Configurar PrivateLink de Front-end

Esta página aborda a configuração dos passos para conectividade privada front-end entre usuários e seu espaço de trabalho Databricks . Para adicionar segurança à implementação serverless do seu workspace, você deve usar conectividade privada de front-end.

• Para obter uma visão geral da conectividade privada em Databricks, consulte Rede de plano clássica compute.
• Para habilitar a conectividade privada de back-end com o Databricks, consulte Habilitar a conectividade privada usando o AWS PrivateLink.

Habilite o PrivateLink front-end para seu workspace

Estabeleça conexões seguras e privadas de suas AWS VPCs ou redes locais para Databricks serviço usando o PrivateLink front-end, que roteia o tráfego por meio de uma interface VPC endpoint em vez da Internet pública.

Com o front-end PrivateLink, você pode:

• Configurar acesso privado : Configure conexões PrivateLink front-end para o aplicativo web Databricks, REST API e Databricks Connect API.
• Habilitar acesso privado : configure o PrivateLink ao criar um novo workspace ou em um existente.
• Aplicar conectividade privada : configure a conectividade privada dos usuários para Databricks e do plano de controle para o plano compute .

Requisitos

• Sua account Databricks está no plano Enterprise.
• Seu workspace Databricks deve usar uma VPC gerenciada pelo cliente. Não é possível converter um workspace existente de uma VPC gerenciada pelo Databrickspara uma VPC gerenciada pelo cliente. Consulte Configurar uma VPCde gerenciamento de clientes.
• O senhor deve ter todas as permissões necessárias em AWS para configurar um Databricks workspace e criar um novo endpoint VPC para o seu workspace.
• Para estabelecer uma conexão PrivateLink de front-end para acessar o workspace da sua rede on-premises , conecte sua rede on-premises a uma VPC AWS usando o Direct Connect ou VPN.
• Permita que o tráfego de rede de todos os espaços de endereço relevantes dentro da sua rede local se conecte ao seu endpoint VPC usando a porta TCP 443.

Etapa 1: Criar o endpoint VPC

Um endpoint front-end se origina da sua VPC de trânsito, normalmente servindo como fonte para o acesso do usuário ao aplicativo web. Geralmente, trata-se de um servidor separado VPC do servidor workspace's compute plane VPC e pode ser conectado a uma rede local. Se você possui várias contas Databricks, é possível compartilhar um front-end VPC endpoint entre essas contas. Registre o endpoint em cada Databricks account relevante.

Para criar o endpoint VPC front-end no console de gerenciamento AWS:

1. Acesse a seção endpoints de VPC do Console de gerenciamento da AWS.
2. No canto superior direito, defina a região como a mesma região da VPC de trânsito.
3. Clique em Criar ponto de extremidade .
4. Ao nomear o endpoint, Databricks recomenda incluir a região e workspace ou front-end, como databricks-us-west-2-workspace-vpce.
5. Em Categoria de serviço , selecione o serviço de endpoint que usa NLBs e GWLBs .
6. No campo nome do serviço, cole o nome do serviço. Use a tabela no PrivateLink VPC endpoint serviço para encontrar os nomes dos serviços regionais. Copie o espaço de trabalho de um rótulo (incluindo REST API ).
7. Clique em Verificar serviço e verifique se o nome do serviço verificado aparece em uma caixa verde. Se você encontrar um erro que diz "o nome do serviço não pôde ser verificado", verifique se as regiões da sua VPC, sub-redes e novo endpoint VPC correspondem corretamente.
8. Em VPC , selecione sua VPC de trânsito.
9. Em Sub-redes , selecione uma sub-rede.
10. Na seção Grupos de segurança , selecione o grupo de segurança que você criou para conexões front-end.
11. Clique em Criar terminal .

Etapa 2: registro VPC endpoint

Depois de criar seu endpoint VPC no AWS Management Console, registre-o no Databricks. Não é possível atualizar uma configuração de rede depois que ela foi criada. Siga estes passos para registrar seu endpoint VPC :

1. Acesse o console account Databricks .

2. Clique em Cloud recurso na barra lateral.

3. Selecione Rede .

4. Clique em registros de endpoint VPC na navegação vertical.

5. Clique em Registrar um VPC endpoint .

6. Digite um nome descritivo para o registro do seu endpoint VPC.

   • É recomendada uma convenção de nomenclatura que inclua a região e a finalidade, como VPCE us-west-2 for SCC.

7. Selecione a região apropriada. A região deve corresponder à sua região workspace e à região do endpoint AWS VPC que você está registrando.

8. Cole o AWS VPC endpoint ID no campo AWS VPC endpoint ID .

   

9. Clique em Registrar novo VPC endpoint .

Se o senhor tiver vários espaços de trabalho que compartilham o mesmo cliente-gerenciar VPC, poderá compartilhar o endpoint AWS VPC entre eles. Para várias contas Databricks, registre o AWS VPC endpoint em cada account.

Etapa 3: criar configurações de acesso privado

As configurações de acesso privado descrevem a conectividade PrivateLink do seu workspace e são necessárias para habilitar a conectividade privada. Para usar o PrivateLink, você deve anexar um objeto de configurações de acesso privado ao criar seu workspace. Siga estes passos para criar suas configurações de acesso privado:

1. No console account , clique em Segurança na barra lateral.

2. Clique em Configurações de acesso privado na barra lateral.

3. Clique em Adicionar configurações de acesso privado .

   

4. Digite um nome para seu novo objeto de configurações de acesso privado.

5. Selecione uma região que corresponda à sua região workspace.

6. Configure o campo Acesso público ativado :

   • False (default ): A conexão front-end é acessível exclusivamente por meio do PrivateLink, bloqueando o acesso público à Internet.
   • Verdadeiro : a conexão front-end pode ser acessada tanto pelo PrivateLink quanto pela Internet pública.

