Pular para o conteúdo principal

Configure o DNS para o link privado de entrada da AWS.

info

Visualização

O acesso privado aos recursos no nível da account está em Beta.

O acesso privado a workspaces usando entrada baseada em contexto está em Beta.

Configure o DNS para rotear as solicitações dos usuários pela sua rede privada ao usar o Private Link de entrada para workspaces Databricks e recursos no nível da conta. Esta página aborda padrões de configuração de DNS e instruções de configuração passo a passo. Embora você possa configurar o DNS para o AWS Private Link de várias maneiras, esta página usa como padrão uma abordagem recomendada que funciona para a maioria das implantações.

nota

O endpoint do Back-end Private Link usa automaticamente a resolução de DNS AWS quando você habilita a opção "Habilitar nome DNS" no endpoint VPC . Esta página aborda a configuração de DNS de link privado de entrada.

Visão geral da arquitetura

Os diagramas a seguir ilustram os dois padrões de resolução de DNS para o AWS Private Link. O padrão que você escolher dependerá dos requisitos da sua organização para gerenciamento e isolamento endpoint .

Arquitetura de resolução DNS endpoint único

A abordagem de endpoint único roteia todos os workspaces em qualquer região e recursos no nível da account por meio de um endpoint de VPC compartilhado, o que simplifica a configuração e o gerenciamento de DNS. Esta página usa como default esta abordagem recomendada para todas as instruções de configuração.

Arquitetura de resolução de DNS com múltiplos endpoint

A abordagem de vários endpoints permite rotear as solicitações para cada workspace e recurso no nível da conta para endpoints de VPC dedicados para isolamento de rede, mas aumenta a complexidade de gerenciamento.

Sem o Private Link, URLs específicas do workspace (por exemplo, dbc-<workspace-deployment-id>.cloud.databricks.com) resolvem para endereços IP públicos por meio de um hostname regional como sydney.cloud.databricks.com, que aponta para um AWS Elastic Load Balancer público. Por exemplo:

Bash
$ nslookup myworkspace.cloud.databricks.com

myworkspace.cloud.databricks.com canonical name = sydney.cloud.databricks.com
sydney.cloud.databricks.com canonical name = public-ingress-xxxxx.elb.ap-southeast-2.amazonaws.com
Name: public-ingress-xxxxx.elb.ap-southeast-2.amazonaws.com
Address: 3.26.4.13

Depois de associar um objeto de configurações de acesso privado a um workspace, Databricks atualiza a cadeia de resolução de DNS para incluir o subdomínio privatelink :

Bash
$ nslookup myworkspace.cloud.databricks.com

myworkspace.cloud.databricks.com canonical name = sydney.privatelink.cloud.databricks.com
Name: sydney.privatelink.cloud.databricks.com
Address: 10.176.10.182

A URL específica do workspace agora resolve para sydney.privatelink.cloud.databricks.com, que se configura para apontar para o endereço IP privado do VPC endpoint. Isso permite substituir apenas o domínio privatelink.cloud.databricks.com sem afetar outros serviços Databricks.

URLs personalizadas (<my-custom-account-name>.databricks.com) e accounts.cloud.databricks.com não incluem o subdomínio privatelink na cadeia de resolução de DNS e devem ser encaminhadas separadamente.

Bash
$ nslookup <my-custom-account-name>.databricks.com
Name: my-custom-account-name.databricks.com
Address: 3.26.4.13

$ nslookup accounts.cloud.databricks.com
Name: accounts.cloud.databricks.com
Address: 3.26.4.13
importante

Depois de associar um objeto de configurações de acesso privado a um workspace, você não poderá removê-lo. Você só pode substituí-lo por um objeto de configurações de acesso privado diferente. Essa configuração é permanente.

Resolução de DNS

Os registros DNS específicos necessários dependem de sua abordagem de configuração, mas todas as configurações devem resolver as URLs da Databricks (URLs personalizadas e não personalizadas) para o endereço IP privado do seu endpoint VPC de entrada. Para simplificar, a Databricks recomenda rotear todas as URLs para um único endpoint VPC para acessar todo o Databricks. Se você tiver requisitos de isolamento de rede, também poderá rotear diferentes URLs para diferentes endpoints VPC, onde cada endpoint recebe acesso diferente em suas políticas de entrada baseadas em contexto (consulte Configurar o PrivateLink de entrada para workspaces).

