通过

为Azure资源配置Azure网络安全外围

本页介绍如何使用 Azure 门户配置Azure网络安全外围(NSP),以控制从无服务器计算到Azure资源的访问。

Azure资源的网络安全外围概述

Azure网络安全外围(NSP)是一项Azure本机功能,可为 PaaS 资源创建逻辑隔离边界。 通过将存储帐户或数据库等资源与 NSP 相关联,可以使用简化的规则集集中管理网络访问。 这取代了手动管理单个 IP 地址或子网 ID 的复杂列表的需求。

NSP 支持从无服务器 SQL 仓库、作业、笔记本、Lakeflow Spark 声明性管道和模型服务终结点进行访问。

主要优势

使用 NSP 处理 Azure Databricks 的无服务器出站流量,可以提高安全态势,同时显著减少运营开销:

益处 Description
成本节约 通过服务终结点发送的流量保留在Azure主干上,不会产生数据处理费用。
简化管理 AzureDatabricksServerless 服务标记是全局的,涵盖所有Azure Databricks区域。 它包括表示服务终结点的特殊 IP 和Azure Databricks NAT IP。 Azure Databricks与Azure资源之间的所有通信都通过Azure主干路由。 若要限制对特定区域中 IP 的访问,请将区域名称追加到服务标记,例如 AzureDatabricksServerless.ChinaEast2。 有关受支持的Azure区域的完整列表,请参阅 Azure Databricks 区域
集中式访问控制 在单个 NSP 配置文件中管理多个资源类型(包括storage、密钥保管库和数据库)的安全策略。

扩展的服务支持

将无服务器计算安全地连接到各种Azure服务:

  • Data &Analytics:Azure 存储(包括 ADLS Gen2)、Azure SQL 数据库、Synapse Analytics、Cosmos DB 和 MariaDB
  • Security & 应用:密钥保管库、应用程序服务和认知服务
  • 消息和 DevOps:事件中心、服务总线和容器注册表

要求

  • 必须是Azure Databricks帐户管理员。
  • 必须对要配置的Azure资源具有“参与者”或“所有者”权限。
  • 必须有权在Azure订阅中创建网络安全外围资源。
  • Azure Databricks工作区和Azure资源应位于同一Azure区域中,以实现最佳性能,并避免跨区域数据传输费用。

步骤 1:创建网络安全边界并记下配置 ID

  1. 登录到 Azure 门户

  2. 在顶部的搜索框中,键入 网络安全外围 并从结果中选择它。

  3. 单击 + 创建

  4. “基本信息 ”选项卡上,输入以下信息:

    • Subscription:选择Azure订阅。
    • 资源组:选择现有资源组或创建新资源组。
    • 名称:输入 NSP 的名称(例如 databricks-nsp)。
    • 区域:选择 NSP 的区域。 这应与您的 Azure Databricks 工作区区域和您的 Azure 资源的区域匹配。
    • 配置文件名称:输入配置文件名称(例如 databricks-profile)。

  5. 单击“查看 + 创建”,然后单击“创建”

  6. 创建 NSP 后,在 Azure 门户中找到该 NSP 并导航到它。

  7. 在左侧边栏中,转到 “设置>配置文件”。

  8. 创建或选择个人资料(例如 databricks-profile)。

  9. 复制资源 ID以获取配置文件。 如果计划以编程方式关联资源,则需要此 ID。

    小窍门

    将配置文件 ID 保存在安全位置。 如果想要使用 Azure CLI 或 API(而不是Azure 门户)关联资源,则稍后需要用到它。

步骤 2:在转换模式下将资源与 NSP 相关联

要将您希望从 Azure Databricks 无服务器计算访问的每个 Azure 资源与 NSP 配置文件相关联。 此示例演示如何关联Azure 存储帐户,但相同的步骤也适用于其他Azure资源。

  1. 在 Azure 门户中导航至网络安全边界。
  2. 在左侧边栏中,转到“设置”下的“资源”。
  3. 单击“ + 添加>将资源与现有配置文件关联”。
  4. 选择您在步骤 1 创建的配置文件(例如databricks-profile)。
  5. 单击关联
  6. 在资源选择窗格中,按资源类型进行筛选。 例如,若要关联Azure Data Lake Storage Gen2帐户,请按 Microsoft.Storage/storageAccounts 进行筛选。
  7. 从列表中选择你的资源。
  8. 单击窗格底部的 “关联 ”。

