为Azure资源配置Azure网络安全外围(NSP)

Azure Databricks无服务器计算通过托管网络基础结构连接到云资源。 如果防火墙保护云资源,则必须允许来自无服务器计算的流量。 配置方法取决于资源类型:

  • Azure工作区区域中的存储帐户:将存储帐户与网络安全外围(NSP)相关联,并允许AzureDatabricksServerless服务标记。

注释

如果你需要到资源的专用、专用连接,请使用出站专用链接连接来访问你的资源,而不是允许 IP 地址列表。 请参阅 配置 VNet 中资源的专用连接

为Azure存储帐户配置Azure网络安全外围

Azure网络安全外围(NSP)是一项内置Azure功能,可为平台即服务(PaaS)资源创建逻辑隔离边界。 将存储帐户与 NSP 相关联时,可以使用简化的规则集集中管理网络流量,而不是维护单个 IP 地址或子网 ID 的复杂列表。 本部分介绍如何使用 Azure 门户配置 NSP 来控制对 Azure 存储帐户的无服务器计算访问。

NSP 支持从无服务器 SQL 仓库、作业、笔记本、Lakeflow Spark 声明性管道和模型服务终结点进行访问。

重要

到 2026 年 6 月 9 日,任何允许 Azure Databricks 无服务器子网 ID 的现有 Azure 存储帐户都必须加入网络安全边界,并且必须允许 AzureDatabricksServerless 服务标记。

主要优势

使用 NSP 技术处理 Azure Databricks 的无服务器出站流量,可以提高您的安全防护,同时显著减少运维开销。

益处 Description
成本节约 通过服务终结点发送的流量保留在 Azure 主干上,不会产生数据处理费用。
简化管理 Azure Databricks建议使用区域服务标记来限制对特定区域的访问,例如,AzureDatabricksServerless.EastUS2。 所有通信都通过Azure主干路由。 如果许多区域中的工作区需要访问权限,则可以使用多个区域服务标记。 有关受支持的 Azure 区域的完整列表,请参阅 Azure Databricks 区域
集中式安全管理 在单个 NSP 配置文件中管理多个资源类型(包括存储、密钥保管库和数据库)的安全策略。

支持的 Azure 服务

AzureDatabricksServerless 服务标记仅支持工作区区域中针对 Azure 存储(包括 ADLS Gen2)的 NSP 入站规则。

要求

在开始之前,必须满足以下要求:

  • 你必须是 Azure Databricks 帐户管理员。
  • 必须对要配置的 Azure 资源具有参与者或所有者权限。
  • 必须有权在 Azure 订阅中创建网络安全外围资源。
  • Azure Databricks工作区和Azure资源必须位于同一Azure区域中,以实现最佳性能,并避免跨区域数据传输费用。

步骤 1:创建网络安全边界并记下配置文件 ID

若要创建边界并记下其轮廓 ID,请执行以下操作:

  1. 登录到 Azure 门户

  2. 在顶部的搜索框中,输入 网络安全外围 并从结果中选择它。

  3. 单击 + 创建

  4. “基本信息 ”选项卡上,输入以下信息:

    • 订阅:选择 Azure 订阅。
    • 资源组:选择现有资源组或创建一个资源组。
    • 名称:输入 NSP 的名称(例如 databricks-nsp)。
    • 区域:选择 NSP 的区域。 该区域必须与Azure Databricks工作区区域和Azure存储帐户的区域匹配。
    • 配置文件名称:输入配置文件名称(例如 databricks-profile)。
  5. 单击“查看 + 创建”,然后单击“创建”

  6. 创建 NSP 后,请在 Azure 门户中进入 NSP 界面。

  7. 在左侧边栏中,转到 “设置>配置文件”。

  8. 创建或选择个人资料(例如 databricks-profile)。

  9. 复制配置文件的资源 ID。 需要此 ID 以编程方式关联资源。

    Tip

    将个人资料 ID 保存在安全位置。 如果要使用 Azure CLI 或 API(而不是Azure门户)关联资源,则必须使其可用。

步骤 2:在转换模式下将存储帐户与 NSP 相关联

你必须按照以下步骤,将要从 Azure Databricks 无服务器计算访问的每个 Azure 存储帐户与你的 NSP 配置文件关联起来:

