メインコンテンツまでスキップ

アカウントレベルのリソースのインバウンドPrivate Linkを構成する

備考

プレビュー

アカウントレベルのリソース向けのインバウンドPrivate Linkはベータ版です。

この機能により、お客様のAWS VPCまたはオンプレミスネットワークのユーザーは、アカウントコンソールやアカウントレベルのGenieを含むDatabricksアカウントレベルのリソースにプライベートアクセスできます。トラフィックは、パブリックインターネットではなく、トランジット VPC 内の VPC インターフェイスエンドポイントを経由してルーティングされます。

複数のDatabricksアカウントをお持ちの場合、単一のインバウンドVPCエンドポイントを各アカウントに登録することで、それらのアカウント間で共有できます。

Databricksでのプライベート接続の概要については、「Private Linkの概念」を参照してください。

アカウントレベルのリソースへのインバウンドPrivate Linkを使用すると:

  • プライベートアクセスを構成する: Databricks ウェブアプリケーションと REST API へのインバウンド PrivateLink 接続を構成します。
  • プライベート接続を強制する:ユーザーから Databricks へのプライベート接続を構成します。

次の図は、インバウンド Private Link が、パブリックインターネット経由ではなく、VPCインターフェイスエンドポイント経由でトランジットVPCからDatabricksアカウントレベルのリソースにユーザートラフィックをルーティングする方法を示しています。

アカウントレベルのリソースへのインバウンドプライベート接続

要件

  • お使いのDatabricksアカウントはEnterpriseプランを利用しています。
  • 新しい VPC エンドポイントを作成するには、必要な AWS 権限をすべて持っている必要があります。
  • オンプレミスネットワークからアカウントレベルのリソースにアクセスするためのインバウンドPrivate Link接続を確立するには、Direct ConnectまたはVPNを使用してオンプレミスネットワークをAWS VPCに接続します。
  • ローカルネットワーク内のすべての関連アドレス空間からのネットワークトラフィックが、TCPポート443を使用してVPCエンドポイントに接続できるようにします。

ステップ 1: VPCエンドポイントを作成する

ヒント

アカウントレベルのプライベートアクセスの場合、ワークスペースへのインバウンドPrivate Link用に既に作成した一般アクセスVPCエンドポイントを再利用できます(ワークスペースのインバウンドPrivateLinkを構成するを参照してください)。このVPCエンドポイントはどのリージョンでも使用できます。

AWSマネジメントコンソールでインバウンドVPCエンドポイントを作成するには:

  1. AWSマネジメントコンソールの [VPCエンドポイント] セクションに移動します。
  2. 右上隅で、リージョンをトランジットVPCリージョンと同じリージョンに設定します。
  3. [ エンドポイントの作成 ] をクリックします。
  4. エンドポイントに名前を付ける際は、Databricksは databricks-general-access-vpce のように general-access を含めることをお勧めします。
  5. 「**タイプ**」の下で、「**NLB と GWLB を使用するエンドポイントサービス**」を選択します。
  6. [サービス名] フィールドに、サービス名を貼り付けます。PrivateLink VPCエンドポイントサービスの表を使用して、リージョンサービス名を見つけます。 「**General Access (REST APIを含む)**」というラベルが付いたものをコピーします。
  7. [サービスを確認] をクリックし、緑色のボックスに サービス名が確認されました と表示されることを確認します。「サービス名が確認できませんでした」というエラーが表示された場合は、VPC、サブネット、および新しいVPCエンドポイントのリージョンが正しく一致しているかどうかを確認してください。
  8. [ VPC ] メニューで、トランジットVPCをクリックします。
  9. [ サブネット ] セクションで、サブネットを選択します。
  10. セキュリティグループ セクションで、アカウントレベルのリソースにアクセスする必要があるIP範囲からポート443でのインバウンドトラフィックを許可するセキュリティグループを選択します。
  11. [ エンドポイントの作成 ] をクリックします。

ステップ2:VPCエンドポイントを登録する

AWS マネジメントコンソールで VPC エンドポイントを作成したら、Databricks に登録してください。

  1. Databricks アカウントコンソールに移動します。

  2. サイドバーの セキュリティ をクリックします。

  3. 垂直ナビゲーションから プライベートエンドポイント をクリックします。

  4. プライベートエンドポイントを登録する をクリックします。

  5. VPCエンドポイント登録のわかりやすい名前を入力します。

    • VPCE for General Accessなど、目的を含む命名規則を推奨します。
  6. 適切なリージョンを選択します。リージョンは、登録している AWS VPC エンドポイントのリージョンと一致している必要があります。

