フロントエンドPrivateLinkを構成する

このページでは、ユーザーとDatabricksワークスペース間の フロントエンド のプライベート接続の構成ステップについて説明します。 ワークスペースのサーバレス実装にセキュリティを追加するには、フロントエンドのプライベート接続を使用する必要があります。

• Databricksでのプライベート接続の概要については、「クラシック コンピュート プレーン ネットワーク」を参照してください。
• Databricks へのバックエンドのプライベート接続を有効にするには、「 AWS PrivateLink を使用してプライベート接続を有効にする」を参照してください。

ワークスペースのフロントエンド PrivateLink を有効にする

フロントエンドの PrivateLink を使用して、AWS VPC またはオンプレミスネットワークから Databricks サービスへの安全なプライベート接続を確立し、パブリックインターネットではなく VPC インターフェースエンドポイントを介してトラフィックをルーティングします。

フロントエンド PrivateLink を使用すると、次のことが可能になります。

• プライベート アクセスを構成する: Databricks Web アプリケーション、REST API、Databricks Connect API へのフロントエンド PrivateLink 接続を構成します。
• プライベート アクセスを有効にする : 新しいワークスペースを作成するとき、または既存のワークスペースで PrivateLink を構成します。
• プライベート接続の強制 : ユーザーからDatabricksへ、およびコントロール プレーンからコンピュート プレーンへのプライベート接続を構成します。

必要条件

• Databricks アカウントはEnterprise プランにあります。
• Databricksワークスペースでは顧客管理VPC使用する必要があります。 既存のワークスペースをDatabricks管理のVPCからカスタマー管理VPCに変換することはできません。 顧客管理VPC構成を参照してください。
• Databricks ワークスペースを設定し、ワークスペースの新しい VPC エンドポイントを作成するには、必要なすべての AWS アクセス許可が必要です。
• オンプレミス ネットワークからワークスペースにアクセスするためのフロントエンド PrivateLink 接続を確立するには、Direct Connect または VPN を使用してオンプレミス ネットワークを AWS VPC に接続します。
• ローカル ネットワーク内のすべての関連アドレス空間からのネットワーク トラフィックが TCP ポート 443 を使用して VPC エンドポイントに接続できるようにします。

ステップ 1: VPC エンドポイントを作成する

フロントエンドエンドポイントはトランジット VPC から発信され、通常はユーザーのウェブアプリケーションアクセスのソースとして機能します。これは通常、ワークスペースのコンピュートプレーンVPCとは別のVPCであり、オンプレミスネットワークに接続できます。複数の Databricks アカウントがある場合は、これらのアカウント間でフロントエンド VPC エンドポイントを共有できます。それぞれの適切なDatabricks アカウントでエンドポイントを登録します。

AWS Management Console でフロントエンド VPC エンドポイントを作成するには:

1. AWSマネジメントコンソールの [VPCエンドポイント] セクションに移動します。
2. 右上で、リージョンをトランジット VPC リージョンと同じリージョンに設定します。
3. [ エンドポイントの作成 ] をクリックします。
4. エンドポイントに名前を付けるとき、Databricks では、リージョンとworkspaceまたはfront-endのいずれか (例: databricks-us-west-2-workspace-vpceを含めることをお勧めします。
5. [サービス カテゴリ] で、 NLB と GWLB を使用するエンドポイント サービス を選択します。
6. [サービス名] フィールドに、サービス名を貼り付けます。PrivateLink VPCエンドポイント サービスの表を使用して、リージョンのサービス名を検索します。 「ワークスペース (REST API を含む)」 というラベルの付いたものをコピーします。
7. 「サービスの検証」 をクリックし、 検証されたサービス名が 緑色のボックスに表示されることを確認します。 「サービス名を検証できませんでした」というエラーが発生した場合は、VPC、サブネット、新しい VPC エンドポイントのリージョンが正しく一致していることを確認してください。
8. [ VPC ] メニューで、トランジットVPCをクリックします。
9. [ サブネット ] セクションで、サブネットを選択します。
10. [ セキュリティ グループ ] セクションで、フロントエンド接続用に作成したセキュリティ グループを選択します。
11. [ エンドポイントの作成 ] をクリックします。

