AWS SQL Database のファイアウォール設定を構成する
プレビュー
Microsoft SQL Server コネクタは パブリック プレビュー段階です。
AWS には、Virtual Private Cloud (VPC) 内にデプロイされたサービス間のネットワークアクセスを制御するための複数のオプションが用意されています。これには、セキュリティグループルール、VPC ピアリング、AWS PrivateLink の設定が含まれます。SQL Serverコネクタのインジェスト ゲートウェイは、クラシック コンピュート内にデプロイされ、VPC 上のDatabricks ワークスペースに関連付けられている のコンテキスト内で実行されます。AWS
次の手順では、VPC ピアリングまたはAWS PrivateLink を使用して、Databricks on AWS (取り込みゲートウェイの従来のコンピュートを使用) とAWSでホストされているSQL Server (RDS または EC2 ベース) 間のアクセスを設定する方法について説明します。
Databricks ワークスペースを VPC にデプロイする
DatabricksワークスペースがVPCデプロイモード(クラシックコンピュート)を使用してデプロイされ、ネットワークトラフィックを制御できるカスタムVPC設定があることを確認します。Databricksは、 内の指定したサブネットでコンピュートリソース (クラスター) を起動するため、プライベートIPを使用してVPC などの他のAWS サービスに安全に接続できます。SQL Server詳細については、「 カスタム AWS 構成を使用してワークスペースを作成する」を参照してください。
オプション 1: VPC ピアリングを設定する
コンピュート リソースと SQL Server インスタンスが同じ VPCにある場合は、それらを直接接続できます。 次のように構成されていることを確認します。
- どちらのリソースも、それらの間でトラフィックをルーティングできるサブネット内にあります。
- セキュリティグループは、必要なトラフィック (TCP ポート 1433 や 3306 など) を許可するように設定されています。
- NACL は、必要なトラフィック フローを許可するように設定されています。
コンピュート リソースと SQL Server インスタンスが別々の VPC にある場合は、VPC 間でピアリング接続を確立する必要があります。 これにより、同じネットワークにいるかのように通信できます。次のことを確認してください。
- 各 VPC には一意の IP アドレス範囲があります。
- ルートテーブルが更新され、VPC 間でトラフィックが転送されるようになりました。
- セキュリティグループと NACL を更新して、ピアリングされた VPC からのトラフィックを許可しました。
オプション 2: AWS トランジットゲートウェイを使用する
複数の VPC を含むより複雑なアーキテクチャの場合、AWS Transit Gateway は VPC とオンプレミスネットワークを相互接続するハブとして機能します。手順の概要については、次の手順を参照してください。オンプレミスへの接続を設定する詳細な手順については、AWS ドキュメントの「 Amazon VPC トランジットゲートウェイの使用開始方法 」を参照してください。
- トランジットゲートウェイを作成します。
- AWS VPC をトランジットゲートウェイにアタッチします。
- サイト間VPNまたはAWS Direct Connectを使用してオンプレミス接続を設定します。
- ルートテーブルを更新します。AWS ドキュメントの Amazon VPC トランジットゲートウェイのトランジットゲートウェイルートテーブル を参照してください。
- セキュリティグループを設定します。AWS ドキュメントの セキュリティグループによるアクセスの制御 を参照してください。
- オンプレミスの SQL Server で Databricks VPC IP 範囲からの受信接続が許可されていることを確認します。
オプション 3: AWS PrivateLink と Network Load Balancer を併用する
VPC ピアリングやトランジットゲートウェイを使用せずに VPC または AWS アカウント間で Amazon RDS にアクセスするには、AWS PrivateLink と Network Load Balancer を併用できます。
- AWS PrivateLink は、トラフィックをパブリックインターネットに公開することなく、VPC、AWS サービス、およびオンプレミスネットワーク間のプライベート接続を提供します。
- Network Load Balancer (NLB) は、データベーストラフィックを Amazon RDS に転送します。