メインコンテンツまでスキップ

サーバレス コンピュート plane networking

このガイドでは、 Databricks サーバレス コンピュート プレーン内のコンピュート リソースと顧客リソース間のネットワーク アクセスを保護するためのツールを紹介します。 制御プレーンとサーバレス コンピュート プレーンの詳細については、アーキテクチャの概要Databricksを参照してください。

クラシック コンピュートとサーバレス コンピュートの詳細については、 コンピュートの種類を参照してください。

注記

2024 年 10 月 7 日より、 Databricks は、サーバレス コンピュート リソースが外部リソースに接続することで発生するネットワーク費用を顧客に請求するようになりました。 サーバレス ネットワーク請求は段階的に展開されているため、請求が徐々に変更される可能性があります。 課金の詳細については、「 Databricks 価格」を参照してください。

サーバレス コンピュート Plane Networking の概要

サーバレス コンピュート リソース 実行 は、 Databricksによって管理されるサーバレス コンピュート プレーンにあります。 アカウント 管理者は、サーバレス コンピュート プレーンとそのリソースとの間の安全な接続を構成できます。 このネットワーク接続は、次の図で 2 とラベル付けされています。

ネットワーク接続の概要図

コントロール プレーンとサーバレス コンピュート プレーン間の接続は、パブリック インターネットではなく、常にクラウド ネットワーク バックボーン経由で行われます。 図内の他のネットワーク接続でのセキュリティ機能の構成の詳細については、「 ネットワーク」を参照してください。

データ転送コスト

サーバレス コンピュート プレーン ネットワーキング製品では、データ転送コストが発生する可能性があります。 データ転送価格とデータ転送の種類の詳細については、 Databricks 価格のページをご覧ください。 リージョン間の料金を回避するために、Databricks では、リソースと同じリージョンにワークスペースを作成することをお勧めします。

サーバレスネットワーキング製品には、次の1つの SKU タイプがあります。

  • Databricks パブリック接続 を使用すると、パブリック IP を使用してクラウドリソースまたはインターネットに接続できます。 Databricks Public Connectivity を介して転送されたデータ量に対して課金されます。 Databricks パブリック接続は、ユーザーが接続しているリソースに応じて暗黙的に使用されます。 S3 と Dynamo DB のゲートウェイは、可能な限り S3 と Dynamo DB に接続するために使用されます。 サーバレス コンピュート アクセス用のファイアウォールの設定を参照してください。

サーバレス エグレス コントロールとは

サーバレス Egress Control を使用すると、サーバレス コンピュート リソースからの送信ネットワーク接続を管理できます。

ネットワーク ポリシーを使用すると、次のことができます。

  • セキュリティの強化 : 送信接続を制限することで、データ流出のリスクを軽減します。
  • 正確なルールを定義する : 許可された場所、接続、FQDN、S3 バケットを指定して、アウトバウンド接続を制御します。
  • 管理の簡素化 : サーバレス環境で egress ポリシーを簡単に設定および管理できます。

サーバレス エグレス コントロールとはを参照してください。

ネットワーク接続構成 (NCC) とは何ですか?

サーバレス ネットワーク接続は、ネットワーク接続構成 (NCC) で管理されます。 NCC は、プライベートエンドポイントの作成とファイアウォールの有効化を大規模に管理するために使用されるアカウントレベルのリージョン構造です。

アカウント admins はアカウント コンソールで NCC を作成し、NCC を 1 つ以上のワークスペースにアタッチして、リソースのファイアウォールを有効にすることができます。 NCC には、安定した IP アドレスのリストが含まれています。 NCC がワークスペースに接続されている場合、そのワークスペース内のサーバレス コンピュートは、これらの IP アドレスの 1 つを使用してクラウド リソースを接続します。 これらのネットワークをリソース ファイアウォールで許可リストに登録できます。 サーバレス コンピュート アクセス用のファイアウォールの設定を参照してください。

リソース ファイアウォールを作成すると、クラシック コンピュート プレーンからリソースへの接続にも影響します。 また、リソース ファイアウォール上のネットワークを許可リストに登録して、クラシック コンピュート リソースからネットワークに接続する必要もあります。

NCC ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。 AmazonS3ワークスペースと同じリージョン内の バケットの読み取りまたは書き込みを行う場合、サーバレス コンピュート リソースは、S3 ゲートウェイAWS エンドポイントを使用して に直接アクセスします。これは、サーバレス コンピュートが AWS アカウントのワークスペースストレージバケットと同じリージョン内の他の S3 データソースに対して読み取りと書き込みを行う場合に適用されます。

注記

Databricks は、S3 ゲートウェイ エンドポイント、プライベート IP、パブリック IP を使用して、その場所と種類に基づいてリソースに接続します。 これらの接続方法は、特に明記されていない限り、一般的に使用できます。

最終更新