Configurar a rede para os aplicativos Databricks

Databricks O Apps oferece suporte ao controle de rede refinado para ajudá-lo a proteger e gerenciar a forma como seu aplicativo se comunica com a Internet e com o recurso interno. Você pode configurar as regras de tráfego de entrada (entrada) e saída (saída) usando uma combinação de controles de acesso IP, conectividade privada de front-end e políticas de rede.

Controles de entrada

Use o recurso a seguir para limitar o acesso ao seu Databricks workspace e aos aplicativos da Internet pública.

• Listas de acesso IP - Restrinja o acesso do workspace e do aplicativo a intervalos de IP conhecidos e confiáveis ativando as listas de acesso IP no nível workspace. Somente o tráfego dos intervalos de IP configurados é permitido. Para obter detalhes, consulte Configurar listas de acesso IP para o espaço de trabalho.

• Conectividade privada de front-end - roteie o tráfego de entrada por meio de seu próprio endpoint de interface VPC em vez da Internet pública. Essa configuração fornece conectividade privada para aplicativos em execução no site workspace. Para obter detalhes, consulte Configurar conectividade privada para Databricks.

Controles de saída

Para controlar o tráfego de saída do seu aplicativo, crie uma configuração de conectividade de rede (NCC) e aplique políticas de rede ao site workspace que hospeda o aplicativo.

Configurações de conectividade de rede

Use uma configuração de conectividade de rede para atribuir IPs de saída estáveis e controlar como seu aplicativo se conecta ao serviço externo. Os NCCs fornecem endereços IP públicos fixos que o senhor pode adicionar às listas de permissões de sistemas externos para permitir com segurança o tráfego do Databricks.

Para restringir a saída para destinos privados, como um bucket S3 ou um balanceador de carga de rede (NLB), configure as conexões PrivateLink como parte da configuração do NCC.

Políticas de rede

Use políticas de rede para impor restrições de saída em aplicativos Databricks e outras cargas de trabalho serverless. Isso é útil quando o senhor precisa atender aos requisitos organizacionais ou compliance para controlar a conectividade de saída.

nota

As políticas de rede estão disponíveis somente no nível Enterprise.

Aplique uma política de rede se seu aplicativo:

• Deve limitar o acesso a um conjunto específico de domínios externos aprovados
• Precisa evitar a exfiltração acidental de dados
• Deve estar em conformidade com os padrões de segurança ou compliance que restringem o tráfego de saída da Internet

Práticas recomendadas para configurar políticas de rede

Siga estas diretrizes para evitar interrupções não intencionais e garantir que seus aplicativos possam acessar os recursos necessários:

• Permita somente os destinos necessários. Adicione nomes de domínio totalmente qualificados (FQDNs) para recursos públicos ou privados de que seu aplicativo precisa.

• Inclua os repositórios pacote conforme necessário. Se o seu aplicativo instalar o pacote público Python ou Node.js, talvez seja necessário permitir domínios como pypi.org para Python ou registry.npmjs.org para Node. Seu aplicativo pode exigir domínios adicionais ou diferentes, dependendo de suas dependências específicas. Sem esses repositórios, as compilações de aplicativos que dependem de requirements.txt ou package.json podem falhar.

• Use o modo de execução seca para validar sua política de rede. Esse modo simula a aplicação de políticas sem bloquear o tráfego.

• Analise as tentativas de conexão negadas usando a tabela system.access.outbound_network. Isso ajuda a identificar domínios que talvez você precise permitir. Consulte Recusa de cheque logs.

• Adicione todos os domínios externos necessários, como APIs ou AWS serviço de endpoint confiável, como S3 ou STS.