验证转换模式:

  1. 在 NSP 中,转到“设置>”(或“关联资源”)。
  2. 在列表中找到存储帐户。
  3. 验证 Access Mode 列是否显示 Transition。 这是默认模式。

注释

转换模式首先评估 NSP 规则。 如果没有 NSP 规则与传入请求匹配,系统会回退到资源的现有防火墙规则。 这样就可以测试 NSP 配置,而不会中断现有的访问模式。

步骤 3:为Azure Databricks无服务器计算添加入站访问规则

必须在您的 NSP 配置文件中创建一个入站访问规则,以允许 Azure Databricks 无服务器计算访问您的 Azure 资源。

  1. 在 Azure 门户中导航到网络安全边界。
  2. 在左侧边栏中,转到 “设置>配置文件”。
  3. 选择配置文件(例如 databricks-profile, )。
  4. 设置 中单击 入站访问规则
  5. 单击“ + 添加”。
  6. 配置规则:
    • 规则名称:输入描述性名称(例如 allow-databricks-serverless, )。
    • 源类型:选择 服务标记
    • 允许的源:选择 AzureDatabricksServerless
  7. 单击 添加

小窍门

AzureDatabricksServerless服务标记涵盖所有Azure Databricks出站 IP,包括服务终结点 IP 和 NAT IP,所有通信都通过Azure主干路由。 由于标记自动更新,因此在Azure Databricks添加新 IP 范围时,无需手动管理 IP 地址或更新规则。

步骤 4:验证配置

配置 NSP 后,验证Azure Databricks无服务器计算是否可以访问Azure资源并监视 NSP 活动。

从无服务器计算测试访问

  1. 在 Azure 门户中访问你的 Azure 资源。

  2. 转到 “安全性 + 网络>网络”。

  3. 验证资源是否显示与网络安全边界的关联。

  4. 验证状态是否显示 转换模式

  5. 查看与配置文件关联的入站规则,以确认 AzureDatabricksServerless 该规则已列出。

  6. 在Azure Databricks工作区中,运行测试查询以确认无服务器计算可以访问资源。 例如,若要测试对 ADLS Gen2 存储帐户的访问权限:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.chinacloudapi.cn/path/to/data` LIMIT 10;

    如果查询成功,则 NSP 配置正常工作。

监视 NSP 活动

若要监视 NSP 规则允许或拒绝哪些访问尝试:

  1. 在 Azure 门户中进入 Azure 资源。
  2. 转到 “监视>诊断”设置
  3. 单击“+ 添加诊断设置”。
  4. 选择要监视的日志类别。 对于Azure 存储帐户,请选择:
    • StorageRead
    • StorageWrite
  5. 选择目标:
    • Log Analytics 工作区(建议用于查询和分析)
    • 存储账户(用于长期存档)
    • 事件中心 (用于流式传输到外部系统)
  6. 单击“ 保存”。

小窍门

诊断日志显示哪些访问尝试被 NSP 规则与资源防火墙规则匹配。 这有助于在迁移到强制模式之前验证配置。 在过渡模式下,日志记录指示每个请求是被 NSP 规则允许,还是回退到资源防火墙。

了解 NSP 访问模式

NSP 支持两种访问模式:转换模式强制模式。 对于大多数用例,Azure Databricks建议无限期地保持过渡模式。

转换模式(建议)

  • 首先评估 NSP 规则,如果没有 NSP 规则匹配,则回退到资源防火墙规则
  • 允许将 NSP 与现有网络配置一起使用
  • 与服务终结点、经典计算配置和公共访问模式兼容

强制模式(不建议大多数客户使用)

  • 忽视资源防火墙规则,阻止与 NSP 规则不匹配的所有访问。 这不仅影响Azure Databricks,还会影响通过资源防火墙允许的任何其他服务 ,这些服务必须已载入 NSP 才能继续工作。
  • 如果使用服务终结点从任何Azure Databricks工作区访问存储,请保持过渡模式。

警告

保持过渡模式,以保持与现有网络设置的兼容性,同时受益于简化的规则管理。 请参阅 网络安全边界限制

后续步骤

  • Last updated on