7. Selecione um nível de acesso privado :

   • conta : Limite as conexões ao endpoint VPC registrado em sua conta Databricks account.
   • endpoint : Limitar as conexões a um conjunto explícito de VPC endpoint. Inclua seu registro de endpoint VPC front-end.

8. Clique em Adicionar configurações de acesso privado .

Etapa 4: Crie seu site workspace com objetos PrivateLink

Para concluir esta etapa, o site workspace já deve estar usando um gerenciador de clientes VPC e conectividade segura de clustering.

1. Consulte Criar manualmente um workspace (conta Databricks existente) para criar um workspace. Consulte essa página para obter orientações sobre campos de workspace, como URL workspace, região, Unity Catalog, configurações de credenciais e configurações de armazenamento. Não clique no botão Salvar ainda.

2. Clique em Advanced configurations (Configurações avançadas ) para view campos adicionais.

3. No PrivateLink dropdown, selecione o nome do objeto de configurações de acesso privado que você criou nas etapas anteriores.

4. Clique em Salvar .

5. Após criar ou atualizar um workspace, aguarde até que ele esteja disponível antes de utilizar ou criar o clustering.

   O status workspace permanece RUNNING e a alteração VPC acontece imediatamente. Entretanto, você não poderá usar ou criar clusters por mais 20 minutos. Se você criar ou usar clusters antes do término desse intervalo, os clusters poderão falhar ao iniciar ou causar outro comportamento inesperado.

Passo 5: Configurar DNS para o PrivateLink de front-end

Após criar seu endpoint VPC de front-end, configure o DNS para rotear as solicitações do usuário através de sua rede privada para o endereço IP privado do endpoint VPC.

Para obter instruções completas de configuração de DNS, incluindo a configuração do Route 53, padrões de encaminhamento condicional e orientações para solução de problemas, consulte Configurar DNS para AWS PrivateLink.

Verificação rápida

Após configurar o DNS, verifique se o URL do seu workspace resolve para um endereço IP privado:

Bash

nslookup myworkspace.cloud.databricks.com

Resultado esperado mostrando a resolução através do subdomínio privatelink :

myworkspace.cloud.databricks.com    canonical name = sydney.privatelink.cloud.databricks.com
Name:    sydney.privatelink.cloud.databricks.com
Address: 10.176.10.182

O URL workspace deve ser resolvido para o endereço IP privado do seu endpoint VPC de front-end, e não para um endereço IP público.

Etapa 6: configurar o PrivateLink de front-end com login unificado

info

Visualização

O login unificado com o front-end PrivateLink está na versão prévia privada. O senhor deve entrar em contato com a equipe do Databricks account para solicitar acesso a essa visualização. Para obter mais informações sobre login unificado, consulte Ativar login unificado.

Se seus usuários tiverem acesso à Internet pública, essa etapa não será necessária.

Quando um usuário efetua login em um workspace onde o login unificado está habilitado, o sistema o redireciona para accounts.cloud.databricks.com no fluxo de autenticação. Para usar o login unificado com um workspace onde o PrivateLink de front-end está habilitado e o usuário não tem acesso à Internet pública, siga estes passos para configurar seu provedor de identidade e DNS interno.

Autorize o URI de redirecionamento do PrivateLink em seu provedor de identidade

1. Como administrador da conta, faça login no console da conta.
2. Na barra lateral, clique em Configurações .
3. Clique em Authentication (Autenticação ) tab.
4. Ao lado de Authentication (Autenticação ), clique em gerenciar .
5. Escolha Login único com meu provedor de identidade .
6. Clique em "Continuar" .
7. Copie o valor no campo Databricks Redirect URL .
8. Substitua accounts por accounts-pl-auth para obter o URI de redirecionamento do Databricks PrivateLink.
9. Acesse seu provedor de identidade.
10. Adicione o URI de redirecionamento do Databricks PrivateLink como um URL de redirecionamento adicional. Se o senhor configurar o SSO usando SAML, adicione também o URI de redirecionamento do Databricks PrivateLink como um ID de entidade adicional.

Se você tiver uma área de trabalho PrivateLink e uma área de trabalho não PrivateLink no seu account, não remova o URL de redirecionamentoDatabricks com account dos URLs de redirecionamento do seu provedor de identidade.

Configure uma zona hospedada privada para sua VPC de trânsito

Execute a seguinte configuração na sua VPC de trânsito para verificar se o URI de redirecionamento Databricks PrivateLink mapeia para o endereço IP privado endpoint VPC para o endpoint VPC do seu workspace .

1. A partir da sua VPC de trânsito, use a ferramenta de linha de comando Unix nslookup para obter a resolução de DNS usando o URL do seu workspace . Veja o exemplo na etapa 5: Configurar DNS para front-end PrivateLink.
2. Copie o URL da instância do plano de controle do seu PrivateLink workspace. A URL da instância do plano de controle está no formato <region>.privatelink.cloud.databricks.com.
3. Na sua VPC de trânsito, crie uma zona hospedada privada com o nome de domínio privatelink.cloud.databricks.com.
4. Adicione um registro CNAME que resolva accounts-pl-auth.privatelink.cloud.databricks.com ao URL da instância do seu plano de controle.
5. Teste a configuração acessando o URI de redirecionamento do Databricks PrivateLink a partir de sua VPC de trânsito.

Próximos passos

• Habilitar conectividade privada usando AWS PrivateLink
• Configure as listas de acesso IP para o espaço de trabalho.