Pular para o conteúdo principal

Configure o PrivateLink de entrada para workspaces

Esta página aborda os passos de configuração para conectividade privada de entrada entre usuários e seus espaços de trabalho Databricks . Para aumentar a segurança da implementação serverless do seu workspace, você deve usar conectividade privada de entrada.

Estabeleça conexões seguras e privadas de suas VPCs AWS ou redes on-premises para o serviço Databricks usando o Private Link de entrada, que roteia o tráfego por meio de um endpoint de interface VPC em vez da internet pública.

Um endpoint de entrada se origina em sua VPC de trânsito, servindo tipicamente como a origem para acesso do usuário a aplicativos da web. Se você usa o Classic compute, geralmente, esta é uma VPC separada da VPC do plano de compute do workspace e pode ser conectada a uma rede on-premises. Se você tiver várias contas do Databricks, você pode compartilhar um endpoint de VPC de entrada entre essas contas registrando o endpoint em cada conta Databricks relevante.

Com Private Link de entrada para workspaces:

  • Configurar acesso privado: Configure conexões de Private Link de entrada para o aplicativo web Databricks, API REST, Databricks Apps e API Databricks Connect.
  • Aplicar conectividade privada: Configure a conectividade privada de usuários para a Databricks.

Conectividade privada de entrada

Requisitos

  • Sua account Databricks está no plano Enterprise.
  • O senhor deve ter todas as permissões necessárias em AWS para configurar um Databricks workspace e criar um novo endpoint VPC para o seu workspace.
  • Para estabelecer uma conexão PrivateLink de entrada para acessar o workspace a partir da sua rede on-premises , conecte sua rede on-premises a uma VPC AWS usando o Direct Connect ou uma VPN.
  • Permita que o tráfego de rede de todos os espaços de endereço relevantes dentro da sua rede local se conecte ao seu endpoint VPC usando a porta TCP 443.

Etapa 1: Criar o endpoint VPC

dica

Para acesso privado ao workspace, você pode reutilizar qualquer endpoint de VPC de Acesso Geral que já tenha criado para Private Link de entrada para seus recursos de nível de account (consulte Configurar o Private Link de Entrada para Recursos de Nível de Conta). A região deste endpoint VPC não precisa corresponder à região do seu workspace. Um endpoint de Acesso Geral em qualquer região pode atender workspaces em qualquer região.

Para criar um endpoint VPC de entrada no Console de Gerenciamento AWS :

  1. Acesse a seção endpoints de VPC do Console de gerenciamento da AWS.
  2. No canto superior direito, defina a região como a mesma região da VPC de trânsito.
  3. Clique em Criar ponto de extremidade .
  4. Ao nomear o endpoint, a Databricks recomenda incluir general-access, como databricks-general-access-vpce.
  5. Em Tipo , selecione o serviço de endpoint que usa NLBs e GWLBs .
  6. No campo do nome do serviço, cole o nome do serviço. Use a tabela em Serviços de endpoint VPC PrivateLink para encontrar os nomes de serviço regionais. Copie o denominado **Acesso Geral (incluindo REST API)**.
  7. Clique em Verificar serviço e verifique se o nome do serviço verificado aparece em uma caixa verde. Se você encontrar um erro que diz "o nome do serviço não pôde ser verificado", verifique se as regiões da sua VPC, sub-redes e novo endpoint VPC correspondem corretamente.
  8. Em VPC , selecione sua VPC de trânsito.
  9. Em Sub-redes , selecione uma sub-rede.
  10. Na seção Grupos de segurança , selecione um grupo de segurança que permita o tráfego de entrada na porta 443 a partir dos intervalos de IP que precisam acessar o workspace.
  11. Clique em Criar terminal .

Etapa 2: registro VPC endpoint

Após criar seus endpoints de VPC no Console de Gerenciamento da AWS, registre-os no Databricks.

