Configurar a rede para os aplicativos Databricks
Databricks O Apps oferece suporte ao controle de rede refinado para ajudá-lo a proteger e gerenciar a forma como seu aplicativo se comunica com a Internet e com o recurso interno. Você pode configurar as regras de tráfego de entrada (entrada) e saída (saída) usando uma combinação de controles de acesso IP, conectividade privada de front-end e políticas de rede.
Controles de entrada
Use o recurso a seguir para limitar o acesso ao seu Databricks workspace e aos aplicativos da Internet pública.
-
Listas de acesso IP - Restrinja o acesso do workspace e do aplicativo a intervalos de IP conhecidos e confiáveis ativando as listas de acesso IP no nível workspace. Somente o tráfego dos intervalos de IP configurados é permitido. Para obter detalhes, consulte Configurar listas de acesso IP para o espaço de trabalho.
-
Conectividade privada de front-end - roteie o tráfego de entrada por meio de seu próprio endpoint de interface VPC em vez da Internet pública. Essa configuração fornece conectividade privada para aplicativos em execução no site workspace. Para obter detalhes, consulte Configurar conectividade privada para Databricks.
Controles de saída
Para controlar o tráfego de saída do seu aplicativo, crie uma configuração de conectividade de rede (NCC) e aplique políticas de rede ao site workspace que hospeda o aplicativo.
Configurações de conectividade de rede
Use uma configuração de conectividade de rede para atribuir IPs de saída estáveis e controlar como seu aplicativo se conecta ao serviço externo. Os NCCs fornecem endereços IP públicos fixos que o senhor pode usar para listar o tráfego do Databricks em sistemas externos.
Para restringir a saída para destinos privados, como um bucket S3 ou um balanceador de carga de rede (NLB), o senhor pode configurar conexões PrivateLink como parte da configuração do NCC.
Políticas de rede
Use políticas de rede para impor restrições de saída em aplicativos Databricks e outras cargas de trabalho serverless. Isso é útil quando o senhor precisa atender aos requisitos organizacionais ou compliance para controlar a conectividade de saída.
As políticas de rede estão disponíveis somente no nível Enterprise.
Aplique uma política de rede se seu aplicativo:
- Deve limitar o acesso a um conjunto específico de domínios externos aprovados
- Precisa evitar a exfiltração acidental de dados
- Deve estar em conformidade com os padrões de segurança ou compliance que restringem o tráfego de saída da Internet
Práticas recomendadas para configurar políticas de rede
Siga estas diretrizes para evitar interrupções não intencionais e garantir que seus aplicativos possam acessar os recursos necessários:
-
Permita somente os destinos necessários. Adicione nomes de domínio totalmente qualificados (FQDNs) para recursos públicos ou privados de que seu aplicativo precisa.
-
Inclua os repositórios pacote conforme necessário. Se o seu aplicativo instalar o pacote público Python ou Node.js, talvez seja necessário permitir domínios como
pypi.org
para Python ouregistry.npmjs.org
para Node. Seu aplicativo pode exigir domínios adicionais ou diferentes, dependendo de suas dependências específicas. Sem esses repositórios, as compilações de aplicativos que dependem derequirements.txt
oupackage.json
podem falhar. -
Use o modo de execução seca para validar sua política de rede. Esse modo simula a aplicação de políticas sem bloquear o tráfego.
-
Analise as tentativas de conexão negadas usando a tabela
system.access.outbound_network
. Isso ajuda a identificar domínios que talvez você precise permitir. Consulte Recusa de cheque logs. -
Adicione todos os domínios externos necessários, como APIs ou AWS serviço de endpoint confiável, como S3 ou STS.