  1. 转到 Azure 门户中的网络安全边界。
  2. 在左侧边栏中,转到“设置”下的“关联资源”。
  3. 单击“ + 添加>将资源与现有配置文件关联”。
  4. 选择在步骤 1 中创建的配置文件(例如,databricks-profile)。
  5. 单击关联
  6. 在资源选择窗格中,按 Microsoft.Storage/storageAccounts 进行筛选,以关联 Azure Data Lake Storage Gen2 账户。
  7. 从列表中选择存储帐户。
  8. 单击窗格底部的 “关联 ”。

验证转换模式:

  1. 在 NSP 中,转到 设置>关联资源
  2. 在列表中找到存储帐户。
  3. 验证 “访问模式” 列是否显示 “转换”。 转换是默认模式。

注释

保持过渡模式,以保持与现有网络设置的兼容性,同时受益于简化的规则管理。 请参阅 网络安全边界限制

转换模式首先评估 NSP 规则。 如果没有 NSP 规则与传入请求匹配,系统会回退到资源的现有防火墙规则。

步骤 3:为 Azure Databricks 无服务器计算添加入站访问规则

必须在 NSP 配置文件中创建入站访问规则,以允许来自 Azure Databricks 无服务器计算功能的流量进入您的 Azure 资源。

  1. 转到 Azure 门户中的网络安全边界。
  2. 在左侧边栏中,转到 “设置>配置文件”。
  3. 选择你的配置文件(例如,databricks-profile)。
  4. “设置” 下,单击“ 入站访问规则”。
  5. 单击 + 添加
  6. 配置规则:
    • 规则名称:输入描述性名称(例如 allow-databricks-serverless, )。
    • 源类型:选择 服务标记
    • 允许的源:选择 AzureDatabricksServerless。[your_workspace_region] (例如, AzureDatabricksServerless.EastUS2)。 使用区域标记限制对工作区区域中Azure Databricks IP 的访问,这减少了与全局标记相比的曝光率。
  7. 单击 添加

Tip

Azure Databricks建议使用区域服务标记(AzureDatabricksServerless.[your_workspace_region])来获得更严格的安全性。 将全局标记 AzureDatabricksServerless 添加到允许列表后,允许从所有 Azure Databricks 区域进行访问。 如果许多区域中的工作区需要访问存储,则可以使用多个区域服务标记。

如果使用区域范围的服务标记,请注意,某些区域终结点可能位于与主存储终结点不同的Azure区域中。 例如,日本东部的工作区其辅助工件存储位于日本西部。 在这种情况下,还必须为次要区域添加服务标记。 若要查看工作区区域的 FQDN,请参阅 元存储、项目 Blob 存储、系统表存储、日志 Blob 存储和事件中心终结点 IP 地址

步骤 4:验证配置

配置 NSP 后,验证Azure Databricks无服务器计算是否可以访问存储和监视 NSP 活动。

测试从无服务器计算进行访问

  1. 转到 Azure 门户中的 Azure 资源。

  2. 转到 “安全性 + 网络>网络”。

  3. 验证资源显示与你的网络安全边界的关联。

  4. 验证状态是否显示 转换模式

  5. 查看与你的配置文件关联的入站规则,以确认列出了 AzureDatabricksServerless 规则(区域性或全局性)。

  6. 在 Azure Databricks 工作区中,运行测试查询以确认无服务器计算可以访问您的资源。 例如,若要测试对 ADLS Gen2 存储帐户的访问:

    SELECT * FROM delta.`abfss://[email protected]/path/to/data` LIMIT 10;
    

    如果查询成功,则 NSP 配置正常工作。

监视 NSP 活动

监视 NSP 规则允许或拒绝的连接尝试:

  1. 转到 Azure 门户中的 Azure 资源。

  2. 转到 监控>诊断设置

  3. 单击“+ 添加诊断设置”。

  4. 选择要监视的日志类别。 对于Azure 存储帐户,请选择:

    • StorageRead
    • StorageWrite
  5. 选择目标:

