通过

为Azure资源配置Azure网络安全外围

本页介绍如何配置 Azure 网络安全外围(NSP),通过 Azure portal 控制从无服务器计算服务到 Azure 资源的访问。

Azure资源的网络安全外围概述

Azure网络安全外围(NSP)是一项Azure本机功能,可为 PaaS 资源创建逻辑隔离边界。 通过将存储帐户或数据库等资源与 NSP 相关联,可以使用简化的规则集集中管理网络访问。 这取代了手动管理单个 IP 地址或子网 ID 的复杂列表的需求。

NSP 支持从无服务器 SQL 仓库、作业、笔记本、Lakeflow Spark 声明性管道和模型服务终结点进行访问。

主要优势

使用网络安全平台(NSP)用于 Microsoft Azure Databricks 的无服务器出站流量,不仅可以提高安全状态,还可以显著减少操作开销。

益处 Description
成本节约 通过服务终结点发送的流量保留在Azure主干上,不会产生数据处理费用。
简化管理 使用 AzureDatabricksServerless 服务标记全局管理访问。 若要将访问限制为特定 Azure 区域中的无服务器计算,请将区域名称追加到服务标记,例如,AzureDatabricksServerless.ChinaEast2。 有关受支持的Azure区域的完整列表,请参阅 Azure Databricks 区域
集中式访问控制 在单个 NSP 配置文件中管理多个资源类型(包括storage、密钥保管库和数据库)的安全策略。

扩展的服务支持

将无服务器计算安全地连接到各种Azure服务:

  • Data &Analytics:Azure Storage(包括 ADLS Gen2)、Azure SQL Database、Synapse Analytics、Cosmos DB 和 MariaDB
  • 安全&应用: Key Vault 服务、App Service 服务和认知服务
  • 消息与DevOps:事件中心、Service Bus和容器注册表

要求

  • 必须是 Azure Databricks 帐户管理员。
  • 必须对要配置的Azure资源具有“参与者”或“所有者”权限。
  • 必须有权在Azure订阅中创建网络安全外围资源。
  • Azure Databricks 工作区和Azure资源应位于同一Azure区域中,以实现最佳性能,并避免跨区域数据传输费用。

步骤 1:创建网络安全边界并记下配置 ID

  1. 登录到 Azure portal

  2. 在顶部的搜索框中,键入 网络安全外围 并从结果中选择它。

  3. 单击 + 创建

  4. “基本信息 ”选项卡上,输入以下信息:

    • Subscription:选择Azure订阅。
    • 资源组:选择现有资源组或创建新资源组。
    • 名称:输入 NSP 的名称(例如 databricks-nsp)。
    • 区域:选择 NSP 的区域。 这应与 Azure Databricks 工作区的区域和 Azure 资源的区域匹配。
    • 配置文件名称:输入配置文件名称(例如 databricks-profile)。

  5. 单击“查看 + 创建”,然后单击“创建”

  6. 创建 NSP 后,在 Azure 门户 中导航到它。

  7. 在左侧边栏中,转到 “设置>配置文件”。

  8. 创建或选择个人资料(例如 databricks-profile)。

  9. 复制资源 ID以获取配置文件。 如果计划以编程方式关联资源,则需要此 ID。

    小窍门

    将配置文件 ID 保存在安全位置。 如果想要使用 Azure CLI 或 API(而不是Azure Portal)关联资源,则稍后需要用到它。

步骤 2:在转换模式下将资源与 NSP 相关联

必须将希望从 Azure Databricks 无服务器计算引擎访问的每个 Azure 资源与 NSP 配置文件相关联。 此示例演示如何关联Azure Storage帐户,但相同的步骤也适用于其他Azure资源。

  1. 请在 Azure 门户中导航到您的网络安全边界。
  2. 在左侧边栏中,转到“设置”下的“资源”。
  3. 单击“ + 添加>将资源与现有配置文件关联”。
  4. 选择您在步骤 1 创建的配置文件(例如databricks-profile)。
  5. 单击关联
  6. 在资源选择窗格中,按资源类型进行筛选。 例如,若要关联Azure Data Lake Storage Gen2帐户,请按 Microsoft.Storage/storageAccounts 进行筛选。
  7. 从列表中选择你的资源。
  8. 单击窗格底部的 “关联 ”。