Para a maioria das implantações, configure o DNS para resolver todos os URLs para o IP privado de um único endpoint da VPC. Todos os workspaces em qualquer região e seus recursos de nível de account podem compartilhar o mesmo endpoint da VPC. Este endpoint unificado pode servir recursos usando URLs personalizados e não personalizados. Esta é a abordagem recomendada para gerenciamento simplificado.

Configuração de DNS local

Configure o encaminhamento condicional no DNS da sua empresa para encaminhar as consultas de domínio do Databricks para a AWS:

Domínio

Alvo de encaminhamento

Propósito

*.privatelink.cloud.databricks.com

OU dbc-<workspace-deployment-id>.cloud.databricks.com (uma substituição por workspace)

ou *.cloud.databricks.com

endpoint DNS AWS (resolvedor de entrada do Route 53)

Sempre necessário. Encaminha URLs específicas do workspace para workspaces com uma configuração de acesso privado anexada.

Isso é sempre necessário, já que certos serviços de workspace, como Databricks Apps e Model Serving, ainda dependem da URL específica do workspace, e não da URL personalizada <my-custom-account-name>.databricks.com.

Em vez de encaminhar *.privatelink.cloud.databricks.com, você pode, alternativamente, encaminhar cada URL específico do workspace individualmente ou *.cloud.databricks.com. Isso é necessário se seus usuários não puderem acessar a internet pública para resolução de DNS, ou se você exigir endpoints da VPC diferentes para workspaces diferentes.

<my-custom-account-name>.databricks.com

endpoint DNS AWS (resolvedor de entrada do Route 53)

Obrigatório (se usar URLs personalizados). Encaminha seu URL personalizado, que pode incluir tráfego em nível de workspace e de account.

accounts.cloud.databricks.com

endpoint DNS AWS (resolvedor de entrada do Route 53)

Opcional. Encaminha a URL de recurso no nível da account não personalizada (também usada para login unificado). Necessário apenas se os usuários não conseguirem acessar a internet pública para resolução de DNS ou requisições (consulte Configurar o Private Link de entrada com login unificado). Isso também pode ser útil se não quiser usar sua URL personalizada, mas ainda quiser o Private Link de entrada para recursos no nível da account.

*.aws.databricksapps.com

endpoint DNS AWS (resolvedor de entrada do Route 53)

Opcional. Encaminha solicitações do Databricks Apps. Necessário somente se seus usuários não puderem acessar a internet pública para resolução de DNS (ou seja, se for utilizada a configuração manual de DNS). Caso contrário, o encaminhamento de URL específico do workspace é suficiente.

Domínio

Alvo de encaminhamento

Propósito

*.privatelink.cloud.databricks.com

OU dbc-<workspace-deployment-id>.cloud.databricks.com (uma substituição por workspace)

ou *.cloud.databricks.com

endpoint DNS AWS (resolvedor de entrada do Route 53)

Sempre necessário. Encaminha URLs específicas do workspace para workspaces com uma configuração de acesso privado anexada.

Isso é sempre necessário, já que certos serviços de workspace, como Databricks Apps e Model Serving, ainda dependem da URL específica do workspace, e não da URL personalizada <my-custom-account-name>.databricks.com.

Em vez de encaminhar *.privatelink.cloud.databricks.com, você pode, alternativamente, encaminhar cada URL específico do workspace individualmente ou *.cloud.databricks.com. Isso é necessário se seus usuários não puderem acessar a internet pública para resolução de DNS, ou se você exigir endpoints da VPC diferentes para workspaces diferentes.

<my-custom-account-name>.databricks.com

endpoint DNS AWS (resolvedor de entrada do Route 53)

Obrigatório (se usar URLs personalizados). Encaminha seu URL personalizado, que pode incluir tráfego em nível de workspace e de account.

accounts.cloud.databricks.com

endpoint DNS AWS (resolvedor de entrada do Route 53)

Opcional. Encaminha a URL de recurso no nível da account não personalizada (também usada para login unificado). Necessário apenas se os usuários não conseguirem acessar a internet pública para resolução de DNS ou requisições (consulte Configurar o Private Link de entrada com login unificado). Isso também pode ser útil se não quiser usar sua URL personalizada, mas ainda quiser o Private Link de entrada para recursos no nível da account.

