Rede clássica de plano de computação
Este artigo apresenta recursos para personalizar o acesso à rede entre o plano de controle Databricks e o plano compute clássico. A conectividade entre o plano de controle e o plano serverless compute é sempre feita pelo backbone da rede cloud e não pela Internet pública.
Para saber mais sobre o plano de controle e o plano compute , consulte Visão geral da arquitetura do Databricks.
Para saber mais sobre os sites clássicos compute e serverless compute, consulte Types of compute.
O recurso nesta seção concentra-se em estabelecer e proteger a conexão entre o plano de controle do Databricks e o plano compute clássico. Esta conexão está no rótulo conforme 2 do diagrama abaixo:
O que é conectividade segura clusters ?
Todos os novos espaços de trabalho são criados com a conectividade segura cluster por default. A conectividade cluster segura significa que os VPCs do cliente não têm portas abertas e o recurso de plano compute clássico não tem endereços IP públicos. Isso simplifica a administração da rede, eliminando a necessidade de configurar portas em grupos de segurança ou emparelhamento de rede.
A conectividade segura do cluster garante que os clusters se conectem ao plano de controle do Databricks por meio de um túnel seguro usando HTTPS (porta 443) sem exigir endereços IP públicos nos nós do cluster. Essa conexão é estabelecida usando um relé de conectividade cluster seguro, que separa o tráfego de rede do aplicativo da Web e REST API da tarefa de gerenciamento cluster.
Embora o plano serverless compute não use o relé de conectividade cluster seguro para o plano compute clássico, o recurso serverless compute não tem endereços IP públicos
Em default, a conectividade segura cluster está ativada. Se o senhor desmarcar a configuração Enable private cluster ao criar seu workspace, o workspace usará um GKE público cluster e a conectividade segura cluster será desativada.
Observação
Há um endereço IP público no seu site account para controle do GKE (Kubernetes) cluster, conhecido como GKE kube-master
. O kube-master
faz parte da implementação do Google Cloud default GKE. Seu endereço IP está em sua nuvem do Google account, mas não em seu plano clássico compute VPC. Esse endereço IP é gerenciado pelo GKE e tem uma regra de firewall que permite o tráfego somente do plano de controle do Databricks.
implantar um espaço de trabalho em sua própria VPC
As clouds virtuais privadas (VPC) do Google clouds permitem provisionar uma seção logicamente isolada das clouds do Google onde você pode iniciar o recurso GCP em uma rede virtual. A VPC é o local de rede dos clusters do Databricks. Por default, o Databricks cria e gerencia um VPC para o espaço de trabalho do Databricks.
Em vez disso, você pode fornecer sua própria VPC para hospedar seus clusters do Databricks, permitindo manter mais controle de sua própria account do GCP e limitar as conexões de saída. Para aproveitar uma VPC gerenciada pelo cliente, você deve especificar uma VPC ao criar pela primeira vez o espaço de trabalho do Databricks. Você pode compartilhar VPCs entre workspace, mas não pode compartilhar sub-redes entre workspace. Para obter mais informações, consulte Configurar uma VPC gerenciada pelo cliente.
Habilitar a conectividade privada do plano de controle para o plano de computação
O serviço privado do Google Connect (PSC) fornece conectividade privada de VPCs clouds do Google para o serviço clouds do Google sem expor o tráfego à rede pública. Isso permite a conectividade privada da compute do Databricks em uma VPC gerenciada pelo cliente para o serviço principal de um workspacedo Databricks.
Para mais informações, consulte Habilitar serviço privado Connect para seu workspace.