管理 IP 访问列表

本指南介绍 Azure Databricks 帐户和工作区的 IP 访问列表。

IP 访问列表概述

注意

此功能需要高级计划

默认情况下,用户可从任何计算机或 IP 地址连接到 Azure Databricks。 通过 IP 访问列表,你可以根据用户的 IP 地址限制对 Azure Databricks 帐户和工作区的访问。 例如,可配置 IP 访问列表,以允许用户仅通过具有安全外围的现有公司网络进行连接。 如果内部 VPN 网络已授权,远程或出差的用户可使用 VPN 连接到企业网络。 如果用户尝试从不安全的网络(例如从咖啡店)连接到 Azure Databricks,访问会被阻止。

有两个 IP 访问列表功能:

  • 帐户控制台的 IP 访问列表(公共预览版:帐户管理员可配置帐户控制台的 IP 访问列表,以允许用户仅通过一组批准的 IP 地址连接到帐户控制台 UI 和帐户级 REST API。 帐户所有者和帐户管理员可以使用帐户控制台 UI 或 REST API 来配置允许的和阻止的 IP 地址和子网。 请参阅配置帐户控制台的 IP 访问列表

  • 工作区的 IP 访问列表:工作区管理员可配置 Azure Databricks 工作区的 IP 访问列表,以允许用户仅通过一组批准的 IP 地址连接到工作区或工作区级 API。 工作区管理员使用 REST API 配置允许的和阻止的 IP 地址和子网。 请参阅配置工作区的 IP 访问列表

注意

如果使用专用链接,IP 访问列表仅适用于通过 Internet(公共 IP 地址)发送的请求。 IP 访问列表无法阻止来自专用链接流量的专用 IP 地址。 要控制谁可以使用专用链接访问 Azure Databricks,可以检查已经创建了哪些专用终结点,请参阅启用 Azure 专用链接后端和前端连接

如何检查访问?

通过 IP 访问列表功能,可为 Azure Databricks 帐户控制台和工作区配置允许列表和阻止列表:

  • “允许列表”包含公共 Internet 上允许访问的 IP 地址集。 显式地允许或以整个子网(例如 216.58.195.78/28)的形式允许多个 IP 地址。
  • “阻止列表”包含要阻止的 IP 地址或子网,即使它们包含在允许列表中也是如此。 如果允许的 IP 地址范围包括较小范围的基础结构 IP 地址(这些地址实际上超出了实际的安全网络外围),则可以使用此功能。

尝试连接时:

  1. 首先,检查所有阻止列表。 如果连接 IP 地址与任何阻止列表匹配,则连接将被拒绝。
  2. 如果连接未被阻止列表拒绝,则 IP 地址将与允许列表进行比较。 如果至少有一个允许列表,则仅当 IP 地址与一个允许列表匹配时,才允许连接。 如果没有允许列表,则允许所有 IP 地址。

如果禁用该功能,则允许对帐户或工作区进行各式访问。

IP access list flow diagram

对于所有合并的允许列表和阻止列表,帐户控制台最多支持 1000 个 IP/CIDR 值,其中一个 CIDR 作为单个值计数。

对 IP 访问列表的更改可能需要几分钟才能生效。