*.aws.databricksapps.com

endpoint DNS AWS (resolvedor de entrada do Route 53)

Opcional. Encaminha solicitações do Databricks Apps. Necessário somente se seus usuários não puderem acessar a internet pública para resolução de DNS (ou seja, se for utilizada a configuração manual de DNS). Caso contrário, o encaminhamento de URL específico do workspace é suficiente.

nota

Para Databricks on AWS GovCloud, encaminhe *.cloud.databricks.us e *.aws-gov.databricksapps.us em vez disso. Para AWS GovCloud DoD, encaminhe *.cloud.databricks.mil e *.aws-dod.databricksapps.mil. Veja Databricks on AWS GovCloud.

Configuração de Zona Hospedada Privada

É necessário criar Zonas Hospedadas Privadas para rotear as seguintes URLs para endpoints de VPC:

  • Obrigatório se usar URLs personalizados: seu URL personalizado.
  • Sempre obrigatório: URLs específicos do workspace, como dbc-<workspace-deployment-id>.cloud.databricks.com ou <region>.privatelink.cloud.databricks.com.
  • Opcional: accounts.cloud.databricks.com. Necessário apenas se seus usuários não puderem acessar a internet pública para resolução de DNS ou requisições. Se for o caso, você precisa rotear accounts.cloud.databricks.com para habilitar o login unificado privado (consulte Configurar Private Link de entrada com login unificado). Isso também pode ser útil se você não quiser usar seu URL personalizado, mas ainda quiser Private Link de entrada para recursos no nível da account.

Na abordagem de endpoint único, você pode rotear todos esses URLs para um único endpoint de VPC de Acesso Geral compartilhado.

Primeiro, crie uma Zona Hospedada Privada para seu URL personalizado. Seu URL personalizado pode servir a interface do usuário e a API de todos os seus workspaces em qualquer região e recursos em nível de account.

Configuração

Valor

Zona Privada Hospedada

<my-custom-url>.databricks.com

Nome do registro

Deixe em branco

Tipo de registro

Um (Alias)

Valor de registro

ID endpoint VPC

Configuração

Valor

Zona Privada Hospedada

<my-custom-url>.databricks.com

Nome do registro

Deixe em branco

Tipo de registro

Um (Alias)

Valor de registro

ID endpoint VPC

Em segundo lugar, crie uma Zona Hospedada Privada para o domínio privatelink.cloud.databricks.com, para rotear suas URLs específicas do workspace (por exemplo, dbc-<workspace-deployment-id>.cloud.databricks.com). Isso é sempre necessário, já que certos serviços de workspace, como Databricks Apps e Model Serving, ainda dependem da URL específica do workspace, não da URL personalizada.

Configuração

Valor

Zona Privada Hospedada

privatelink.cloud.databricks.com

Nome do registro

deixe em branco ou <region>

Tipo de registro

Um (Alias)

Valor de registro

ID endpoint VPC

Configuração

Valor

Zona Privada Hospedada

privatelink.cloud.databricks.com

Nome do registro

deixe em branco ou <region>

Tipo de registro

Um (Alias)

Valor de registro

ID endpoint VPC

Para simplificar, a Databricks recomenda rotear todas as URLs para um único endpoint. No entanto, você pode usar o valor <region> se precisar de roteamento diferente para workspaces em diferentes regiões. O valor da região é o nome da região do Databricks, por exemplo, sydney, virginia, oregon, não o nome da região da AWS. Para encontrar o nome da região correto para o seu workspace, consulte a linha **Serviços do plano de controle, incluindo webapp** em IPs de entrada.

Se sua configuração da AWS não puder acessar a internet pública para resolução de DNS, ou se você precisar de endpoints de VPC diferentes para workspaces diferentes, crie uma Zona Hospedada Privada para cada URL de workspace em vez de privatelink.cloud.databricks.com.

