Configure um firewall para acessar serverless compute
Visualização
Esse recurso está em Public Preview. Para join essa visualização, entre em contato com a equipe Databricks account .
Esta página descreve como configurar um firewall para serverless compute usando a UI do console Databricks account . O senhor também pode usar a API Network Connectivity Configurations. A ativação do firewall não é compatível com o Amazon S3 ou o Amazon DynamoDB.
Databricks cobranças por custos de rede quando cargas de trabalho d serverless se conectam ao recurso do cliente. Consulte Entenda os custos de rede do Databricks serverless.
Visão geral da ativação do firewall para serverless compute
A conectividade de rede sem servidor é gerenciada com configurações de conectividade de rede (NCCs). Os administradores de conta criam NCCs no console account, e um NCC pode ser anexado a um ou mais espaços de trabalho. Os NCCs são construções regionais de nível accountusadas para gerenciar a criação de endpoint privadas e a ativação de firewall em escala.
Um NCC contém uma lista de IPs. Quando um NCC é anexado a um workspace, serverless compute nesse workspace usa um desses endereços IP para conectar seu recurso. O senhor pode permitir a lista dessas redes em seus firewalls de recurso.
A ativação do firewall NCC é compatível com serverless SQL warehouse, Job, Notebook, LakeFlow Declarative pipeline e endpoint servindo modelo.
Para obter mais informações sobre NCCs, consulte O que é uma configuração de conectividade de rede (NCC)?
Requisitos
-
Seu workspace deve estar no plano Premium ou acima.
-
O senhor deve ser um administrador do Databricks account .
-
Cada NCC pode ser conectado a até 50 espaços de trabalho.
-
Cada Databricks account pode ter até 10 NCCs por região suportada. Os NCCs fornecem blocos IP CIDR estáveis compartilhados em vez de blocos IP distintos por configuração, e esses intervalos de IP são específicos da região. Para obter a lista de regiões compatíveis, consulte Nuvens e regiões do Databricks.
-
Seu recurso-alvo deve ser acessível publicamente.
Etapa 1: Crie uma configuração de conectividade de rede e copie os IPs estáveis
Databricks recomenda o compartilhamento de NCCs entre espaços de trabalho na mesma unidade de negócios e aqueles que compartilham a mesma região.
- Como administrador do account, acesse o console account.
- Na barra lateral, clique em Recurso na nuvem .
- Clique em Rede .
- Clique em Configuração de conectividade de rede .
- Clique em Adicionar configuração de conectividade de rede .
- Digite um nome para o NCC.
- Escolha a região. Isso deve corresponder à sua região workspace.
- Clique em Adicionar .
- Clique nas regras padrão tab.
- Em IPs estáveis , clique em Copiar todos os IPs e salve a lista de IPs.
Etapa 2: Anexar um NCC ao espaço de trabalho
O senhor pode anexar um NCC a até 50 espaços de trabalho na mesma região que o NCC.
Para usar o API para anexar um NCC a um workspace, consulte o espaço de trabalho da conta API.
- Na barra lateral do console de contas, clique em Workspaces .
- Clique no nome do seu workspace.
- Clique em Update workspace (Atualizar espaço de trabalho ).
- No campo Configuração de conectividade de rede , selecione seu NCC. Se não estiver visível, confirme se o senhor selecionou a mesma região para o workspace e o NCC.
- Clique em Atualizar .
- Aguarde 10 minutos para que a alteração entre em vigor.
- Reinicie qualquer recurso em execução serverless compute no site workspace.
Etapa 3: Atualize suas regras de acesso a recursos para permitir a lista de IPs
Adicione os IPs estáveis às suas regras de acesso de recurso.
A criação de um firewall de armazenamento também afeta a conectividade do plano clássico compute recurso a recurso. O senhor também deve atualizar suas regras de acesso ao recurso para permitir que os IPs se conectem a eles a partir do clássico compute recurso.
A ativação do firewall NCC não é compatível com o Amazon S3 ou o Amazon DynamoDB. Ao ler ou gravar em Amazon S3 buckets na mesma região que seu recurso workspace, serverless compute use o acesso direto a S3 usando o endpoint de gateway AWS. Isso se aplica quando serverless SQL compute lê e grava em seu bucket de armazenamento workspace em seu AWS account e em outras S3 fontes de dados na mesma região.
O que vem a seguir
- gerenciar regras de endpoint privado : Controle o tráfego de rede de e para o seu endpoint privado, definindo regras específicas que permitem ou negam conexões. Consulte gerenciar regras de privacidade d endpoint.
- Configurar políticas de rede : Implemente políticas de rede para fornecer controles de segurança adicionais e restrições de acesso para seus ambientes do serverless compute . Consulte O que é o controle de saída d serverless?
- Compreenda os custos de transferência de dados e conectividade : Saiba mais sobre os custos associados à transferência de dados para dentro e fora de ambientes d serverless, bem como as configurações de conectividade de rede. Consulte Entender os custos de rede do Databricks serverless.