クラシック コンピュート プレーン ネットワーキング
この記事では、 Databricks コントロール プレーンと従来のコンピュート プレーン間のネットワーク アクセスをカスタマイズする機能について説明します。 コントロール プレーンとサーバレス コンピュート プレーン間の接続は、パブリック インターネットではなく、常にクラウド ネットワーク バックボーン経由で行われます。
コントロールプレーンとコンピュートプレーンの詳細については、アーキテクチャの概要Databricksを参照してください。
クラシック コンピュートとサーバレス コンピュートの詳細については、 コンピュートの種類を参照してください。
このセクションの機能は、 Databricks コントロール プレーンと従来のコンピュート プレーン間の接続の確立と保護に重点を置いています。 この接続には、次の図の 2 というラベルが付けられています。
セキュアなクラスター接続とは?
すべての新しいワークスペースは、デフォルトによる安全なクラスター接続を使用して作成されます。 セキュアなクラスター接続とは、顧客 VPC にはオープンポートがなく、クラシックコンピュートプレーンリソースにはパブリック IP アドレスがないことを意味します。 これにより、セキュリティグループやネットワークピアリングでポートを設定する必要がなくなり、ネットワーク管理が簡素化されます。
セキュアなクラスター接続により、クラスター・ノード上のパブリックIPアドレスを必要とせずに、HTTPS(ポート443)を使用したセキュア・トンネルを介してクラスターが Databricks コントロール・プレーンに接続できるようになります。 この接続は、セキュリティで保護されたクラスター接続リレーを使用して確立され、Web アプリケーションと REST API のネットワーク トラフィックをクラスター管理タスクから分離します。
サーバレス コンピュート プレーンはクラシック コンピュート プレーンのセキュア クラスター接続リレーを使用しませんが、サーバレス コンピュート リソースにはパブリック IP アドレスがありません。
独自の VPC にワークスペースをデプロイする
AWS Virtual Private Cloud (VPC) を使用すると、AWS クラウドの論理的に分離されたセクションをプロビジョニングして、仮想ネットワークで AWS リソースを起動できます。 VPCは、Databricks クラスターのネットワーク場所です。By デフォルト,Databricks VPCDatabricksは ワークスペースの を作成および管理します。
VPCDatabricks代わりに、 クラスターをホストする独自の を提供できるため、独自のAWS アカウントの制御を強化し、送信接続を制限できます。顧客管理VPC VPCを利用するには、Databricks ワークスペースを最初に作成するときに を指定する必要があります。詳細については、「顧客管理VPCの構成」を参照してください。
Databricks VPC を別の AWS VPC とピアリングする
By デフォルト,Databricks VPCDatabricksは ワークスペースの を作成および管理します。セキュリティを強化するために、クラスターに属するワーカーは、同じクラスターに属する他のワーカー とのみ 通信できます。 ワーカーは、Databricks VPC で実行されている他の EC2 インスタンスや他の AWS サービスと通信することはできません。 クラスターと同じ AWSで実行されている サービスがある場合、このファイアウォールの制限により、サービスと通信できない可能性があります。VPCDatabricksこのようなサービスは Databricks VPC の外部で実行し、その VPC とピアリングしてそれらのサービスに接続できます。 VPC ピアリングを参照してください。
コントロールプレーンからクラシックコンピュートプレーンへのプライベート接続を有効にする
AWS PrivateLink は、トラフィックをパブリックネットワークに公開することなく、AWS VPC およびオンプレミスネットワークから AWS サービスへのプライベート接続を提供します。 Private Link を有効にすることで、クラシック コンピュート プレーンからコントロールDatabricks プレーン内の ワークスペースのコア サービスへのプライベート接続を有効にすることができます。AWS
詳細については、「AWS PrivateLink を使用してプライベート接続を有効にする」を参照してください。