Configuração

Valor

Zona Privada Hospedada

dbc-<workspace-deployment-id>.cloud.databricks.com (o URL específico do seu workspace)

Nome do registro

Deixe em branco

Tipo de registro

Um (Alias)

Valor de registro

ID endpoint VPC

Configuração

Valor

Zona Privada Hospedada

dbc-<workspace-deployment-id>.cloud.databricks.com (o URL específico do seu workspace)

Nome do registro

Deixe em branco

Tipo de registro

Um (Alias)

Valor de registro

ID endpoint VPC

Opcionalmente, crie uma Zona Hospedada Privada para accounts.cloud.databricks.com. Necessário apenas se os usuários não puderem acessar a internet pública. Se for o caso, você precisa rotear accounts.cloud.databricks.com para habilitar o login unificado privado (consulte Configurar Private Link de entrada com login unificado). Isso também pode ser útil se você não quiser usar seu URL personalizado, mas ainda quiser Private Link de entrada para recursos no nível da account.

Configuração

Valor

Zona Privada Hospedada

accounts.cloud.databricks.com

Nome do registro

Deixe em branco

Tipo de registro

Um (Alias)

Valor de registro

ID endpoint VPC

Configuração

Valor

Zona Privada Hospedada

accounts.cloud.databricks.com

Nome do registro

Deixe em branco

Tipo de registro

Um (Alias)

Valor de registro

ID endpoint VPC

Configurações de exemplo

Os exemplos a seguir ilustram padrões comuns de roteamento. É possível escolher qualquer modelo de roteamento que se ajuste aos seus requisitos de segurança, compliance ou rede.

Exemplo 1: endpoint unificado para recursos de produção, não produção e de nível de account (abordagem de endpoint único)

Neste exemplo, todos os workspaces e recursos no nível da account são acessados por meio de um único VPC endpoint.

Configure as seguintes políticas de roteamento e ingresso baseadas em contexto:

Encaminhamento

Registro de Zona Hospedada Privada

Encaminhado para o VPC endpoint

Configuração de entrada baseada em contexto

URL personalizado

URL personalizado

endpoint registrado 1

No account-policy, adicione uma regra de permissão para o endpoint 1 acessar recursos no nível da conta.

*.privatelink.cloud.databricks.com

*.privatelink.cloud.databricks.com

endpoint registrado 1

Crie uma política de workspace que permite entrada do endpoint 1 e anexe-a a todos os workspaces.

Encaminhamento

Registro de Zona Hospedada Privada

Encaminhado para o VPC endpoint

Configuração de entrada baseada em contexto

URL personalizado

URL personalizado

endpoint registrado 1

No account-policy, adicione uma regra de permissão para o endpoint 1 acessar recursos no nível da conta.

*.privatelink.cloud.databricks.com

*.privatelink.cloud.databricks.com

endpoint registrado 1

Crie uma política de workspace que permite entrada do endpoint 1 e anexe-a a todos os workspaces.

Com esta configuração, os usuários podem acessar por meio de Private Link de entrada:

  • Recursos no nível da account, como o account console e o Genie no nível da account, usando sua URL personalizada.
  • Todos os workspaces usando sua URL personalizada.
  • Todos os workspaces que usam URLs específicas do workspace.

Exemplo 2: endpoints Separados para recursos de Produção, Não Produção e Nível de account (Abordagem Multi-endpoint)

Neste exemplo, workspaces de produção, workspaces de não produção e recursos no nível da account são acessados por meio de endpoints de VPC isolados separados.

Configure as seguintes políticas de roteamento e ingresso baseadas em contexto:

Encaminhamento

Registro de Zona Hospedada Privada

Encaminhado para o VPC endpoint

Configuração de entrada baseada em contexto

URL personalizado

URL personalizado

endpoint registrado 1

No account-policy, adicione uma regra de permissão para o endpoint 1 acessar recursos no nível da conta.

URLs individuais ou específicas do workspace de produção *.cloud.databricks.com

URLs individuais específicas do workspace de produção

Endpoint 2 registrado

Crie uma política de workspace que permite a entrada do endpoint 2, e anexe-a aos workspaces de produção.