ステップ 2: VPC エンドポイントを登録する

AWSマネジメントコンソールでVPCエンドポイントを作成したら、 Databricksでそれらを登録します。 ネットワーク構成は、作成後に更新することはできません。次のステップに従って、 VPCエンドポイントを登録します。

1. Databricks アカウント コンソールに移動します。

2. サイドバーの クラウドリソース をクリックします。

3. [ネットワーク ] を選択します。

4. 垂直ナビゲーションから VPC エンドポイント登録 をクリックします。

5. [VPCエンドポイントの登録] をクリックします。

6. VPC エンドポイント登録のわかりやすい名前を入力します。

   • VPCE us-west-2 for SCCのように、地域と目的を含む命名規則が推奨されます。

7. 適切なリージョンを選択します。リージョンは、ワークスペースリージョンと、登録する AWS VPC エンドポイントのリージョンの両方と一致する必要があります。

8. AWS VPC エンドポイント ID を AWS VPC エンドポイント ID フィールドに貼り付けます。

   

9. [新しい VPC エンドポイントを登録] をクリックします。

同じ顧客管理VPCを共有する複数のワークスペースがある場合は、それらの間で AWS VPC エンドポイントを共有できます。 複数の Databricks アカウントの場合は、各アカウントの AWS VPC エンドポイントを登録します。

ステップ 3: プライベートアクセス設定を作成する

プライベート アクセス設定は、ワークスペースの PrivateLink 接続を説明するものであり、プライベート接続を有効にするために必要です。PrivateLink を使用するには、ワークスペースを作成するときにプライベート アクセス設定オブジェクトを添付する必要があります。次のステップに従って、プライベート アクセス設定を作成します。

1. アカウント コンソールで、サイドバーの [セキュリティ] をクリックします。

2. サイドバーの プライベートアクセス設定 をクリックします。

3. [プライベートアクセス設定の追加] をクリックします。

   

4. 新しいプライベートアクセス設定オブジェクトの名前を入力します。

5. ワークスペースの地域に一致する地域を選択します。

6. [パブリックアクセスが有効] フィールドを設定します。

   • False (デフォルト): フロントエンド接続は PrivateLink を介してのみアクセスでき、パブリック インターネット アクセスをブロックします。
   • True : フロントエンド接続には、PrivateLink とパブリック インターネットの両方からアクセスできます。

7. プライベートアクセスレベル を選択します。

   • アカウント: VPC接続をDatabricks アカウントに登録されている エンドポイントに制限します。
   • エンドポイント : 接続を明示的な VPC エンドポイントのセットに制限します。フロントエンド VPC エンドポイントの登録を含めます。

8. [プライベートアクセス設定の追加] をクリックします。

ステップ 4: PrivateLink オブジェクトを使用してワークスペースを作成する

この手順を完了するには、ワークスペースで既に顧客管理VPC とセキュリティで保護されたクラスタリング接続が使用されている必要があります。

1. ワークスペースを作成するには、ワークスペース (既存の Databricks アカウント) を手動で作成する を参照してください。ワークスペース URL、リージョン、Unity Catalog、資格情報構成、ストレージ構成などのワークスペース フィールドに関するガイダンスについては、そのページを参照してください。 保存 ボタンはまだクリックしないでください。

2. 詳細設定 をクリックして、追加のフィールドを表示します。

3. PrivateLink ドロップダウンで、前の手順で作成したプライベートアクセス設定オブジェクトの名前を選択します。

4. 保存 をクリックします。

5. ワークスペースを作成または更新した後は、使用可能になるまで待ってから、クラスタリングを使用または作成します。

   ワークスペースのステータスはRUNNINGままで、VPC の変更は直ちに行われます。ただし、さらに 20 分間はクラスターの使用や作成はできません。この間隔が終了する前にクラスターを作成または使用すると、クラスターの起動に失敗したり、その他の予期しない動作が発生したりする可能性があります。

