Pular para o conteúdo principal
Última atualização em

Configurar um firewall para implantações da AWS

Esta página descreve como configurar um firewall para compute serverless usando a interface do usuário do console account do SAP Databricks .

nota

Esta página é aplicável somente a implantações da AWS. Para implantações do Azure, consulte Configurar um firewall para implantações do Azure.

Visão geral da habilitação de firewall para compute serverless

A conectividade de rede sem servidor é gerenciada com configurações de conectividade de rede (NCCs). Os administradores de conta criam NCCs no console account , e um NCC pode ser anexado a um ou mais espaços de trabalho. NCCs são construções regionais em nível accountque são usadas para gerenciar a criação de endpoint privados e a habilitação de firewall em escala.

Um NCC contém uma lista de IPs. Quando um NCC é anexado a um workspace, compute serverless nesse workspace usa um desses endereços IP para conectar seu recurso. Você pode permitir a lista dessas redes nos firewalls do seu recurso.

O que é uma configuração de conectividade de rede (NCC)?

A conectividade de rede sem servidor é gerenciada com configurações de conectividade de rede (NCC). NCCs são construções regionais em nível accountque são usadas para gerenciar a criação de endpoints privados e a habilitação de firewall em escala.

Os administradores de contas criam NCCs no console account e um NCC pode ser anexado a um ou mais espaços de trabalho para habilitar firewalls para recursos. Um NCC contém uma lista de endereços IP estáveis. Quando um NCC é anexado a um workspace, compute serverless nesse workspace usa um desses endereços IP para conectar o recurso cloud . Você pode permitir a lista dessas redes no seu firewall de recursos.

A criação de um firewall de recurso também afeta a conectividade do plano compute clássico para seu recurso. Você também deve permitir a lista de redes nos firewalls do seu recurso para se conectar a elas a partir do recurso compute clássico.

A ativação do firewall NCC não é suportada pelo Amazon S3 ou Amazon DynamoDB. Ao ler ou gravar em buckets Amazon S3 na mesma região do seu workspace, o recurso compute serverless usa acesso direto ao S3 usando o ponto de extremidade do gateway AWS . Isso se aplica quando compute serverless lê e grava no bucket de armazenamento do seu workspace na sua account AWS e em outras fontes de dados S3 na mesma região.

nota

Databricks usa o ponto de extremidade do gateway S3 , IPs privados e IPs públicos para se conectar ao recurso com base em sua localização e tipo. Esses métodos de conectividade geralmente estão disponíveis, a menos que explicitamente indicado o contrário.

Requisitos

  • Você deve ser um administrador account do SAP Databricks .
  • Cada NCC pode ser conectado a até 50 espaços de trabalho.
  • Cada account do SAP Databricks pode ter até 10 NCCs por região suportada. Os NCCs fornecem blocos CIDR de IP estáveis compartilhados em vez de blocos de IP distintos por configuração, e esses intervalos de IP são específicos da região.
  • Seu recurso de destino deve ser acessível publicamente.

o passo 1: Crie uma configuração de conectividade de rede e copie os IPs estáveis

Databricks recomenda o compartilhamento de NCCs entre espaços de trabalho na mesma unidade de negócios e aqueles que compartilham a mesma região.

Configuração de conectividade de rede.

  1. Como administrador account , acesse o console account .
  2. Na barra lateral, clique em Segurança .
  3. Clique em Configurações de conectividade de rede .
  4. Clique em Adicionar configuração de rede .
  5. Digite um nome para o NCC.
  6. Escolha a região. Isso deve corresponder à região do seu workspace .
  7. Clique em Adicionar .
  8. Clique na tab Regras padrão .
  9. Em IPs estáveis , clique em Copiar todos os IPs e salve a lista de IPs.

o passo 2: Anexar um NCC ao espaço de trabalho

Você pode anexar um NCC a até 50 espaços de trabalho na mesma região do NCC.

Para usar a API para anexar um NCC a um workspace, consulte a APIdo espaço de trabalho da conta.

  1. Na barra lateral do console de contas, clique em Workspaces .
  2. Clique no nome do seu workspace.
  3. Clique em Atualizar workspace .
  4. No campo Configurações de conectividade de rede , selecione seu NCC. Se não estiver visível, confirme se você selecionou a mesma região para o workspace e o NCC.
  5. Clique em Atualizar .
  6. Aguarde 10 minutos para que a alteração entre em vigor.
  7. Reinicie qualquer recurso compute serverless em execução no workspace.

o passo 3: Atualize suas regras de acesso de recurso para permitir os IPs

Adicione os IPs estáveis às suas regras de acesso ao recurso.

A criação de um firewall de armazenamento também afeta a conectividade do plano compute clássico de recurso para recurso. Você também deve atualizar suas regras de acesso ao recurso para permitir que os IPs se conectem a elas a partir do recurso compute clássico.

A ativação do firewall NCC não é suportada pelo Amazon S3 ou Amazon DynamoDB. Ao ler ou gravar em buckets Amazon S3 na mesma região do seu workspace, o recurso compute serverless usa acesso direto ao S3 usando o ponto de extremidade do gateway AWS . Isso se aplica quando SQL compute serverless lê e grava no seu bucket de armazenamento do workspace na sua account AWS e em outras fontes de dados S3 na mesma região.