URLs individuais específicas de workspaces de não produção ou *.cloud.databricks.com

URLs individuais específicas de workspace de não produção

endpoint registrado 3

Crie uma política de workspace que permita a entrada do endpoint 3 e anexe-a aos seus workspaces que não são de produção.

Encaminhamento

Registro de Zona Hospedada Privada

Encaminhado para o VPC endpoint

Configuração de entrada baseada em contexto

URL personalizado

URL personalizado

endpoint registrado 1

No account-policy, adicione uma regra de permissão para o endpoint 1 acessar recursos no nível da conta.

URLs individuais ou específicas do workspace de produção *.cloud.databricks.com

URLs individuais específicas do workspace de produção

Endpoint 2 registrado

Crie uma política de workspace que permite a entrada do endpoint 2, e anexe-a aos workspaces de produção.

URLs individuais específicas de workspaces de não produção ou *.cloud.databricks.com

URLs individuais específicas de workspace de não produção

endpoint registrado 3

Crie uma política de workspace que permita a entrada do endpoint 3 e anexe-a aos seus workspaces que não são de produção.

Com esta configuração, os usuários podem acessar por meio de Private Link de entrada:

  • Recursos no nível da account, como o account console e o Genie no nível da account, usando sua URL personalizada.
  • Workspaces de produção usando URLs específicos de workspace de produção.
  • Workspaces de não produção usando URLs específicos de workspaces de não produção.

Exemplo 3: Endpoints separados para workspaces em diferentes regiões e recursos no nível da account (abordagem multi-endpoint)

Neste exemplo, workspaces na região A, workspaces na região B e recursos no nível da account são acessados por meio de VPC endpoints isolados separados.

Configure as seguintes políticas de roteamento e ingresso baseadas em contexto:

Encaminhamento

Registro de Zona Hospedada Privada

Encaminhado para o VPC endpoint

Configuração de entrada baseada em contexto

URL personalizado

URL personalizado

endpoint registrado 1

No account-policy, adicione uma regra de permissão para o endpoint 1 acessar recursos no nível da conta.

*.privatelink.cloud.databricks.com

<region A>.privatelink.cloud.databricks.com

Endpoint 2 registrado

Crie uma política de workspace que permita a entrada do endpoint 2, e anexe-a aos seus workspaces na região A.

*.privatelink.cloud.databricks.com

<region B>.privatelink.cloud.databricks.com

endpoint registrado 3

Crie uma política de workspace que permita a entrada do endpoint 3, e anexe-a aos seus workspaces na região B.

Encaminhamento

Registro de Zona Hospedada Privada

Encaminhado para o VPC endpoint

Configuração de entrada baseada em contexto

URL personalizado

URL personalizado

endpoint registrado 1

No account-policy, adicione uma regra de permissão para o endpoint 1 acessar recursos no nível da conta.

*.privatelink.cloud.databricks.com

<region A>.privatelink.cloud.databricks.com

Endpoint 2 registrado

Crie uma política de workspace que permita a entrada do endpoint 2, e anexe-a aos seus workspaces na região A.

*.privatelink.cloud.databricks.com

<region B>.privatelink.cloud.databricks.com

endpoint registrado 3

Crie uma política de workspace que permita a entrada do endpoint 3, e anexe-a aos seus workspaces na região B.

Com esta configuração, os usuários podem acessar por meio de Private Link de entrada:

  • Recursos no nível da account, como o account console e o Genie no nível da account, usando sua URL personalizada.
  • Workspaces na região A usando URLs específicas do workspace.
  • Workspaces na região B usando URLs específicos do workspace.

Exemplo 4: endpoint compartilhado para produção e recurso no nível da account, endpoint separado para não produção (abordagem de múltiplos endpoint)

Neste exemplo, workspaces de produção e recursos de nível de account compartilham um VPC endpoint isolado, enquanto workspaces de não produção usam um VPC endpoint separado.

Configure as seguintes políticas de roteamento e ingresso baseadas em contexto:

Encaminhamento

Registro de Zona Hospedada Privada

Encaminhado para o VPC endpoint

Configuração de entrada baseada em contexto

URL personalizado

URL personalizado

endpoint registrado 1

No account-policy, adicione uma regra de permissão para o endpoint 1 acessar recursos no nível da conta.

