强化的连接

强化连接以 托管安全 为基础，增加了分层的入站和出站控制：基于上下文的入站（CBI）、VPC 端点、无服务器出站控制，以及可选的外部防火墙。 工作区访问保留在公共 Internet 上，受 CBI 限制。

此体系结构具有：

• 基于上下文的工作区入口：用户通过 Internet 登录，CBI 策略通过网络源、标识、身份验证机制和访问范围限制工作区访问。 与受 VPN 访问控制的架构相比，这是在简洁性方面作出的一种权衡。
• 私有云服务访问：VPC 终端节点 (AWS) 或服务终结点 (Azure) 可使云服务流量不经过公共互联网。
• 无服务器出口控制：网络策略和 NCC 专用终结点控制来自无服务器计算的出站流量。
• 可选的出口检查：部署外部防火墙来检查和记录经典计算出口。
• 无需 VPN：无需企业网络依赖项即可简化用户访问。

在以下情况下使用此体系结构：

• 数据安全性是主要问题，而不是工作区访问控制。
• VPN 复杂性是用户工作效率的障碍。
• 基于 IP 的访问控制足以满足合规性要求。
• 组织更喜欢云优先访问模式。

先决条件

• 带有 VNet 注入工作区的 Microsoft Azure Databricks 高级层。

• 工作区访问控制的 IP 范围列表。

体系结构概述

强化的连接体系结构可保护网络流量并简化用户访问：

所需组件

Inbound

无入站 专用链接。 公共 Internet 访问受基于上下文的入口策略和（可选）IP 访问列表的限制。 遵循标准 IAM 进行身份验证。 请参阅 身份验证和访问控制。

工作区入口控件

通过 基于上下文的入口（CBI）（建议的入口策略框架）配置工作区入口。 CBI 规则将网络源（IP 范围）、标识、身份验证机制和访问范围合并为单个允许/拒绝模型，因此网络源属性执行与独立 IP 访问列表功能相同的作业，等等。

[IP 访问列表]不可用（../front-end/ip-access-list.md）仍受支持，可与 CBI 一起配置。 当两者都已配置时，请求必须同时获得这两个控制项的允许。

配置级别：

• 帐户级 CBI 策略：应用于帐户中的所有工作区。 请参阅 管理基于上下文的入口策略。
• 工作区级 IP 访问列表：应用于单个工作区。 请参阅 [为工作区配置 IP 访问列表]NOT AVAILABLE ON （../front-end/ip-access-list-workspace.md）。
• 帐户级 IP 访问列表：应用于帐户控制台。 请参阅[为账户控制台配置 IP 访问列表]不可在 (../front-end/ip-access-list-account.md) 上使用。

最佳做法：

• 先从宽泛的范围开始，再根据实际使用情况进行细化。
• 记录 IP 范围，并注明其用途和到期日期。
• 通过已知良好的 IP 范围维护管理员访问权限。
• 每季度审查一次，并删除过时的区间。

Warning

如果配置不当，入口策略和 IP 访问列表可能会锁定工作区。 始终通过已知良好的 IP 范围维护管理员访问权限。

Delta Sharing 接收方访问控制

Delta Sharing 使用在接收方对象上配置的其自身 IP 访问列表。 这与基于上下文的入口和工作区 IP 访问列表是分开的。 仅适用于开放式共享（非 Azure Databricks 接收方）。

请参阅使用 IP 访问列表限制 Delta Sharing 接收者访问权限（开放共享）。

出境

无服务器出口受网络策略和 NCC 专用终结点的约束。 经典计算出口可以选择流经外部防火墙进行检查。 使用 Unity 目录对出站数据访问进行数据管理。 请参阅什么是 Unity Catalog？。