验证转换模式:

  1. 在 NSP 中,转到“设置>”(或“关联资源”)。
  2. 在列表中找到存储帐户。
  3. 验证 Access Mode 列是否显示 Transition。 这是默认模式。

注释

转换模式首先评估 NSP 规则。 如果没有 NSP 规则与传入请求匹配,系统会回退到资源的现有防火墙规则。 这样就可以测试 NSP 配置,而不会中断现有的访问模式。

步骤 3:为 Azure Databricks 无服务器计算服务添加入站访问规则

必须在 NSP 配置文件中创建入站访问规则,以允许来自 Azure Databricks 无服务器计算功能的流量进入您的 Azure 资源。

  1. 请在 Azure 门户中导航到您的网络安全边界。
  2. 在左侧边栏中,转到 “设置>配置文件”。
  3. 选择配置文件(例如 databricks-profile, )。
  4. 设置 中单击 入站访问规则
  5. 单击“ + 添加”。
  6. 配置规则:
    • 规则名称:输入描述性名称(例如 allow-databricks-serverless, )。
    • 源类型:选择 服务标记
    • 允许的源:选择 AzureDatabricksServerless
  7. 单击 添加

小窍门

AzureDatabricksServerless 服务标记自动覆盖所有Azure Databricks 无服务器计算 IP 范围,涵盖所有Azure区域。 Azure Databricks 添加新的 IP 范围时,无需手动管理 IP 地址或更新规则。

步骤 4:验证配置

配置 NSP 后,验证 Azure Databricks 无服务器计算是否可以访问 Azure 资源并监视 NSP 活动。

从无服务器计算测试访问

  1. 在 Azure 门户中访问您的 Azure 资源页面。

  2. 转到 “安全性 + 网络>网络”。

  3. 验证资源是否显示与网络安全边界的关联。

  4. 验证状态是否显示 转换模式

  5. 查看与配置文件关联的入站规则,以确认 AzureDatabricksServerless 该规则已列出。

  6. 在 Azure Databricks 工作区中,运行测试查询以确认无服务器计算可以访问您的资源。 例如,若要测试对 ADLS Gen2 存储帐户的访问权限:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.chinacloudapi.cn/path/to/data` LIMIT 10;

    如果查询成功,则 NSP 配置正常工作。

监视 NSP 活动

若要监视 NSP 规则允许或拒绝哪些访问尝试:

  1. 在 Azure 门户中访问您的 Azure 资源页面。
  2. 转到 “监视>诊断”设置
  3. 单击“+ 添加诊断设置”。
  4. 选择要监视的日志类别。 对于Azure Storage帐户,请选择:
    • StorageRead
    • StorageWrite
  5. 选择目标:
    • Log Analytics 工作区 (建议用于查询和分析)
    • 存储账户(用于长期存档)
    • 事件中心 (用于流式传输到外部系统)
  6. 单击“ 保存”。

小窍门

诊断日志显示哪些访问尝试被 NSP 规则与资源防火墙规则匹配。 这有助于在迁移到强制模式之前验证配置。 在过渡模式下,日志记录指示每个请求是被 NSP 规则允许,还是回退到资源防火墙。

了解 NSP 访问模式

NSP 支持两种访问模式:转换模式强制模式。 Azure Databricks 建议在大多数用例中无限期地保持过渡模式。

转换模式(建议)

  • 首先评估 NSP 规则,如果没有 NSP 规则匹配,则回退到资源防火墙规则
  • 允许将 NSP 与现有网络配置一起使用
  • 与服务终结点、经典计算配置和公共访问模式兼容

强制模式(不建议大多数客户使用)

  • 忽视资源防火墙规则,阻止与 NSP 规则不匹配的所有访问。 这不仅影响 Azure Databricks,还会影响通过您的资源防火墙允许的任何其他服务,这些服务必须已接入 NSP 才能继续工作。
  • 如果使用服务终结点从任何 Azure Databricks 工作区访问存储,请保持处于过渡模式。

警告

保持过渡模式,以保持与现有网络设置的兼容性,同时受益于简化的规则管理。 请参阅 网络安全边界限制

后续步骤

  • Last updated on