URLs individuais ou específicas do workspace de produção *.cloud.databricks.com

URLs individuais específicas do workspace de produção

endpoint registrado 1

Crie também uma política de workspace que permita a entrada do endpoint 1 e anexe-a aos seus workspaces de produção.

URLs individuais específicas de workspaces de não produção ou *.cloud.databricks.com

URLs individuais específicas de workspace de não produção

Endpoint 2 registrado

Crie uma política de workspace que permite o ingresso do endpoint 2 e anexe-a aos seus workspaces de não produção.

Encaminhamento

Registro de Zona Hospedada Privada

Encaminhado para o VPC endpoint

Configuração de entrada baseada em contexto

URL personalizado

URL personalizado

endpoint registrado 1

No account-policy, adicione uma regra de permissão para o endpoint 1 acessar recursos no nível da conta.

URLs individuais ou específicas do workspace de produção *.cloud.databricks.com

URLs individuais específicas do workspace de produção

endpoint registrado 1

Crie também uma política de workspace que permita a entrada do endpoint 1 e anexe-a aos seus workspaces de produção.

URLs individuais específicas de workspaces de não produção ou *.cloud.databricks.com

URLs individuais específicas de workspace de não produção

Endpoint 2 registrado

Crie uma política de workspace que permite o ingresso do endpoint 2 e anexe-a aos seus workspaces de não produção.

Com esta configuração, os usuários podem acessar por meio de Private Link de entrada:

  • Recursos no nível da account, como o account console e o Genie no nível da account, usando sua URL personalizada.
  • Workspaces de produção usando sua URL personalizada.
  • Workspaces de produção usando URLs específicos de workspace de produção.
  • Workspaces de não produção usando URLs específicos de workspaces de não produção.

O tráfego de produção e em nível de conta permanece isolado do tráfego de workspace de não produção usando endpoints de VPC separados.

Em todas as configurações acima, não foi necessário encaminhar accounts.cloud.databricks.com, já que é opcional (consulte Configurar o Private Link de entrada com login unificado). Se você decidir encaminhar esta URL para login unificado, você pode resolvê-la para qualquer endpoint VPC registrado. Se você decidir encaminhar esta URL para acessar recursos no nível da account de forma privada sem usar sua URL personalizada, configure a seguinte política de roteamento e entrada baseada em contexto:

Encaminhamento

Registro de Zona Hospedada Privada

Encaminhado para o VPC endpoint

Configuração de entrada baseada em contexto

accounts.cloud.databricks.com

accounts.cloud.databricks.com

endpoint registrado 1

No account-policy, adicione uma regra de permissão para o endpoint 1 acessar recursos no nível da conta.

Encaminhamento

Registro de Zona Hospedada Privada

Encaminhado para o VPC endpoint

Configuração de entrada baseada em contexto

accounts.cloud.databricks.com

accounts.cloud.databricks.com

endpoint registrado 1

No account-policy, adicione uma regra de permissão para o endpoint 1 acessar recursos no nível da conta.

dica

Tenha em mente as seguintes diretrizes:

  • Sua URL personalizada, URLs específicas do workspace e a URL da account podem todas rotear para o mesmo endpoint de VPC, ou para endpoints de VPC separados, com base em seus requisitos de isolamento.
  • Seu URL personalizado pode ser usado para acessar tanto os workspaces quanto os recursos em nível de account.
  • Use a entrada baseada em contexto para controlar quais workspaces e recursos de nível de account cada endpoint registrado pode acessar. Consulte Controle de entrada baseado em contexto.

Opções de configuração

Configure seu DNS corporativo para encaminhar consultas de domínios do Databricks para o Amazon Route 53. A AWS resolve automaticamente os URLs do workspace para IPs privados sem gerenciamento manual de registros. Essa abordagem usa um único endpoint de VPC para todos os workspaces em qualquer região.

