Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A computação serverless do Azure Databricks liga-se aos seus recursos cloud através da infraestrutura de rede gerida. Se as firewalls protegem os seus recursos na cloud, deve permitir tráfego com origem em computação sem servidor. O método de configuração depende do tipo de recurso:
-
Contas de armazenamento Azure na região do seu espaço de trabalho: Associe a sua conta de armazenamento a um perímetro de segurança de rede (NSP) e permita a etiqueta de
AzureDatabricksServerlessserviço.
- Outros recursos: Permitir a lista dos endereços IP de saída publicados pelo Azure Databricks.
Observação
Se precisar de conectividade dedicada e privada aos seus recursos, use uma ligação Private Link de saída para aceder ao seu recurso em vez de permitir que os endereços IP sejam listados. Consulte Configurar conectividade privada para recursos em sua rede virtual.
Configure um perímetro de segurança de rede Azure para contas de armazenamento Azure
Um perímetro de segurança de rede Azure (NSP) é uma funcionalidade incorporada do Azure que cria um limite lógico de isolamento para os seus recursos de plataforma como serviço (PaaS). Quando associa as suas contas de armazenamento a um NSP, gere o tráfego de rede centralmente com um conjunto de regras simplificado, em vez de manter listas complexas de endereços IP individuais ou IDs de sub-rede. Esta secção descreve como configurar um NSP para controlar o acesso computacional serverless às suas contas de armazenamento Azure usando o portal Azure.
O NSP suporta acesso a armazéns SQL serverless, jobs, notebooks, Lakeflow Spark Declarative Pipelines e endpoints de disponibilização de modelos.
Importante
Até 9 de junho de 2026, qualquer conta de armazenamento do Azure existente que inclua na lista de permissões IDs de subrede sem servidor do Azure Databricks deve ser integrada num perímetro de segurança de rede e deve permitir a etiqueta de serviço AzureDatabricksServerless.
Principais benefícios
Usar o NSP para tráfego de saída serverless no Azure Databricks melhora a sua postura de segurança ao mesmo tempo que reduz significativamente a sobrecarga operacional.
| Benefício | Description |
|---|---|
| Redução de custos | O tráfego enviado pelos endpoints de serviço mantém-se na espinha dorsal do Azure e não incorre em custos de processamento de dados. |
| Gestão simplificada | Azure Databricks recomenda o uso de uma etiqueta regional de serviço para limitar o acesso a uma região específica, por exemplo, AzureDatabricksServerless.EastUS2. Toda a comunicação é encaminhada através da espinha dorsal do Azure. Se os espaços de trabalho em muitas regiões precisarem de acesso, pode usar múltiplas etiquetas de serviço regionais. Para a lista completa de regiões Azure suportadas, veja regiões Azure Databricks. |
| Gestão de segurança centralizada | Gerir políticas de segurança em vários tipos de recursos — incluindo armazenamento, cofres de chaves e bases de dados — dentro de um único perfil NSP. |
Serviços Azure suportados
A etiqueta de serviço AzureDatabricksServerless é suportada apenas para regras NSP de entrada direcionadas a Armazenamento do Azure (incluindo ADLS Gen2) na região do espaço de trabalho.
Requirements
Antes de começar, você deve atender aos seguintes requisitos:
- Você deve ser um administrador de conta do Azure Databricks.
- Deve ter permissões de Contribuidor ou Proprietário no recurso Azure que pretende configurar.
- Deve ter permissão para criar recursos de perímetro de segurança de rede na sua subscrição do Azure.
- O seu espaço de trabalho Azure Databricks e os recursos Azure devem estar na mesma região Azure para um desempenho ótimo e para evitar custos de transferência de dados entre regiões.
Passo 1: Crie um perímetro de segurança de rede e anote o ID do perfil
Para criar o perímetro e anotar o seu ID de perfil, faça o seguinte:
Inicie sessão no portal Azure.
Na caixa de pesquisa no topo, introduza perímetros de segurança de rede e selecione-o nos resultados.
Clique em + Criar.
No separador Informações Básicas, introduza as seguintes informações:
- Assinatura: selecione sua assinatura do Azure.
- Grupo de recursos: Selecione um grupo de recursos existente ou crie um.
-
Nome: Introduza um nome para o seu NSP (por exemplo,
databricks-nsp). - Região: Selecione a região para o seu NSP. A região deve corresponder à sua região de espaço de trabalho do Azure Databricks e à região da sua conta de armazenamento Azure.
-
Nome do perfil: Introduza um nome de perfil (por exemplo,
databricks-profile).
Clique em Rever e criar e, em seguida, Criar.
Depois de criar o NSP, aceda-o no portal do Azure.
Na barra lateral esquerda, vai a Definições>Perfis.
