部署新的组件,以提高安全性和区域支持可用水平。 若要确保服务不间断,必须在 2025 年 7 月 7 日前添加新 IP。 为以下区域添加新 IP:
- 中国东部 2
- 中国东部 3
- 中国北部 2
- 中国北部 3
警告
始终允许列出提供用于安全群集连接(SCC)中继终结点的域名(FQDN),而不是单个 IP 地址。 由于基础结构更新和多可用性区域部署,这些域后面的 IP 地址会定期更改。 允许列出特定 IP 地址的客户可能会在发生基础结构更改时遇到服务中断。 如果必须使用 IP 地址,请实现自动化 DNS 解析并定期更新防火墙规则。
| Azure Databricks 区域 | 服务 | 公共 IP 或域名 |
|---|---|---|
| 中国东部 2 | 控制平面 IP,包括默认存储和 Web 应用 | 163.228.200.0/26, 52.130.1.64/29, 52.130.2.232/29 |
| SCC 中继 | tunnel.chinaeast2.databricks.azure.cn | |
| 中国东部 3 | 控制平面 IP,包括默认存储和 Web 应用 | 163.228.32.0/26, 52.131.144.32/29, 52.130.1.64/32 |
| SCC 中继 | tunnel.chinaeast2.databricks.azure.cn | |
| 中国北部 2 | 控制平面 IP,包括默认存储和 Web 应用 | 139.217.120.0/26, 52.130.16.112/29 |
| SCC 中继 | tunnel.chinanorth2.databricks.azure.cn | |
| 中国北部 3 | 控制平面 IP,包括默认存储和 Web 应用 | 52.131.16.33/32, 52.131.16.35/32, 52.130.224.0/27, 52.131.16.32/29, 52.130.16.113/32 |
| SCC 中继 | tunnel.chinanorth3c2.databricks.azure.cn、tunnel.chinanorth2.databricks.azure.cn |
DBFS 根存储 IP 地址
若要获取 DBFS 根存储的 IP 地址,请执行以下操作:
转到 Azure 门户中的工作区实例。
单击工作区的托管资源组名称。
在资源列表中,找到具有
dbstorage************格式的名称的存储帐户并复制它。使用复制的存储帐户名称获取端点域名:
- 域
<storage-account-name>.blob.core.chinacloudapi.cn。 例如,dbstorage9875b57ac95c.blob.core.chinacloudapi.cn。 - 域
<storage-account-name>.dfs.core.chinacloudapi.cn。 例如,dbstorage9875b57ac95c.dfs.core.chinacloudapi.cn。
- 域
查找这些域名的 IP 地址。
为这些 IP 地址创建两个 UDR,以便 UDR 将流量路由到Azure Storage服务。
元存储、项目 Blob 存储、系统表存储、日志 Blob 存储和事件中心终结点 IP 地址
若要获取工作区级的 Hive 元存储、工件 Blob 存储、系统表存储、日志 Blob 存储和事件中心的 IP 地址,必须使用下表提供的域名来查找这些 IP 地址。
| Azure Databricks工作区区域 | 服务 | FQDN | 端口 | 协议 |
|---|---|---|---|---|
| 中国东部 2 | 元存储 | consolidated-chinaeast2-prod-metastore-0.mysql.database.chinacloudapi.cn | 3306 | TCP |
| 工件 Blob 存储主存 | dbartifactsprodcne2.blob.core.chinacloudapi.cn | 443 | HTTPS | |
| 工件 Blob 存储次级 | dbartifactsprodcnn2.blob.core.chinacloudapi.cn | 443 | HTTPS | |
| 日志 Blob 存储 | dblogprodchinaeast2.blob.core.chinacloudapi.cn | 443 | HTTPS | |
| 事件中心终结点 | prod-chinaeast2-observabilityeventhubs.servicebus.chinacloudapi.cn | 9093 | TCP | |
| 中国东部 3 | 元存储 | consolidated-chinaeast3-prod-metastore-0.mysql.database.chinacloudapi.cn | 3306 | TCP |
| 工件 Blob 存储主存 | dbartifactsprodcne3.blob.core.chinacloudapi.cn | 443 | HTTPS | |
| 工件 Blob 存储次级 | dbartifactsprodcne3.blob.core.chinacloudapi.cn | 443 | HTTPS | |
| 日志 Blob 存储 | dblogprodchinaeast3.blob.core.chinacloudapi.cn | 443 | HTTPS | |
| 事件中心终结点 | prod-chinaeast2-observabilityeventhubs.servicebus.chinacloudapi.cn | 9093 | TCP | |
| 中国北部 2 | 元存储 | consolidated-chinanorth2-prod-metastore-0.mysql.database.chinacloudapi.cn | 3306 | TCP |
| 工件 Blob 存储主存 | dbartifactsprodcnn2.blob.core.chinacloudapi.cn | 443 | HTTPS | |
| 工件 Blob 存储次级 | dbartifactsprodcnn2.blob.core.chinacloudapi.cn(与主实例相同) | 443 | HTTPS | |
| 日志 Blob 存储 | dblogprodchinanorth2.blob.core.chinacloudapi.cn | 443 | HTTPS | |
| 事件中心终结点 | prod-chinanorth2-observabilityeventhubs.servicebus.chinacloudapi.cn | 9093 | TCP | |
| 中国北部 3 | 元存储 | consolidated-chinanorth3-prod-metastore-0.mysql.database.chinacloudapi.cn consolidated-chinanorth3c2-prod-metastore-0.mysql.database.chinacloudapi.cn |
3306 | TCP |
| 工件 Blob 存储主存 | dbartifactsprodcnn3.blob.core.chinacloudapi.cn | 443 | HTTPS | |
| 工件 Blob 存储次级 | dbartifactsprodcnn3.blob.core.chinacloudapi.cn(与主存储相同) | 443 | HTTPS | |
| 日志 Blob 存储 | dblogprodchinanorth3.blob.core.chinacloudapi.cn | 443 | HTTPS | |
| 事件中心终结点 | prod-chinanorth2-observabilityeventhubs.servicebus.chinacloudapi.cn prod-chinanorth3c2-observabilityEventHubs.servicebus.chinacloudapi.cn |
9093 | TCP |
供 Databricks 内部使用的保留 IP 范围
Databricks 为内部应用程序保留某些 IP 范围,以避免潜在的 IP 冲突。 客户应避免在网络配置中使用这些范围:
- 127.187.216.0/24
- 192.168.216.0/24
- 198.18.216.0/24
这些保留 IP 范围适用于所有类型的工作区和所有群集类型,包括经典群集和无服务器群集,以及 Databricks 容器服务群集。
Databricks 容器服务群集
对于 Databricks 容器服务(DCS)群集,还应避免使用默认 Docker 网络范围:
- 172.17.0.0/16
通过保留 Databricks 内部使用的这些 IP 范围并避免 DCS 群集的默认 Docker 网络范围,有助于防止潜在的 IP 冲突并确保 Databricks 环境的顺利运行。