ドメイン名ファイアウォールルールの構成
企業のファイアウォールがドメイン名に基づくトラフィックをブロックしている場合は、Databricksリソースへのアクセスを確保するために、Databricksドメイン名へのHTTPSおよびWebSocketトラフィックを許可する必要があります。2つのオプションから選択できます。1つはより許容的で構成が簡単で、もう1つはワークスペースドメインに固有です。
オプション 1: トラフィックを許可する *.cloud.databricks.com
*.cloud.databricks.com
へのHTTPS およびWebSocketトラフィックを許可するようにファイアウォールルールを更新します。これはオプション2よりも許容的ですが、アカウント内の各Databricksワークスペースのファイアウォールルールを更新する手間が省けます。
オプション 2: Databricks ワークスペースとアカウント コンソールへのトラフィックのみを許可する
アカウント内の各ワークスペースにファイアウォールルールを設定する場合は、以下の手順が必要です。
-
ワークスペースのドメインを特定する
Databricksワークスペースは2つのドメイン名を使用します。1つ目は、ログインに使用するものです。たとえば、バニティドメイン名をお持ちの場合は
yourcompany.cloud.databricks.com
、バニティドメイン名をお持ちでない場合はdbc-<random-string>.cloud.databricks.com
です。2番目のドメインを見つけるには、最初のドメインにログインします。ログインすると、ブラウザのアドレスバーに
https://<first-domain>/?o=<workspace-id>
が表示されます。<workspace-id>
は数字の文字列です。
一部のワークスペースの種類では、ログイン URL にワークスペース ID が表示されません。 URL に ?o=
の後に数字の文字列が続かない場合は、Databricks アカウント チームに連絡してワークスペース ID を取得してください。
2番目のドメインの形式はdbc-dp-<workspace-id>.cloud.databricks.com
です。例えば、ワークスペースIDが 123456
の場合、2つ目のドメインは dbc-dp-123456.cloud.databricks.com
です。
2. そのネットワークからアカウントコンソールにアクセスする必要がある場合は、そのネットワークへのトラフィックも許可してください。
accounts.cloud.databricks.com
3. ファイアウォールのルールを更新する
ステップ1で特定した2つのドメインへのHTTPSとWebSocketトラフィックを許可するように、ファイアウォールルールを更新します。
UIアセットのCDNドメインへのトラフィックを許可する
Databricks UI は、コンテンツ配信ネットワーク (CDN) ドメインから CSS、JavaScript、画像などの静的アセットを読み込みます。JavaScript は許可するが CSS やフォント ファイルはブロックするなど、アセット タイプを選択的にブロックすると、UI が壊れる可能性があります。
UI を機能させ続けるには、CDN ドメインからのすべてのアセット タイプを許可します。
https://ui-assets.cloud.databricks.com/
- Databricks UI アセットhttps://*.cloud.databricksusercontent.com
- ノートブックアセット
ファイアウォール構成の推奨事項
- リストされているすべての CDN ドメインに同じルールを適用します。
- CSS、JavaScript、画像、フォント ファイルの選択的なフィルタリングは避けてください。
- すべての CDN ドメインへの HTTPS (ポート 443) を許可します。