メインコンテンツまでスキップ

サーバレス コンピュート アクセス用のファイアウォールを構成する

備考

プレビュー

この機能は パブリック プレビュー段階です。 このプレビューに参加するには、Databricks アカウント チームにお問い合わせください。

この記事では、 Databricks アカウントコンソールの UI を使用して、サーバレス コンピュートのファイアウォールを設定する方法について説明します。 ネットワーク接続構成 API を使用することもできます。ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。

注記

2024 年 10 月 7 日より、 Databricks は、サーバレス コンピュート リソースが外部リソースに接続することで発生するネットワーク費用を顧客に請求するようになりました。 サーバレス ネットワーク請求は段階的に展開されているため、請求が徐々に変更される可能性があります。 課金の詳細については、「 Databricks 価格」を参照してください。

サーバレス コンピュートのファイアウォール有効化の概要

サーバレス ネットワーク接続は、ネットワーク接続構成 (NCC) で管理されます。 アカウント admins はアカウント コンソールで NCC を作成し、NCC を 1 つ以上のワークスペースにアタッチできます

NCC には IP のリストが含まれています。 NCC がワークスペースに接続されている場合、そのワークスペース内のサーバレス コンピュートは、これらの IP アドレスの 1 つを使用してリソースを接続します。 これらのネットワークをリソース ファイアウォールで許可リストに登録できます。

NCC ファイアウォールの有効化は、サーバレス SQLウェアハウス、ジョブ、ノートブック、 Delta Live Tables パイプライン、およびモデルサービング エンドポイントからサポートされます。

NCC の詳細については、「 ネットワーク接続構成 (NCC) とは」を参照してください。

必要条件

  • ワークスペースは Premium プラン以上である必要があります。

  • Databricksアカウント管理者である必要があります。

  • 各NCCは、最大50のワークスペースにアタッチできます。

  • 各 Databricks アカウントには、サポートされているリージョンごとに最大 10 個の NCC を含めることができます。 サポートされているリージョンの一覧については、「 Databricks のクラウドとリージョン」を参照してください

  • ターゲット リソースは、パブリックにアクセス可能である必要があります。

ステップ 1: ネットワーク接続構成を作成し、安定した IP をコピーする

Databricks では、同じビジネス ユニット内のワークスペースと、同じリージョンを共有するワークスペース間で NCC を共有することをお勧めします。

  1. アカウント管理者として、アカウントコンソールに移動します。
  2. サイドバーで、「 クラウドリソース 」をクリックします。
  3. [ネットワーク] をクリックします。
  4. [ネットワーク接続の構成] をクリックします。
  5. [ ネットワーク接続構成の追加] をクリックします。
  6. NCC の名前を入力します。
  7. 地域を選択します。 これは、ワークスペースのリージョンと一致する必要があります。
  8. [ 追加 ] をクリックします。
  9. 「デフォルト・ルール 」タブをクリックします。
  10. [Stable IPs] で、[ Copy all IPs ] をクリックし、IP のリストを保存します。

ステップ 2: NCC をワークスペースにアタッチする

NCC は、NCC と同じリージョン内の最大 50 のワークスペースにアタッチできます。

APIを使用して NCC をワークスペースにアタッチするには、アカウント ワークスペース APIを参照してください。

  1. アカウントコンソールサイドバーで、[ ワークスペース ] をクリックします。
  2. ワークスペースの名前をクリックします。
  3. [ ワークスペースの更新 ] をクリックします。
  4. [ネットワーク接続設定 ] フィールドで、NCC を選択します。表示されない場合は、ワークスペースと NCC の両方に同じリージョンを選択していることを確認します。
  5. 更新 をクリックします。
  6. 変更が反映されるまで10分待ってください。
  7. ワークスペースで実行中のサーバレス コンピュート リソースを再起動します。

手順 3: リソース アクセス規則を更新して IP を許可リストに登録する

安定した IP をリソース アクセス ルールに追加します。 詳細についてはAWS、AWS ドキュメントの「 グローバル条件コンテキストキー 」を参照してください。

ストレージ ファイアウォールを作成すると、従来のコンピュート プレーン リソースからリソースへの接続にも影響します。 また、リソースアクセスルールを更新して、クラシックコンピュートリソースから接続するIPを許可リストに登録する必要があります。

NCC ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。 AmazonS3ワークスペースと同じリージョン内の バケットの読み取りまたは書き込みを行う場合、サーバレス コンピュート リソースは、S3 ゲートウェイAWS エンドポイントを使用して に直接アクセスします。これは、サーバレス SQL コンピュートが、 AWS アカウント内のワークスペースストレージバケットと、同じリージョン内の他の S3 データソースに対して読み取りと書き込みを行う場合に適用されます。

最終更新