이 페이지에서는 Azure Databricks 작업 영역에 대한 IP 액세스 목록을 구성하는 방법을 설명합니다. 이 문서에서는 Databricks CLI를 사용하여 수행할 수 있는 가장 일반적인 작업에 대해 설명합니다.
IP 액세스 목록 API를 사용할 수도 있습니다.
비고
작업 영역 IP 액세스 목록과 계정 수준 컨텍스트 기반 수신 컨트롤이 함께 적용됩니다. 요청은 두 컨트롤에서 모두 성공하도록 허용해야 합니다.
컨텍스트 기반 인그레스 제어는 신원, 요청 유형 및 네트워크 원본 조건을 결합하여 보다 세밀한 보안을 제공합니다. 계정 수준에서 구성되며 단일 정책은 여러 작업 영역을 제어하여 조직 전체에서 일관된 적용을 보장할 수 있습니다. Databricks는 액세스를 관리하는 기본 방법으로 컨텍스트 기반 인그레스 컨트롤을 사용할 것을 권장합니다. 컨텍스트 기반 수신 제어를 참조하세요.
작업 영역 IP 액세스 목록을 사용하여 IP 주소에만 따라 제한 계층을 추가할 수 있지만 컨텍스트 기반 수신에서 허용하는 것 이상으로 액세스를 확장할 수는 없습니다.
요구 사항
- 이 기능을 사용하려면 프리미엄 플랜이 필요합니다.
- IP 액세스 목록은 IPv4(인터넷 프로토콜 버전 4) 주소만 지원합니다.
작업 영역에서 보안 클러스터 연결을 사용하도록 설정하는 경우 컴퓨팅 평면에서 컨트롤 플레인에 액세스하는 데 사용하는 모든 공용 IP를 허용 목록에 추가하거나 백 엔드 Private Link를 구성해야 합니다. 그렇지 않으면 클래식 컴퓨팅 리소스를 시작할 수 없습니다.
예를 들어 VNet 삽입을 사용하는 작업 영역에서 보안 클러스터 연결을 사용하도록 설정하는 경우 Databricks는 작업 영역에 안정적인 송신 공용 IP가 있는 것이 좋습니다. 해당 공용 IP 및 다른 모든 IP는 허용 목록에 있어야 합니다. Azure 가상 네트워크에서 Azure Databricks 배포(VNet 삽입)를 참조하세요. 또는 Azure Databricks 관리형 VNet을 사용하고 공용 IP에 액세스하도록 관리되는 NAT 게이트웨이를 구성하는 경우 해당 IP가 허용 목록에 있어야 합니다. 자세한 내용은 Databricks 커뮤니티 게시물을 참조하세요.
작업 영역에 IP 액세스 목록 기능이 사용하도록 설정되어 있는지 확인합니다.
작업 영역에 IP 액세스 목록 기능이 사용하도록 설정되어 있는지 확인하려면 다음을 수행합니다.
databricks workspace-conf get-status enableIpAccessLists
작업 영역에 대한 IP 액세스 목록 기능 사용 또는 사용 안 함
JSON 요청 본문에서 enableIpAccessLists를 true(사용하도록 설정됨) 또는 false(사용하지 않도록 설정됨)으로 지정합니다.
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
IP 액세스 목록 추가
IP 액세스 목록 기능을 사용하도록 설정하고 작업 영역에 대한 허용 목록 또는 차단 목록이 없으면 모든 IP 주소가 허용됩니다. 허용 목록에 IP 주소를 추가하면 목록에 없는 모든 IP 주소가 차단됩니다. 의도하지 않은 액세스 제한을 방지하려면 변경 내용을 주의 깊게 검토하세요.
컴퓨팅 평면에서 컨트롤 플레인에 액세스하는 데 사용하는 모든 공용 IP를 허용 목록에 추가해야 합니다.
IP 액세스 목록에는 목록의 이름 및 목록 유형인 레이블이 있습니다. 목록 유형은 ALLOW(허용 목록) 또는 BLOCK(허용 목록에 있더라도 제외됨을 의미하는 차단 목록)입니다.
예를 들어 허용 목록을 추가하려면 다음을 수행합니다.
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
IP 액세스 목록 보기
databricks ip-access-lists list
IP 액세스 목록 업데이트
업데이트할 다음 값 중 하나 이상을 지정합니다.
-
label— 이 목록에 대한 레이블입니다. -
list_type—ALLOW(허용 목록) 또는BLOCK(허용 목록에 있더라도 제외됨을 의미하는 차단 목록). -
ip_addresses- IP 주소 및 CIDR 범위의 JSON 배열을 문자열 값으로 사용합니다. -
enabled— 이 목록을 사용할 수 있는지 여부를 지정합니다.true또는false를 전달합니다.
응답은 ID 및 수정 날짜에 대한 추가 필드와 함께 전달한 개체의 복사본입니다.
예를 들어 목록을 사용하지 않도록 설정하려면 다음을 수행합니다.
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
IP 액세스 목록 삭제
IP 액세스를 삭제하려면 다음을 수행합니다.
databricks ip-access-lists delete <list-id>
다음은?
- 계정 콘솔에 대한 IP 액세스 목록 구성: 계정 콘솔 액세스에 대한 IP 제한을 설정하여 계정 수준 설정 및 API에 액세스할 수 있는 네트워크를 제어합니다. 계정 콘솔에 대한 IP 액세스 목록 구성을 참조 하세요.
- 프라이빗 연결 구성: Private Link를 사용하여 공용 인터넷을 우회하여 가상 네트워크에서 Azure 서비스에 대한 안전하고 격리된 액세스를 설정합니다. Azure Private Link 개념을 참조하세요.
- VNet 삽입 구성: 향상된 네트워크 보안을 위해 안정적인 송신 공용 IP를 사용하여 VNet 삽입을 설정합니다. Azure 가상 네트워크에서 Azure Databricks 배포(VNet 삽입)를 참조하세요.