重要
此功能在 Beta 版中。
本页显示帐户管理员如何创建网络策略、创作精细入口规则,以及如何将策略附加到工作区。 有关基于上下文的入口的概述,请参阅 基于上下文的入口控件。
有关无服务器出口控件,请参阅 什么是无服务器出口控件?。
要求
- 您必须是帐户管理员。
- Azure Databricks 工作区必须位于高级层上。
启用基于上下文的入口
作为帐户管理员,请在帐户中启用基于上下文的入口预览。
- 作为帐户管理员,登录到 帐户控制台。
- 单击 “预览”。
- 将 基于上下文的入口控件 开关设置为 “开”。
访问网络策略
使用网络策略为一个或多个工作区定义入口和出口规则。 要在帐户中创建、查看和更新网络策略,请执行以下操作:
在 帐户控制台中,单击“ 安全性”。
单击“ 网络 ”选项卡。
在 “策略”下,单击 “基于上下文的入口和出口”控件。
注释
默认策略适用于没有其他网络策略的任何工作区。 不建议修改其入口规则。 而是创建新的策略并将其附加到特定工作区。
创建网络策略
单击 创建新网络策略。
输入 策略名称。
单击 “入口 ”选项卡。若要设置出口规则,请参阅 “设置出口规则”。
选择网络访问模式:
- 允许来自所有源的访问:允许通过 Internet 进行不受限制的入站访问。
- 根据请求上下文限制访问:默认拒绝入站 Internet 访问,仅允许通过显式 允许规则进行访问。 有关详细信息,请参阅 基于上下文的入口控件。
配置网络策略
使用受限访问模式时:
- 默认情况下,策略会拒绝访问。
- 仅当请求与显式 允许规则匹配时,策略才授予访问权限。
- Databricks 在拒绝规则之前评估所有允许规则。 如果请求与拒绝规则匹配,则即使该请求也与允许规则匹配,策略也会拒绝它。
以下步骤概述了受限访问模式的可选设置。
设置入口规则
若要配置允许或拒绝规则,请单击“允许规则”或“拒绝规则”列表上方的“添加规则”。
选择访问类型:
- 工作区 UI:允许访问工作区 UI。
- API:允许或拒绝访问 Databricks API。
- 应用程序:允许访问 Databricks 应用程序部署。
选择标识类型:
- 所有用户和服务主体:允许访问用户和服务主体。
- 所有用户:仅允许访问工作区中的用户。
- 所有服务主体:仅允许访问工作区中的服务主体。
- 所选标识:仅允许访问特定用户或服务主体。 从 主体 列表中选择标识。
注释
对于 Lakebase 计算 和 应用 访问类型,唯一支持的标识类型是 “所有用户和服务主体”。 无法选择其他标识选项。
选择网络源:
- 所有公共 IP:允许从所有公共 IP 进行访问。
- 所选 IP:仅允许从特定 IP 进行访问。 输入以逗号分隔的 IP。
对于具有所选 IP 的 拒绝规则 ,请选择以下选项之一:
- IN:拒绝来自指定网络源中的 IP 的访问。
- NOT IN:拒绝来自不在指定网络源中的 IP 的访问。
单击“ 保存”。
注释
可以定义多个允许和拒绝规则,以基于客户端标识、客户端网络源或访问范围(访问类型)来控制访问。
设定策略强制模式
通过试运行模式,可以测试策略配置并监视入站连接,而不会中断对资源的访问。 启用干运行模式后,将记录违反策略但未阻止的请求。
将策略强制模式设置为 “对所有产品强制实施 ”,或 为所有产品设置“干运行模式”。
单击 “创建” 。
将网络策略附加到工作区
如果已使用其他配置更新了默认策略,那么系统会将这些策略自动应用于没有现有网络策略的工作区。
若要将工作区与其他策略相关联,请执行以下步骤:
在帐户控制台中,单击“ 工作区”。
选择工作区。
在 网络策略中,单击 更新网络策略。
从列表中选择所需的网络策略。
单击 “应用策略”。
检查拒绝日志
拒绝日志存储在 Unity Catalog 内的 system.access.inbound_network 表中。 这些日志跟踪何时拒绝入站网络请求。 若要访问拒绝日志,请验证是否在 Unity 目录元存储上启用了访问架构。
使用如下所示的 SQL 查询来查看拒绝事件。 如果启用了干运行日志,查询将返回拒绝日志和干运行日志,可以使用 access_type 列进行区分。 拒绝日志显示 DROP 值,而试运行日志显示 DRY_RUN_DENIAL。
以下示例检索过去 2 小时中的日志:
SELECT *
FROM system.access.inbound_network
WHERE event_time >= CURRENT_TIMESTAMP() - INTERVAL 2 HOUR
ORDER BY event_time DESC;
注释
日志可能不会立即显示。 访问时间与出现拒绝日志的时间之间可能会延迟几分钟。