为Azure资源配置Azure网络安全外围

本页介绍如何使用 Azure 门户配置Azure网络安全外围（NSP），以控制从无服务器计算到Azure资源的访问。

Azure资源的网络安全外围概述

Azure网络安全外围（NSP）是一项Azure内置功能，可为 PaaS 资源创建逻辑隔离边界。通过将存储帐户或数据库等资源与 NSP 相关联，可以使用简化的规则集集中管理网络流量。 NSP 无需手动管理单个 IP 地址或子网 ID 的复杂列表。

NSP 支持从无服务器 SQL 仓库、作业、笔记本、Lakeflow Spark 声明性管道和模型服务终结点进行访问。

主要优势

使用 NSP 处理 Azure Databricks 的无服务器出站流量，可以提高安全态势，同时显著减少运营开销：

益处	Description
成本节约	通过服务终结点发送的流量保留在Azure主干上，不会产生数据处理费用。
简化管理	Azure Databricks建议使用区域服务标记来限制对特定区域的访问，例如，`AzureDatabricksServerless.ChinaEast2`。该标记包括服务终结点 IP 和 Azure Databricks NAT IP，所有通信都通过Azure主干路由。如果需要允许跨所有Azure Databricks区域进行访问，请改用全局标记 `AzureDatabricksServerless`。有关受支持的Azure区域的完整列表，请参阅 Azure Databricks 区域。
集中式安全管理	在单个 NSP 配置文件中管理多个资源类型（包括storage、密钥保管库和数据库）的安全策略。

支持的 Azure 服务

支持将 AzureDatabricksServerless 服务标记用于以下Azure服务的 NSP 入站访问规则：

Azure 存储（包括 ADLS Gen2）
Azure SQL 数据库
Azure Cosmos DB
Azure 密钥保管库

要求

你必须是 Azure Databricks 帐户管理员。
必须对要配置的Azure资源具有“参与者”或“所有者”权限。
必须有权在Azure订阅中创建网络安全外围资源。
Azure Databricks工作区和Azure资源必须位于同一Azure区域中，以实现最佳性能，并避免跨区域数据传输费用。

步骤 1：创建网络安全边界并记下配置文件 ID

登录到 Azure 门户。
在顶部的搜索框中，输入 网络安全外围 并从结果中选择它。
单击 + 创建。
在 “基本信息 ”选项卡上，输入以下信息：
- Subscription：选择Azure订阅。
- 资源组：选择现有资源组或创建一个资源组。
- 名称：输入 NSP 的名称（例如 databricks-nsp）。
- 区域：选择 NSP 的区域。该区域必须与Azure Databricks工作区区域和Azure资源的区域匹配。
- 配置文件名称：输入配置文件名称（例如 databricks-profile）。
单击“查看 + 创建”，然后单击“创建”。
创建 NSP 后，请在 Azure 门户中进入 NSP 界面。
在左侧边栏中，转到 “设置>配置文件”。
创建或选择个人资料（例如 databricks-profile）。
复制资源 ID以获取配置文件。需要此 ID 以编程方式关联资源。

小窍门

将个人资料 ID 保存在安全位置。如果要使用 Azure CLI 或 API（而不是Azure门户）关联资源，则必须使其可用。

步骤 2：在转换模式下将资源与 NSP 相关联

要将您希望从 Azure Databricks 无服务器计算访问的每个 Azure 资源与 NSP 配置文件相关联。此示例演示如何关联Azure 存储帐户，但相同的步骤也适用于其他Azure资源。

在 Azure 门户中转到您的外围网络安全。
在左侧边栏中，转到“设置”下的“资源”。
单击“ + 添加>将资源与现有配置文件关联”。
选择您在步骤 1 创建的配置文件（例如databricks-profile）。
单击关联。
在资源选择窗格中，按资源类型进行筛选。例如，若要关联Azure Data Lake Storage Gen2帐户，请按 Microsoft.Storage/storageAccounts 进行筛选。
从列表中选择你的资源。
单击窗格底部的 “关联 ”。

验证转换模式：

在 NSP 中，转到“设置>”（或“关联资源”）。
在列表中找到存储帐户。
验证 Access Mode 列是否显示 Transition。转换是默认模式。

注释

转换模式首先评估 NSP 规则。如果没有 NSP 规则与传入请求匹配，系统会回退到资源的现有防火墙规则。转换模式允许你测试 NSP 配置，而不会中断现有的流量模式。