  1. Acesse o console account Databricks .

  2. Clique em Segurança na barra lateral.

  3. Clique em Endpoints privados na navegação vertical.

  4. Clique em Registrar um endpoint privado .

  5. Digite um nome descritivo para o registro do seu endpoint VPC.

    • Uma convenção de nomenclatura que inclui a finalidade é recomendada, como VPCE for General Access.
  6. Selecione a região apropriada. A região deve corresponder à região do endpoint VPC da AWS que você está registrando.

  7. Cole o AWS VPC endpoint ID no campo AWS VPC endpoint ID .

    registro VPC endpoint.

  8. Clique em Registrar novo VPC endpoint .

Se você usa o compute Clássico e tem vários workspaces que compartilham a mesma VPC gerenciada pelo cliente, você pode compartilhar endpoints de VPC da AWS entre eles. Para várias contas do Databricks, você pode registrar o endpoint de VPC da AWS em cada account.

Etapa 3: Configure a política de acesso privado

Depois de registrar seu endpoint VPC de Acesso Geral, há duas maneiras de configurar uma política de acesso privado para seu workspace: com entrada baseada em contexto ou com configurações de acesso privado. O uso da abordagem de ingresso baseado em contexto permite configurar acesso granular ao combinar condições de identidade, tipo de solicitação e origem da rede. As políticas de acesso privado de ingresso baseado em contexto também não são vinculadas à região: é possível incluir um endpoint em uma lista de permissões em qualquer região para atender a um workspace em uma região diferente. Consulte Controle de entrada baseado em contexto. As configurações de acesso privado são políticas de tudo ou nada, vinculadas à região.

Para que o tráfego seja permitido, tanto as configurações de acesso privado quanto a entrada baseada em contexto devem permitir o endpoint. Por default, a entrada baseada em contexto é definida como Permitir acesso de todos os endpoints privados , o que transfere a decisão de acesso para a configuração de acesso privado do workspace. Se você deseja configurar políticas de acesso privado baseadas em contexto, certifique-se de que seu workspace tenha uma configuração de acesso privado anexada, com todos os endpoints privados registrados permitidos (veja mais abaixo). Isso irá adiar a decisão de acesso para a política de ingresso baseado em contexto do seu workspace.

info

Visualização

O acesso privado a workspaces usando entrada baseada em contexto está em Beta.

  1. No console account , clique em Segurança na barra lateral.

  2. Clique em **Entrada baseada em contexto e controle de saída** na barra lateral.

  3. Em **Políticas de nível de workspace**, clique em **Nova política de workspace**.

  4. Em entrada > acesso à rede privada , defina sua política de acesso privado.

    1. Por default, todos os endpoints registrados são permitidos: Permitir acesso de todos os endpoints privados . Se isso for aceitável, prossiga para o próximo passo. Este default inclui apenas os primeiros 200 endpoints de VPC registrados; se sua política exigir mais, entre em contato com sua equipe de account para solicitar um aumento.
    2. Se você quiser adicionar endpoints registrados específicos à lista de permissões enquanto nega todos os outros endpoints, desmarque Permitir acesso de todos os endpoints privados e adicione uma regra de permissão.
      1. Selecione as identidades e os destinos do workspace aos quais você deseja permitir acesso (por default, todas as identidades e destinos são permitidos).
      2. Em seguida, selecione tipo de origem = Endpoints privados selecionados , e selecione o(s) endpoint(s) VPC de Acesso Geral que você registrou. A região deste endpoint VPC não precisa corresponder à região do seu workspace. Um endpoint de Acesso Geral em qualquer região pode atender workspaces em qualquer região.
      3. Clique em Confirmar .
      4. Você também pode adicionar regras de negação em sua política, que definem exceções às suas regras de permissão.
  5. Quando terminar de configurar sua política de acesso privado, você também pode configurar sua política de acesso público em entrada > acesso à rede pública . Você pode desativar todo o acesso IP público desmarcando permitir acesso de todos os IPs públicos . A Databricks recomenda manter o acesso público habilitado enquanto testa sua configuração de DNS e, em seguida, desabilitá-lo após a finalização do DNS para impor conectividade privada exclusiva.