Benefícios do encaminhamento condicional

  • Resolução automática: o Route 53 resolve URLs automaticamente para IPs privados quando o endpoint de VPC tem a opção Ativar nome DNS habilitada.
  • Sem atualizações manuais: Se os IPs do endpoint da VPC mudarem, o Route 53 atualizará automaticamente os registros DNS.
  • Simplifica o gerenciamento: Uma única configuração lida com todos os workspaces em qualquer região.

Pré-requisitos

Antes de começar, verifique se você tem:

  • Um endpoint de VPC do Private Link de entrada com Ativar nome DNS ativado
  • Conectividade de rede entre sua rede corporativa e a AWS usando Direct Connect ou VPN.
  • Permissões para criar um recurso do Route 53 e modificar o DNS corporativo.

o passo 1: Crie uma zona hospedada privada

Crie uma zona hospedada privada no Route 53 para registros DNS do Databricks.

  1. Acesse a página de zonas hospedadas do Route 53 no Console de Gerenciamento da AWS.
  2. Clique em Criar zona hospedada .
  3. Para Nome de domínio , insira o nome PHZ. Por exemplo, my-custom-account-name.databricks.com.
  4. Em Tipo , selecione Zona hospedada privada .
  5. Na seção "VPCs a associar" , selecione a VPC onde está localizado o seu endpoint de VPC de entrada. Normalmente, essa é a sua VPC de trânsito.
  6. Clique em Criar zona hospedada .

o passo 2: Crie um registro DNS A

Crie um registro A que mapeie o endpoint regional para o endereço IP privado do endpoint da sua VPC.

  1. No console do Route 53, selecione a zona hospedada criada (por exemplo, <my-custom-account-name>.databricks.com).

  2. Clique em Criar registro .

  3. Para Nome do registro , insira o valor apropriado (consulte as seções anteriores).

  4. Em Tipo de registro , selecione A - Encaminha o tráfego para um endereço IPv4 .

  5. Em Valor , insira o endereço IP privado do seu endpoint VPC de entrada.

    Para encontrar o endereço IP privado:

    1. Acesse a página do endpointVPC .
    2. Selecione seu endpoint VPC de entrada.
    3. Na tab Sub-redes , anote o endereço IPv4 .
  6. Clique em Criar registros .

dica

Repita as Etapas 1 e 2 para cada PHZ exigido acima.

o passo 3: Criar um endpointdo resolvedor de entrada do Route 53

Crie um endpoint de resolução de entrada para que seu DNS corporativo possa encaminhar consultas para o Route 53.

  1. Acesse a página do Route 53 Resolver .

  2. Na navegação à esquerda, clique em Ponto de extremidade de entrada .

  3. Clique em Criar endpointde entrada .

  4. Forneça um nome para o endpoint, como databricks-privatelink-resolver.

  5. Selecione sua VPC.

  6. Para o grupo de segurança , selecione ou crie um grupo de segurança que permita tráfego TCP e UDP de entrada na porta 53 da sua rede on-premises .

  7. Na seção de endereços IP :

    • Para alta disponibilidade, selecione pelo menos duas sub-redes em diferentes Zonas de Disponibilidade.
    • Para cada sub-rede, você pode deixar a AWS atribuir um endereço IP automaticamente ou escolher um endereço IP específico dentro do intervalo da sub-rede.
  8. Clique em Criar endpointde entrada .

  9. Anote os endereços IP do endpoint do resolvedor de entrada para uso na próxima etapa.

Passo 4: Configure o encaminhamento condicional no DNS da sua empresa.

Configure o servidor DNS corporativo para encaminhar consultas de domínios Databricks para o endpoint de resolução de entrada do Route 53.

Os passos exatos dependem do seu software de DNS, como BIND, DNS Windows ou Infoblox. Consulte a documentação do seu servidor DNS para obter instruções específicas de configuração.

Configure o encaminhamento condicional para os domínios listados na seção Configuração DNS on-premises acima.

Encaminhe esses domínios para os endereços IP do seu endpoint de resolução de entrada do Route 53.

