Pular para o conteúdo principal

Configure o Private Link de entrada para recursos no nível da account

info

Visualização

O Private Link de entrada para recursos de nível de account está em Beta.

Este recurso concede aos usuários em suas VPCs da AWS ou redes on-premises acesso privado aos recursos no nível da conta do Databricks, incluindo o console da conta e o Genie no nível da conta. O tráfego é roteado por meio de um endpoint de interface VPC na sua VPC de trânsito, em vez da internet pública.

Se você tiver várias **accounts** do Databricks, poderá compartilhar um único endpoint de VPC de entrada entre elas, registrando-o em cada **account**.

Para uma visão geral da conectividade privada no Databricks, consulte conceitos de Private Link.

Com Private Link de entrada para recursos no nível da account:

  • Configurar acesso privado: Configure conexões de Private Link de entrada para o aplicativo web Databricks e a API REST.
  • Imponha conectividade privada: configure a conectividade privada de usuários ao Databricks.

O diagrama a seguir mostra como o Private Link de entrada encaminha o tráfego do usuário da sua VPC de trânsito para recursos de nível de account do Databricks por meio de um endpoint de interface de VPC, em vez de pela internet pública.

Conectividade privada de entrada para recursos no nível da account

Requisitos

  • Sua conta do Databricks está no Plano Enterprise.
  • É preciso ter todas as permissões necessárias da AWS para criar novos endpoints de VPC.
  • Para estabelecer uma conexão Private Link de entrada para acessar o recurso no nível da account a partir de sua rede on-premises, conecte sua rede on-premises a uma VPC da AWS usando Direct Connect ou VPN.
  • Permita que o tráfego de rede de todos os espaços de endereço relevantes em sua rede local se conecte ao seu endpoint de VPC usando a porta TCP 443.

Etapa 1: Criar endpoints de VPC

dica

Para acesso privado de nível de conta, é possível reutilizar qualquer endpoint de VPC de Acesso Geral já criado para o Private Link de entrada para seus workspaces (consulte Configurar o PrivateLink de entrada para workspaces). Este endpoint de VPC pode residir em qualquer região.

Para criar endpoint de VPC de entrada no Console de Gerenciamento da AWS:

  1. Acesse a seção endpoints de VPC do Console de gerenciamento da AWS.
  2. No canto superior direito, defina a região para a mesma região da sua VPC de trânsito.
  3. Clique em Criar ponto de extremidade .
  4. Ao nomear o endpoint, o Databricks recomenda incluir general-access, como databricks-general-access-vpce.
  5. Em Tipo , selecione Serviços de endpoint que usam NLBs e GWLBs .
  6. No campo de nome do serviço, cole o nome do serviço. Use a tabela em Serviços de endpoint VPC do PrivateLink para localizar os nomes de serviço regionais. Copie o denominado Acesso Geral (incluindo API REST) .
  7. Clique em Verificar serviço e verifique se Nome do serviço verificado aparece em uma caixa verde. Se você encontrar um erro que informa "Nome do serviço não pôde ser verificado", verifique se as regiões da sua VPC, sub-redes e do novo endpoint de VPC estão corretamente combinadas.
  8. No **VPC**, selecione seu VPC de trânsito.
  9. Em Sub-redes , selecione uma sub-rede.
  10. Na seção Grupos de segurança , selecione um grupo de segurança que permita o tráfego de entrada na porta 443 dos intervalos de IP que precisam acessar os recursos no nível da account.
  11. Clique em Criar terminal .

Passo 2: Registrar endpoints de VPC

Após criar seus endpoints de VPC no Console de Gerenciamento da AWS, registre-os no Databricks.

  1. Acesse o console da conta Databricks.

  2. Clique em Segurança na barra lateral.

  3. Clique em **Endpoints privados** na navegação vertical.

  4. Clique em Registrar um endpoint privado .

  5. Insira um nome descritivo para seu registro de endpoint VPC.

    • É recomendada uma convenção de nomenclatura que inclua a finalidade, como VPCE for General Access.
  6. Selecione a região apropriada. A região deve corresponder à região do AWS VPC endpoint que você está registrando.

  7. Cole o ID do endpoint da AWS VPC no campo **ID do endpoint da AWS VPC**.

    Registrar Endpoint de VPC.