  6. Teste sua política de entrada em modo de execução de teste primeiro, antes de mudá-la para Aplicada . As negações de acesso do modo de execução de teste são registradas na system table system.access.inbound_network, mas não bloquearão o acesso.

  7. Certifique-se de que sua política de saída esteja correta.

  8. Anexe sua política de rede aos seus workspaces.

  9. Salve sua política de rede. As atualizações de política de ingresso baseado em contexto levam menos de 10 minutos para entrar em vigor.

  10. Anexe uma configuração de acesso privado "permitir todo o acesso" ao seu workspace. Workspaces sem configurações de acesso privado anexadas têm todo o acesso privado negado, independentemente da política de rede.

    1. No console account , clique em Segurança na barra lateral.
    2. Clique em Configurações de acesso privado na barra lateral.
    3. Clique em Adicionar configurações de acesso privado .
    4. Digite um nome para seu novo objeto de configurações de acesso privado.
    5. Selecione uma região que corresponda à sua região workspace.
    6. Defina o campo **Acesso público ativado** como **Verdadeiro**.
    7. Selecione um Nível de Acesso Privado : Account .
    8. Clique em Adicionar configurações de acesso privado .
    9. Agora em seu workspace, clique em Configurações avançadas para ver campos adicionais.
    10. No dropdown de Private Link, escolha o nome do objeto de configurações de acesso privado que você criou n'os passos anteriores.
    11. Clique em Salvar .
dica

Você pode criar uma política de rede por workspace. No entanto, se vários workspaces compartilharem as mesmas políticas de entrada e saída, eles poderão compartilhar a mesma política de rede, de modo que você possa "definir uma vez e anexar em qualquer lugar".

dica

Você pode reutilizar a mesma configuração de acesso privado "permitir todo o acesso" em qualquer workspace na mesma região.

Após criar e registrar seu endpoint de VPC de entrada, configure o DNS para rotear as solicitações do usuário por sua rede privada para o endereço IP privado do endpoint de VPC.

Todo workspace tem duas URLs válidas: sua URL personalizada (por exemplo, <my-custom-account-name>.databricks.com) e uma URL específica do workspace (por exemplo, dbc-<workspace-deployment-id>.cloud.databricks.com).

Você deve sempre rotear seu URL específico do workspace para o endpoint VPC do seu workspace. Se você deseja usar seu URL personalizado para acesso, também deve rotear seu URL personalizado para o endpoint VPC do seu workspace.

Para obter instruções completas de configuração de DNS, incluindo a configuração do Route 53, padrões de encaminhamento condicional e orientações para solução de problemas, consulte Configurar DNS para o AWS Inbound Private Link.

Verificar a resolução de DNS

Após configurar o DNS, verifique se ambos os URLs do seu workspace resolvem para um endereço IP privado, e não para um endereço IP público. Estes IPs privados podem ser diferentes dos IPs mostrados abaixo.

URL específica do workspace:

Bash
nslookup myworkspace.cloud.databricks.com

Saída esperada mostrando a resolução através do subdomínio privatelink. Se você não vir privatelink no nome canônico, você não anexou uma configuração de acesso privado ao seu workspace e o acesso privado não funcionará.

myworkspace.cloud.databricks.com    canonical name = sydney.privatelink.cloud.databricks.com
Name: sydney.privatelink.cloud.databricks.com
Address: 10.176.10.182

URL personalizado:

Bash
nslookup <my-custom-account-name>.databricks.com

Resultado esperado:

<my-custom-account-name>.databricks.com
Address: 10.176.10.182

Workspaces com disaster recovery gerenciado (consulte Disaster Recovery Gerenciado) usam seu URL personalizado como URL de workspace estável, no formato <my-custom-url>.databricks.com/?c=stable_connection_id. Este URL estável pode atender seus workspaces primário e secundário.