ステップ 5: フロントエンド PrivateLink の DNS を構成する

フロントエンド VPC エンドポイントを作成したら、ユーザーリクエストをプライベートネットワーク経由で VPC エンドポイントのプライベート IP アドレスにルーティングするように DNS を設定します。

Route 53 のセットアップ、条件付き転送パターン、トラブルシューティングのガイダンスを含む包括的な DNS 設定手順については、 「AWS PrivateLink の DNS の設定」を参照してください。

クイック検証

DNS を構成した後、ワークスペース URL がプライベート IP アドレスに解決されることを確認します。

Bash

nslookup myworkspace.cloud.databricks.com

privatelinkサブドメインを介した解決を示す期待される出力:

myworkspace.cloud.databricks.com    canonical name = sydney.privatelink.cloud.databricks.com
Name:    sydney.privatelink.cloud.databricks.com
Address: 10.176.10.182

ワークスペース URL は、パブリック IP アドレスではなく、フロントエンド VPC エンドポイントのプライベート IP アドレスに解決される必要があります。

ステップ 6: 統合ログインでフロントエンド PrivateLink を構成する

備考

プレビュー

フロントエンドの PrivateLink を使用した統合ログインは、プライベート プレビュー段階です。このプレビューへのアクセスを要求するには、Databricks アカウント チームに連絡する必要があります。統合ログインの詳細については、「 統合ログインを有効にする」を参照してください。

ユーザーが公共のインターネットにアクセスできる場合、この手順は必要ありません。

統合ログインが有効になっているワークスペースにユーザーがログインすると、システムは認証フローでユーザーをaccounts.cloud.databricks.comにリダイレクトします。フロントエンド PrivateLink が有効で、ユーザーがパブリック インターネットにアクセスできないワークスペースで統合ログインを使用するには、次のステップに従ってアイデンティティ プロバイダーと内部 DNS を構成します。

ID プロバイダーで PrivateLink リダイレクト URI を承認します

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、 設定 をクリックします。
3. 認証 タブをクリックします。
4. 認証 の横にある 管理 をクリックします。
5. [ ID プロバイダーによるシングル サインオン ] を選択します。
6. 続行 をクリックします。
7. Databricks リダイレクト URL フィールドの値をコピーします。
8. accounts を accounts-pl-auth に置き換えて、Databricks PrivateLink リダイレクト URI を取得します。
9. ID プロバイダーに移動します。
10. Databricks PrivateLink リダイレクト URI を追加のリダイレクト URL として追加します。SAML を使用して SSO を構成する場合は、Databricks PrivateLink リダイレクト URI も追加のエンティティ ID として追加します。

アカウントに PrivateLink ワークスペースと非 PrivateLink ワークスペースの両方がある場合は、ID プロバイダーのリダイレクト URL から Databricks リダイレクト URL と account を削除しないでください。

トランジット VPC のプライベートホストゾーンを設定する

トランジット VPC で次の構成を実行して、Databricks PrivateLink リダイレクト URI がワークスペース VPC エンドポイントの VPC エンドポイント プライベート IP アドレスにマップされていることを確認します。

1. トランジット VPC から、 nslookup Unix コマンドライン ツールを使用して、ワークスペース URL を使用した DNS 解決を取得します。「ステップ 5: フロントエンド PrivateLink の DNS を構成する」の例を参照してください。
2. PrivateLink ワークスペースのコントロール プレーン インスタンス URL をコピーします。コントロールプレーンインスタンスのURLは、 <region>.privatelink.cloud.databricks.com形式です。
3. トランジット VPC で、ドメイン名privatelink.cloud.databricks.comを持つプライベート ホストゾーンを作成します。
4. accounts-pl-auth.privatelink.cloud.databricks.comを解決する CNAME レコードをコントロールプレーンインスタンス URL に追加します。
5. トランジット VPC から Databricks PrivateLink リダイレクト URI にアクセスして、構成をテストします。

次のステップ

• AWS PrivateLink を使用してプライベート接続を有効にする
• ワークスペースのIPアクセスリストを構成する