ネットワークセキュリティアーキテクチャ

Databricks は、 コントロールプレーン と コンピュートプレーン から動作します。

• コントロールプレーン には、DatabricksアカウントでDatabricksが管理するバックエンドサービスが含まれます。 Webアプリケーションはコントロールプレーンにあります。
• コンピュートプレーン は、データが処理される場所です。 使用するコンピュートに応じた2 種類のコンピュートプレーンが存在します。
  • クラシックDatabricksコンピュートの場合、コンピュート リソースは、いわゆる クラシック コンピュート プレーン のAWSアカウント内にあります。 これは、AWS アカウント内のネットワークとそのリソースを指します。クラシック コンピュート プレーン リソースは、ワークスペースと同じリージョンにあります。
  • サーバレス コンピュートの場合は、 Databricksアカウントの サーバレス コンピュート プレーン でサーバレス コンピュート リソースを実行します。 サーバレス コンピュート プレーン リソースは、ワークスペースのクラシック コンピュート プレーンと同じクラウド リージョンにあります。 ワークスペースを作成するときにこのリージョンを選択します。

クラシック コンピュートとサーバレス コンピュートの詳細については、「コンピュート」を参照してください。 追加のアーキテクチャ情報については、 「高レベルアーキテクチャ」を参照してください。

安全なネットワーク接続

Databricks はデフォルトで安全なネットワーク環境を提供しますが、組織に追加のニーズがある場合は、下の図に示すさまざまなネットワーク接続間のネットワーク接続機能を構成できます。

1. Databricks へのユーザーとアプリケーション : アクセスを制御し、ユーザーと Databricks ワークスペース間のプライベート接続を提供する機能を構成できます。 ユーザーからDatabricksへのネットワーキングを参照してください。
2. コントロール プレーンとクラシック コンピュート プレーン : クラスターなどのクラシック コンピュート リソースは、 AWSアカウントにデプロイされ、コントロール プレーンに接続します。 クラシック ネットワーク接続機能を使用して、独自の仮想プライベート クラウドにクラシック コンピュート プレーン リソースを展開し、クラスターからコントロール プレーンへのプライベート接続を有効にすることができます。 「クラシック コンピュート プレーン ネットワーキング」を参照してください。
3. サーバレス コンピュート プレーンとストレージ :リソースでファイアウォールを設定して、Databricksサーバレス コンピュート プレーンからのアクセスを許可できます。 サーバレス コンピュートプレーンのネットワーキングを参照してください。

AWSストレージネットワーク機能を設定して、従来のコンピュートプレーンとS3の間の接続を保護できます。詳細については、Databricks S3 コミット サービス関連の設定を構成するおよびレイクハウスフェデレーションのネットワークに関する推奨事項を参照してください。

コントロール プレーンとサーバレス コンピュート プレーン間の接続は、パブリック インターネットではなく、常にクラウド ネットワーク バックボーン経由で行われます。