Para configurar o Private Link de entrada para estes workspaces:

  1. O DNS resolve seu URL personalizado para um endpoint de Acesso Geral registrado (consulte Configurar o DNS para Private Link de Entrada da AWS).
  2. Usando a entrada baseada em contexto, adicione este endpoint à lista de permissões para seus workspaces primário e secundário.
  3. Crie um endpoint de Acesso Geral de failover em outra região, para ser usado se a região primária se tornar indisponível. A Databricks recomenda, mas não exige, criá-lo na mesma região que seu workspace secundário.
  4. Usando entrada baseada em contexto, inclua este endpoint de failover na lista de permissões para workspaces primários e secundários.
  5. Repita os passos 3 e 4 em quantas regiões adicionais desejar.

Como o failover se comporta:

  • Workspace primário inativo, endpoint primário ainda disponível : Seu URL estável continua automaticamente a servir seu workspace secundário por meio do endpoint primário. Isso funciona porque um endpoint de Acesso Geral em qualquer região pode atender workspaces em qualquer região.
  • Região primária inteira inativa : É necessário resolver sua URL personalizada para outro endpoint de Acesso Geral na lista de permissões, a partir d'os passos 3–4. É possível atualizar seus registros DNS manualmente ou automatizá-los usando verificações de integridade do Route 53 com registros de failover em uma zona privada hospedada.

Se seu URL personalizado também atender workspaces *sem* recuperação de desastre gerenciada, certifique-se de que as políticas de entrada baseadas em contexto também permitam o(s) endpoint(s) de failover, para que o acesso seja preservado quando o endpoint ativo for alterado.

info

Visualização

O acesso privado aos recursos no nível da account, incluindo o login unificado, está em Beta. Consulte Configurar o Private Link de entrada para recursos em nível de account.

Se seus usuários tiverem acesso à internet pública (ou seja, a resolução de DNS pode usar resolvedores públicos e as solicitações de autenticação podem usar a internet pública), este passo não é obrigatório.

Quando um usuário faz log in em um workspace onde o log in unificado está habilitado, a Databricks o redireciona para accounts.cloud.databricks.com no fluxo de autenticação. Se os usuários não tiverem acesso à internet pública, siga os seguintes passos para configurar seu provedor de identidade e DNS interno.

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Configurações .
  3. Clique em Authentication (Autenticação ) tab.
  4. Ao lado de Authentication (Autenticação ), clique em gerenciar .
  5. Escolha Login único com meu provedor de identidade .
  6. Clique em "Continuar" .
  7. Copie o valor no campo Databricks Redirect URL .
  8. Acesse seu provedor de identidade.
  9. Adicione o URI de redirecionamento do Databricks como um URL de redirecionamento adicional. Se você configurar o SSO usando SAML, adicione também o URI de redirecionamento do Databricks como um ID de entidade adicional.

Configure uma zona hospedada privada para sua VPC de trânsito

Execute a seguinte configuração em sua VPC de trânsito para verificar se o URI de redirecionamento do link privado Databricks está mapeado para o endereço IP privado endpoint VPC VPC seu endpoint workspace .

  1. Configure o encaminhamento condicional em seu DNS corporativo para encaminhar accounts.cloud.databricks.com para a AWS.
  2. Na sua VPC de trânsito, crie uma zona hospedada privada com o nome de domínio accounts.cloud.databricks.com.
  3. Adicione um registro A que resolva accounts.cloud.databricks.com para qualquer endereço IP privado de endpoint de VPC de Acesso Geral que esteja registrado em sua conta.
  4. Teste a configuração acessando o URI de redirecionamento do link privado do Databricks a partir da sua VPC de trânsito.
nota

Se você estiver usando atualmente accounts-pl-auth.privatelink.cloud.databricks.com como seu URL de redirecionamento (opção legada de Visualização Privada), seu CBI account-policy não entrará em vigor. Primeiro, adicione à lista de permissões o endpoint de Acesso Geral atualmente usado para login unificado em seu account-policy. Em seguida, entre em contato com sua equipe de account para habilitar seu account-policy. Por fim, a Databricks recomenda alterar seu URL de redirecionamento para accounts.cloud.databricks.com. Este processo evitará que qualquer um de seus acessos existentes no nível da account seja interrompido.

Recursos adicionais