步骤 3：为Azure Databricks无服务器计算添加入站访问规则

必须在您的 NSP 配置文件中创建一个入站访问规则，以允许 Azure Databricks 无服务器计算访问您的 Azure 资源。

在 Azure 门户中转到您的外围网络安全。
在左侧边栏中，转到 “设置>配置文件”。
选择配置文件（例如 databricks-profile，）。
在设置中单击 入站访问规则。
单击“ + 添加”。
配置规则：
- 规则名称：输入描述性名称（例如 allow-databricks-serverless，）。
- 源类型：选择 服务标记。
- 允许的源：选择 AzureDatabricksServerless。[your_workspace_region] （例如， AzureDatabricksServerless.ChinaEast2）。使用区域标记限制对工作区区域中Azure Databricks IP 的访问，这减少了与全局标记相比的曝光率。
单击添加。

小窍门

Databricks 建议使用区域服务标记（AzureDatabricksServerless.[your_workspace_region]）来获得更严格的安全性。如果需要允许从所有Azure Databricks区域进行访问（例如，当工作区跨越多个区域时），请改用全局标记AzureDatabricksServerless。这两个标记都会自动更新，因此在Azure Databricks添加新 IP 范围时，无需手动管理 IP 地址或更新规则。

步骤 4：验证配置

配置 NSP 后，验证Azure Databricks无服务器计算是否可以访问Azure资源并监视 NSP 活动。

从无服务器计算测试访问

在Azure门户中转到Azure资源。
转到 “安全性 + 网络>网络”。
验证资源是否显示与网络安全边界的关联。
验证状态是否显示 转换模式。
查看与用户配置关联的入站规则，确认 AzureDatabricksServerless 规则是否已列出（区域或全局）。
在Azure Databricks工作区中，运行测试查询以确认无服务器计算可以访问资源。例如，若要测试对 ADLS Gen2 存储帐户的访问权限：
```
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.chinacloudapi.cn/path/to/data` LIMIT 10;
```
如果查询成功，则 NSP 配置正常工作。

监视 NSP 活动

监视 NSP 规则允许或拒绝的连接尝试：

在Azure门户中转到Azure资源。
转到 “监视>诊断”设置。
单击“+ 添加诊断设置”。
选择要监视的日志类别。对于Azure 存储帐户，请选择：
- StorageRead
- StorageWrite
选择目标：
- Log Analytics 工作区（建议用于查询和分析）
- 存储账户（用于长期存档）
- 事件中心 （用于流式传输到外部系统）
单击“ 保存”。

小窍门

诊断日志显示 NSP 规则与资源防火墙规则匹配的连接尝试。这些日志有助于在迁移到强制模式之前验证配置。在过渡模式下，日志记录指示每个请求是被 NSP 规则允许，还是回退到资源防火墙。

了解 NSP 访问模式

NSP 支持两种访问模式：转换模式和 强制模式。对于大多数用例，Azure Databricks建议无限期地保持过渡模式。

转换模式 （建议）：

首先评估 NSP 规则，如果没有 NSP 规则匹配，则回退到资源防火墙规则
允许将 NSP 与现有网络配置一起使用
与服务终结点、经典计算配置和公共网络流量模式兼容

强制模式 （不建议大多数客户使用）：

绕过资源防火墙规则，阻止与 NSP 规则不匹配的所有流量。强制模式不仅影响Azure Databricks，还影响通过资源防火墙允许的任何其他服务—这些服务必须已载入到 NSP 才能继续工作。
如果您使用服务终结点从任何 Azure Databricks 工作区连接到存储，请保持过渡模式。

警告

保持过渡模式，以保持与现有网络设置的兼容性，同时受益于简化的规则管理。请参阅网络安全边界限制。

后续步骤

配置专用终结点：有关与没有公共终结点的Azure资源的专用连接，请参阅配置与 Azure 资源的专用连接。
Manage 网络策略：实施网络策略，为无服务器计算环境提供额外的安全控制和访问限制。请参阅什么是无服务器出口控制？。
了解数据传输成本：了解将数据移入和移出无服务器环境相关的成本。请参阅了解 Databricks 无服务器网络成本。

Last updated on 2026-05-20