无服务器出口控件

配置网络策略以控制无服务器计算资源的出站流量。 使用 IP 范围或 FQDN 定义允许的目标。

请参阅 什么是无服务器出口控制？。

Serverless 专用链接（NCC 私有端点）

通过 专用链接 提供从无服务器计算到您的资源的私有连接。 无服务器数据流量不经过公共互联网。

请参阅 配置与 Azure 资源的专用连接。

经典计算的外部防火墙（可选）

通过外部防火墙转送经典计算出站流量，以进行检查、记录日志和实施策略。 在隔离环境中为必需；此处可选。

选项包括Azure 防火墙或第三方网络虚拟设备（NVA）。

Warning

Azure Databricks 控制平面与 SCC 中继连接使用 TLS，并采用证书锁定。 不要在群集与Azure Databricks控制平面之间的流量上启用 TLS 检查（解密和重新加密）。 这样做会导致群集发生故障。 有关所需终结点，请参阅 Azure Databricks 服务和资产的 IP 地址和域。

经典计算基线

经典计算基线继承自 托管安全性。 此体系结构不需要其他经典计算组件。

基线包括 VNet 注入、安全群集连接（SCC）和经典专用链接。

用户定义的路由

配置云服务访问权限的路由，以保持流量的私密性并降低成本。

使用适用于 Azure 服务的服务标记配置 UDR。 请参阅 Azure Databricks 的用户定义路由设置。

Implementation

从已部署的托管安全基线起步。 以下阶段添加定义此体系结构的入口和出口控件。

阶段 1：入站访问控制

1. 配置账户级基于上下文的入口（CBI）策略，根据网络来源、身份、身份验证机制和访问范围限制对工作区的访问。 请参阅 基于上下文的入口控件 和管理 基于上下文的入口策略。
2. 可选地，您可以配合 CBI 配置工作区级别的 IP 访问列表，以实现向后兼容或针对各个工作区进行单独覆盖。 如果两者都已配置，则该请求必须同时得到双方的允许。 请参阅 [为工作区配置 IP 访问列表]NOT AVAILABLE ON （../front-end/ip-access-list-workspace.md）。
3. 配置帐户级 IP 访问列表，以控制对帐户控制台的访问。 请参阅[为账户控制台配置 IP 访问列表]不可在 (../front-end/ip-access-list-account.md) 上使用。
4. 如果您使用 Delta Sharing 开放共享，请为每个共享接收方配置接收方级别的 IP 访问列表。 请参阅使用 IP 访问列表限制 Delta Sharing 接收者访问权限（开放共享）。
5. 维护所有已配置 IP 范围的文档记录，包括配置依据、关联工单和计划审查日期。
6. 通过测试从已批准的 IP 范围进行登录，并确认来自未批准 IP 范围的连接会被阻止，以验证访问行为。

阶段 2：云服务终结点

1. 使用Azure服务标记配置用户定义的路由（UDR），以便发往Azure服务的流量遵循所需的专用或受控出口路径。 请参阅 Azure Databricks 的用户定义路由设置。
2. 根据需要为客户管理的Azure存储帐户配置服务终结点或专用终结点。

阶段 3：无服务器出站控制

1. 配置无服务器网络策略，使用 IP 范围或 FQDN 将无服务器计算资源的出站流量限制到获批目标。 请参阅 什么是无服务器出口控制？。
2. 为 NCC 专用终结点配置从无服务器计算到Azure资源的专用连接。 请参阅 配置与 Azure 资源的专用连接。
3. 测试无服务器工作负荷是否可以到达批准的目标，并阻止未经批准的工作负荷。

阶段 4 （可选）：经典计算的外部防火墙

1. 在中心 VNet 中部署 Azure 防火墙 或第三方网络虚拟设备（NVA），并将该中心 VNet 与工作区 VNet 对等互连。
2. 在工作区子网中配置 UDR，并将默认路由指向防火墙。
3. 配置防火墙规则，以允许访问所需的 Azure Databricks 终结点，并且对控制平面和 SCC 中继流量不进行 TLS 拦截。

Azure Databricks Terraform SRA提供了自动化此部署的基础结构即代码模板。

验证

部署体系结构后，请运行以下检查，确认经典计算平面流量保持私密性，并且 IP 访问列表会限制已配置的工作区访问。

故障排除

如果验证失败，或者工作负载表现异常，请使用下表诊断常见问题。

日常维护

• IP 访问列表管理：每月查看，添加新位置，删除过时的范围。
• 终结点监视：跟踪专用终结点运行状况和数据传输成本。
• 制品仓库管理：维护私有软件包镜像并监控可用性。
• 用户支持：维护处理 IP 访问问题的流程。

上一步和后续步骤