  8. Clique em Registrar novo VPC endpoint .

Se você tiver várias accounts Databricks, poderá registrar o endpoint da VPC da AWS em cada account.

O passo 3: Configurar a política de acesso privado com entrada baseada em contexto

Depois de registrar seu endpoint de VPC de Acesso Geral, você deve configurar uma política de acesso privado para seus recursos no nível da conta usando entrada baseada em contexto. Consulte Controle de entrada baseado em contexto para obter mais detalhes.

  1. No console da account, clique em Segurança na barra lateral.

  2. Clique em **Entrada baseada em contexto e controle de saída** na barra lateral.

  3. Em **Política de nível de account**, clique em **account-policy**.

  4. Em Acesso à Rede Privada , defina sua política de acesso privado. Por default, nenhum endpoint registrado é permitido.

    • Se você deseja adicionar à lista de permissões endpoints registrados específicos enquanto nega todos os outros endpoints, adicione uma regra de permissão.

      1. Selecione as identidades e os destinos do workspace aos quais deseja permitir acesso (por default, todas as identidades e destinos são permitidos).
      2. Em seguida, selecione tipo de origem = Endpoints privados selecionados e selecione os endpoints de VPC de Acesso Geral que você registrou. Um endpoint de Acesso Geral em qualquer região pode atender a qualquer recurso no nível da account.
      3. Clique em Confirmar .
      4. Você também pode adicionar Regras de bloqueio em sua política, que definem exceções para suas regras de permissão.
    • Se desejar permitir todos os endpoints registrados, marque **Permitir acesso de todos os endpoints privados**. Por default, esta opção inclui apenas os primeiros 200 endpoints de VPC registrados. Se sua policy exigir mais de 200 endpoints, entre em contato com sua equipe de account para solicitar um aumento.

  5. Teste sua política de entrada primeiro no **modo de execução de teste**, antes de alterá-la para **Aplicado**.

  6. Salve sua política de rede. As atualizações de política de entrada baseada em contexto levam menos de 10 minutos para entrar em vigor.

dica

Existe apenas uma política de rede compartilhada entre todos os recursos de nível de account. Se desejar configurar políticas diferentes para recurso de nível de account diferentes, é possível fazer isso adicionando várias regras de permissão a destinos diferentes.

Após criar e registrar seu endpoint VPC de entrada, configure o DNS para rotear solicitações de usuário pela sua rede privada para o endereço IP privado do endpoint VPC.

Recursos em nível de conta têm dois URLs válidos: seu URL personalizado (por exemplo, <my-custom-account-name>.databricks.com) e accounts.cloud.databricks.com.

Se seus usuários tiverem acesso à internet pública, você só precisa rotear sua URL personalizada para seu endpoint de VPC para habilitar o Private Link de entrada para seus recursos no nível da conta. No entanto, se seus usuários não puderem acessar a internet pública, você também precisará rotear accounts.cloud.databricks.com para habilitar o login unificado privado (consulte Configurar Private Link de entrada com login unificado).

Para instruções abrangentes de configuração de DNS, incluindo a configuração do Route 53, padrões de encaminhamento condicional e orientação para solução de problemas, consulte Configurar DNS para Private Link de entrada da AWS.

Verificar a resolução de DNS

Após configurar o DNS, verifique se os URLs de recurso no nível da conta que você roteou são resolvidos para um endereço IP privado, e não para um endereço IP público. Esses IPs privados podem ser diferentes dos IPs mostrados abaixo.

URL personalizado:

Bash
nslookup <my-custom-account-name>.databricks.com

Resultado esperado:

<my-custom-account-name>.databricks.com
Address: 10.176.10.182

accounts.cloud.databricks.com:

Bash
nslookup accounts.cloud.databricks.com

Resultado esperado:

accounts.cloud.databricks.com
Address: 10.176.10.182

Etapa 5: Desativar acesso público (opcional)

Concluir a configuração do Private Link não bloqueia automaticamente o acesso público à internet aos seus recursos em nível de account. Acesso público e privado são configurações independentes. Para impor conectividade somente privada, desative o acesso à rede pública com listas de acesso IP da conta. Consulte Configurar listas de acesso IP para o console da account.

Próximos os passos