  7. AWS VPC エンドポイント ID 」フィールドに AWS VPC エンドポイント ID を貼り付けます。

    VPC エンドポイントの登録。

  8. [新しい VPC エンドポイントを登録] をクリックします。

複数のDatabricksアカウントをお持ちの場合は、各アカウントにAWS VPCエンドポイントを登録できます。

ステップ3:コンテキストベースのイングレスでプライベートアクセスポリシーを設定する

一般アクセスVPCエンドポイントを登録したら、コンテキストベースのイングレスを使用して、アカウントレベルのリソースのプライベートアクセスポリシーを設定する必要があります。詳細については、コンテキストベースのイングレス制御を参照してください。

  1. アカウントコンソールで、サイドバーの[ セキュリティ ]をクリックします。

  2. サイドバーで [コンテキストベースのイングレスおよびエグレス制御] をクリックします。

  3. **[アカウントレベルポリシー]** の下で、**[account-policy]** をクリックします。

  4. プライベートネットワークアクセス の下で、プライベートアクセス ポリシーを定義します。デフォルトでは、登録済みのエンドポイントは許可されていません。

    • 特定の登録済みエンドポイントを許可し、他のすべてのエンドポイントを拒否したい場合は、許可ルールを追加してください。

      1. アクセスを許可するIDとワークスペースの送信先を選択してください(デフォルトでは、すべてのIDと送信先が許可されています)。
      2. 次に、ソースタイプで「**選択されたプライベートエンドポイント**」を選択し、登録した汎用アクセス VPC エンドポイントを選択します。任意のリージョンの汎用アクセスエンドポイントは、あらゆるアカウントレベルのリソースに対応できます。
      3. 確認 をクリックします。
      4. ポリシーに 拒否ルール を追加することもできます。これは、許可ルールに対する例外を定義します。
    • 登録されているすべてのエンドポイントを許可リストに追加したい場合は、**[すべてのプライベートエンドポイントからのアクセスを許可]** をチェックしてください。デフォルトでは、このオプションには最初に登録された200個のVPCエンドポイントのみが含まれます。ポリシーで200を超えるエンドポイントが必要な場合は、アカウントチームに連絡して、増加を依頼してください。

  5. イングレスポリシーを最初に ドライランモード でテストしてから、 強制 に切り替えてください。

  6. ネットワークポリシーを保存します。コンテキストベースのイングレスポリシーの更新は、10分未満で有効になります。

ヒント

すべてのDatabricksアカウントレベルのリソースで共有されるネットワークポリシーは1つだけです。異なるアカウントレベルのリソースに異なるポリシーを設定する場合は、複数の許可ルールを異なる宛先に追加することで可能です。

インバウンドVPCエンドポイントを作成および登録した後、DNSを構成して、プライベートネットワーク経由でユーザーリクエストをVPCエンドポイントのプライベートIPアドレスにルーティングします。

アカウントレベルのリソースには、カスタムURL(例: <my-custom-account-name>.databricks.com)と accounts.cloud.databricks.com の2つの有効なURLがあります。

ユーザーがパブリックインターネットにアクセスできる場合は、カスタム URL を VPC エンドポイントにルーティングするだけで、アカウントレベルのリソースへのインバウンド Private Link を有効にできます。ただし、ユーザーがパブリックインターネットにアクセスできない場合は、プライベート統合ログインを有効にするために accounts.cloud.databricks.com をルーティングする必要もあります(統合ログインを使用したインバウンド Private Link の構成を参照)。

Route 53 のセットアップ、条件付き転送パターン、トラブルシューティングのガイダンスを含む包括的な DNS 構成手順については、 「AWS インバウンド PrivateLink の DNS を構成する」を参照してください。

DNS解決を確認する

DNSを構成した後、ルーティングしたアカウントレベルのリソースURLが、パブリックIPアドレスではなくプライベートIPアドレスに解決されることを確認してください。これらのプライベートIPは、以下に示すIPとは異なる場合があります。

カスタム URL:

Bash
nslookup <my-custom-account-name>.databricks.com

期待される出力:

<my-custom-account-name>.databricks.com
Address: 10.176.10.182

accounts.cloud.databricks.com:

Bash
nslookup accounts.cloud.databricks.com

期待される出力:

accounts.cloud.databricks.com
Address: 10.176.10.182

ステップ 5: パブリックアクセスを無効にする(オプション)

Private Linkのセットアップを完了しても、アカウントレベルのリソースへのパブリックインターネットアクセスが自動的にブロックされるわけではありません。パブリックアクセスとプライベートアクセスは独立した設定です。プライベートのみの接続を強制するには、アカウントIPアクセスリストでパブリックネットワークアクセスを無効にします。アカウントコンソールのIPアクセスリストの設定を参照してください。

次のステップ