    • Log Analytics 工作区(建议用于查询和分析)
    • 存储账户(用于长期存档)
    • 事件中心 (用于流式传输到外部系统)
  6. 单击“ 保存”。

    Tip

    诊断日志显示与 NSP 规则匹配的尝试连接与资源防火墙规则。 在过渡模式下,日志记录指示每个请求是被 NSP 规则允许,还是回退到资源防火墙。

了解 NSP 访问模式

NSP 支持两种访问模式: 转换模式强制模式。 对于大多数用例,Azure Databricks 建议无限期地保持过渡模式。

转换模式 (建议):

  • 首先评估 NSP 规则,如果没有 NSP 规则匹配,则回退到资源防火墙规则。
  • 允许将 NSP 与现有网络配置一起使用。
  • 与服务终结点、经典计算配置和公共网络流量模式兼容。

强制模式 (不建议大多数客户使用):

  • 绕过资源防火墙规则,阻止与 NSP 规则不匹配的所有流量。 强制模式不仅影响Azure Databricks,还影响通过资源防火墙允许的任何其他服务—这些服务必须已载入到 NSP 才能继续工作。
  • 如果你使用服务终结点从任何 Azure Databricks 工作区连接到存储,请保持过渡模式。

Warning

保持过渡模式,以保持与现有网络设置的兼容性,同时受益于简化的规则管理。 请参阅 网络安全边界限制

使用出站 IP 地址配置对其他资源的访问

重要

从 2026 年 2 月中旬开始,Azure Databricks公共终结点上以 JSON 格式发布出站 IP,这是用于检索这些 IP 的支持方法。

如果使用公共预览版中的稳定 IP 或从帐户控制台中的网络连接配置(NCC)复制它们,则必须在 2026 年 5 月 25 日之前迁移到新方法。 2026 年 5 月 25 日之后,旧 IP 列表将停用,不完整的迁移可能会导致工作负荷中断。

对于与你的工作区位于同一区域的 Azure 存储帐户之外的其他资源,无服务器计算将使用公共 IP 地址来访问这些资源。

若要允许无服务器访问具有防火墙的资源,必须将Azure Databricks发布的 CIDR 块添加到允许列表。 有关已发布的出站 IP 地址的详细信息,请参阅无服务器计算防火墙预览版的出站 IP

查找你的环境的出站 IP 地址

  1. 下载 ip-ranges.json
  2. 将 JSON 筛选为仅包含适用于你的工作区的条目。 仅保留符合以下条件的条目:
    • serviceDatabricks
    • typeoutbound
    • region 与您的工作区区域匹配
    • platformazure
  3. 在你的资源防火墙中允许来自匹配条目的 ipv4Prefixes(CIDR 块)。

自动执行更新,使允许列表保持最新状态

必须自动更新允许列表。 Azure Databricks 会随着时间推移而变更这些 IP 地址,因此静态的一次性副本最终会导致无服务器连接失效。 更新每隔 30 天发布一次,发布后 60 天后,新 IP 就会激活,并定期添加新区域。 若要使允许列表保持最新状态,

  1. 按计划提取 ip-ranges.json (例如每 30 天)。
  2. 将其 timestampSeconds 字段与保存的副本进行比较,以检测更改。
  3. 如果发生了更改,请检查你的 platformregion 的 IP 地址是否发生了变化。
  4. 将任何新的 IP 添加到防火墙允许列表中。
  5. 保存文件以供下次比较。

Considerations

在为无服务器计算配置防火墙之前,请查看以下注意事项:

  • 配置防火墙还会影响来自经典计算资源的连接。 你还必须更新资源访问规则,以允许来自经典计算资源的连接的 IP。
  • 在从无服务器计算环境测试连接之前,请留出一些时间,让防火墙规则完成传播。

后续步骤

  • 配置与 VPC 中资源的私有连接:使用 PrivateLink 从无服务器计算环境安全且隔离地访问 VPC 中的资源。 请参阅 配置 VNet 中资源的专用连接
  • 管理专用终结点规则:查看、更新和删除网络连接配置的专用终结点规则。 请参阅管理专用终结点规则