Verificação

Após concluir a configuração, teste a resolução de DNS para cada URL de sua rede corporativa. Por exemplo:

Bash
$ nslookup <my-custom-account-name>.databricks.com

Name: <my-custom-account-name>.databricks.com
Address: 10.176.10.182

A URL deve apontar para o endereço IP privado do seu endpoint VPC. Se for exibido um endereço IP público, verifique suas regras de encaminhamento condicional e a configuração do Route 53.

Cenários especiais de implantação

Você pode ter alguns espaços de trabalho usando um link privado de entrada e outros usando um endpoint público na mesma account. A resolução de DNS lida automaticamente com esse cenário.

O espaço de trabalho sem um objeto de configurações de acesso privado resolve para endereços IP públicos usando <region>.cloud.databricks.com. espaço de trabalho com um objeto de configurações de acesso privado resolve para <region>.privatelink.cloud.databricks.com e usa o IP privado.

Nenhuma configuração adicional de DNS é necessária para implantações mistas.

Verificação

Após configurar o DNS, verifique se suas URLs são resolvidas corretamente para endereços IP privados.

De uma máquina em sua rede corporativa, teste a resolução de DNS:

Bash
$ nslookup myworkspace.cloud.databricks.com

Resultado esperado:

myworkspace.cloud.databricks.com    canonical name = sydney.privatelink.cloud.databricks.com
Name: sydney.privatelink.cloud.databricks.com
Address: 10.176.10.182

A URL deve ser resolvida por meio do subdomínio privatelink para um endereço IP privado, tipicamente no intervalo 10.x.x.x, 172.16.x.x ou 192.168.x.x.

Problemas comuns

Resolução de DNS retorna IPs públicos: Suas regras de encaminhamento condicional não estão funcionando corretamente ou as consultas não estão chegando ao Route 53. Verifique a configuração do seu servidor DNS e o endpoint de resolvedor de entrada do Route 53.

O URL não é resolvido: Sua Zona Hospedada Privada pode não ter o registro A correto, ou a zona hospedada não está associada à VPC correta. Verifique sua configuração do Route 53.

Não é possível acessar recursos em nível de workspace ou de account depois que o DNS é resolvido: verifique a conectividade da rede e as regras do grupo de segurança. Verifique se sua rede corporativa pode alcançar o IP privado do endpoint de VPC na porta 443.

Se você também configurar o Private Link do plano compute clássico, certifique-se de que o URL workspace e o URL intermediário do Private Link apontem para o mesmo endpoint VPC dentro da sua VPC do plano compute . Quando compute é iniciado, os nós worker Databricks usam tanto o URL workspace quanto o URL do link privado intermediário para acessar o plano de controle. Se esses URLs forem resolvidos para um endpoint VPC diferente, isso pode entrar em conflito com sua política de configurações de acesso privado e causar falhas compute .

Para identificar todos os nomes DNS na cadeia de resolução do seu workspace, faça uma pesquisa DNS pública na URL do seu workspace usando uma ferramenta como Google Dig. A cadeia normalmente inclui a URL do seu workspace e a URL do Private Link intermediário, que tem o formato dbc-dp-<workspace-id>.cloud.databricks.com.

Garanta que ambos apontem para o mesmo endpoint da VPC usando uma das seguintes abordagens:

  • Substitua o DNS apenas para o URL do Private Link intermediário: Não configure uma substituição explícita de DNS para o URL do workspace. Use uma solução DNS que suporte o encadeamento de DNS, como o AWS Route 53. Como o URL do workspace é resolvido publicamente por meio do URL do Private Link intermediário, o encadeamento de DNS intercepta a cadeia e resolve ambos para o IP privado do seu endpoint de VPC.
  • Substituir DNS para a URL do workspace: configure a URL do workspace para ser resolvida para o mesmo IP privado que a URL do Private Link intermediário. Se sua VPC de compute plane tiver conectividade DNS pública, remova quaisquer substituições explícitas na URL do workspace. Se sua VPC usa apenas DNS privado, adicione uma substituição explícita para corresponder à resolução da URL do Private Link intermediário.

Para verificar, execute o seguinte comando dentro da sua VPC do plano compute . Ambos os comandos devem retornar o mesmo endereço IP privado:

sh
nslookup <workspace-url>
nslookup dbc-dp-<workspace-id>.cloud.databricks.com

O que vem a seguir?