Crie ou selecione o seu perfil (por exemplo,
databricks-profile).Copie o ID do Recurso para o perfil. Precisas deste ID para associar recursos programáticamente.
Tip
Guarde o ID do perfil num local seguro. Deve tê-lo disponível se quiser associar recursos usando a CLI do Azure ou API em vez do portal Azure.
Passo 2: Associe a sua conta de armazenamento ao NSP em modo de transição
Deve associar cada conta de armazenamento Azure que pretende aceder a partir do Azure Databricks serverless compute ao seu perfil NSP, seguindo os passos abaixo:
- Vá ao perímetro de segurança de rede no portal Azure.
- Na barra lateral esquerda, vai a Recursos Associados em Definições.
- Clique + Adicionar>recursos associados com um perfil existente.
- Selecione o perfil que criou no Passo 1 (por exemplo,
databricks-profile). - Clique em Associar.
- No painel de seleção de recursos, filtre por
Microsoft.Storage/storageAccountspara associar uma conta Azure Data Lake Storage Gen2. - Selecione as suas contas de armazenamento da lista.
- Clique em Associar no fundo do painel.
Verificar modo de transição:
- No NSP, vá a Definições>Recursos associados.
- Localize a sua conta de armazenamento na lista.
- Verifica se a coluna Modo de Acesso mostra Transição. A transição é o modo padrão.
Observação
Mantenha-se em modo de transição para manter a compatibilidade com a sua configuração de rede atual, beneficiando de uma gestão simplificada das regras. Veja limitações do perímetro de segurança de rede.
O modo de transição avalia primeiro as regras NSP. Se nenhuma regra NSP corresponder ao pedido recebido, o sistema recorre às regras de firewall existentes do recurso.
Passo 3: Adicionar uma regra de acesso de entrada para a computação sem servidor do Azure Databricks
Deve criar uma regra de acesso de entrada no seu perfil NSP para permitir o tráfego da computação sem servidor do Azure Databricks para os seus recursos do Azure.
- Vá ao perímetro de segurança de rede no portal Azure.
- Na barra lateral esquerda, vai a Definições>Perfis.
- Selecione o seu perfil (por exemplo,
databricks-profile). - Em Definições, clique em Regras de acesso de entrada.
- Clique em + Adicionar.
- Configure a regra:
-
Nome da regra: Insira um nome descritivo (por exemplo,
allow-databricks-serverless). - Tipo de Fonte: Selecionar Etiqueta de Serviço.
-
Fontes permitidas: Selecionar AzureDatabricksServerless.[ your_workspace_region] (por exemplo,
AzureDatabricksServerless.EastUS2). A utilização de uma tag regional limita o acesso aos IPs do Azure Databricks na região do seu espaço de trabalho, o que reduz a exposição em comparação com a tag global.
-
Nome da regra: Insira um nome descritivo (por exemplo,
- Clique em Adicionar.
Tip
O Azure Databricks recomenda usar uma etiqueta de serviço regional (AzureDatabricksServerless.[your_workspace_region]) para maior segurança. Adicionar a etiqueta global AzureDatabricksServerless à lista de permissões permite o acesso de todas as regiões do Azure Databricks. Se os espaços de trabalho em muitas regiões precisarem de acesso ao seu armazenamento, pode usar múltiplas etiquetas de serviço regionais.
Passo 4: Verificar a configuração
Depois de configurar o seu NSP, verifique se a computação serverless do Azure Databricks consegue aceder ao seu armazenamento e monitorizar a atividade do NSP.
Testar o acesso a partir de computação sem servidor
Aceda ao seu recurso Azure no portal Azure.
Vai para Segurança + rede>Redes.
Verifique se o recurso apresenta uma associação com o perímetro de segurança da sua rede.
Verifique se o estado mostra o modo Transição.
Consulte as regras de entrada associadas ao seu perfil para confirmar que a
AzureDatabricksServerlessregra está listada (seja regional ou global).No seu espaço de trabalho Azure Databricks, execute uma consulta de teste para confirmar que a computação serverless pode aceder ao seu recurso. Por exemplo, para testar o acesso a uma conta de armazenamento ADLS Gen2:
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;Se a consulta for bem-sucedida, a configuração do seu NSP está a funcionar corretamente.
Monitorizar a atividade do NSP
Para monitorizar tentativas de ligação que as regras NSP permitem ou recusam:
Aceda ao seu recurso Azure no portal Azure.
Aceda a Monitorização>Definições de diagnóstico.
Clique em +Adicionar definição de diagnóstico.
Seleciona as categorias de registos que queres monitorizar. Para contas Armazenamento do Azure, selecione:
- StorageRead
- StorageWrite
Selecione um destino:
- Espaço de trabalho de Log Analytics (recomendado para consultas e análises)
- Conta de armazenamento (para arquivo a longo prazo)
- Event Hub (para streaming para sistemas externos)
Clique em Salvar.
Tip
Os registos de diagnóstico mostram tentativas de ligação que correspondem às regras NSP em comparação com as regras de firewall de recursos. No modo de transição, os registos indicam se cada pedido foi permitido por uma regra NSP ou se foi revertido para o firewall de recursos.
Compreender os modos de acesso NSP
O NSP suporta dois modos de acesso: modo de transição e modo forçado. O Azure Databricks recomenda permanecer em modo de transição indefinidamente na maioria dos casos de uso.
Modo de transição (recomendado):
- Avalia primeiro as regras NSP e, em seguida, recorre às regras da firewall de recursos se nenhuma regra NSP corresponder.
- Permite usar o NSP juntamente com configurações de rede existentes.
- Compatível com endpoints de serviço, configurações clássicas de computação e padrões de tráfego de rede pública.
Modo forçado (não recomendado para a maioria dos clientes):
- Ignora as regras do firewall de recursos, bloqueando todo o tráfego que não corresponde a uma regra NSP. O modo forçado afeta não só o Azure Databricks, mas também quaisquer outros serviços que tenha permitido através do seu firewall de recursos — esses serviços devem ter sido integrados no NSP para continuarem a funcionar.
- Permaneça no modo de transição se usar endpoints de serviço para se ligar ao armazenamento a partir de qualquer espaço de trabalho do Azure Databricks.
Warning
Mantenha-se em modo de transição para manter a compatibilidade com a sua configuração de rede atual, beneficiando de uma gestão simplificada das regras. Veja limitações do perímetro de segurança de rede.
Configure o acesso a outros recursos usando endereços IP de saída
Importante
A partir de meados de fevereiro de 2026, o Azure Databricks publica IPs de saída em formato JSON num endpoint público, que é o método suportado para recuperar esses IPs.
Se usar IPs estáveis da Pré-visualização Pública ou os ter copiado de uma configuração de conectividade de rede (NCC) na consola da conta, deve migrar para o novo método antes de 25 de maio de 2026. Após 25 de maio de 2026, as listas de IP legadas serão desativadas, e migrações incompletas poderão resultar em interrupções na carga de trabalho.
Para recursos que não sejam contas de armazenamento Azure na mesma região do seu espaço de trabalho, a computação serverless usa endereços IP públicos para aceder aos seus recursos.
Para permitir que servidores sem servidor acedam a recursos com firewalls, deve adicionar os blocos CIDR publicados pelo Azure Databricks à sua lista de permissões. Para mais informações sobre os endereços IP de saída publicados, consulte IPs de saída para a pré-visualização da firewall da computação sem servidor.
Encontre os endereços IP de saída para o seu ambiente
- Baixar
ip-ranges.json. - Filtra o JSON para as entradas que se aplicam ao teu espaço de trabalho. Mantém apenas as entradas onde:
-
serviceéDatabricks -
typeéoutbound -
regionCorresponde à sua região de espaço de trabalho -
platformJogosazure
-
- Permita listar os
ipv4Prefixes(blocos CIDR) das entradas correspondentes no seu firewall de recursos.
Automatize as atualizações para manter a sua lista de permissões atualizada
Deve automatizar as atualizações da sua lista de permissões. O Azure Databricks altera estes IPs ao longo do tempo, por isso uma cópia estática e única acaba por quebrar a conectividade serverless. As atualizações publicam-se com frequência até uma vez a cada 30 dias, novas IPs tornam-se ativas já 60 dias após a publicação, e novas regiões são adicionadas periodicamente. Para manter a sua lista de permissões atualizada:
- Obter
ip-ranges.jsonde acordo com uma programação (por exemplo, a cada 30 dias). - Compare o respetivo campo
timestampSecondscom a sua cópia guardada para detetar alterações. - Se isso mudou, verifica se os IPs do teu
platformeregionmudaram. - Atualize a sua lista de permissões do firewall com quaisquer IPs novos.
- Guarde o ficheiro para a próxima comparação.
Considerations
Veja as seguintes considerações antes de configurar um firewall para computação serverless:
- Configurar um firewall também afeta a conectividade dos recursos de computação clássicos. Também deve atualizar as suas regras de acesso a recursos para permitir os IPs para ligações a partir de recursos de computação clássicos.
- Aguarde algum tempo pela propagação das regras de firewall antes de testar a conectividade a partir de um ambiente de computação sem servidor.
Passos seguintes
- Configure a conectividade privada aos recursos da sua VPC: Use o PrivateLink para estabelecer acesso seguro e isolado aos recursos da sua VPC a partir de computação serverless. Consulte Configurar conectividade privada para recursos em sua rede virtual.
- Gerir regras de endpoint privado: Visualize, atualize e remova regras de endpoint privado para a sua configuração de conectividade de rede. Consulte Gerir as regras de ponto de extremidade privado.