メインコンテンツまでスキップ

VPC 内のリソースへのプライベート接続を構成する

備考

プレビュー

この機能は パブリック プレビュー段階です。

注記

2024 年 10 月 7 日より、 Databricks は、サーバレス コンピュート リソースが外部リソースに接続することで発生するネットワーク費用を顧客に請求するようになりました。 サーバレス ネットワーク請求は段階的に展開されているため、請求が徐々に変更される可能性があります。 課金の詳細については、「Databricks サーバレス ネットワーキングのコストについて」を参照してください。

このページでは、Databricks アカウントコンソールの UI を使用して、サーバレス コンピュートから Virtual Private Cloud () のPrivateLink 接続をVPC Network Load Balancer (NLB) 経由で設定する方法について説明します。

VPC 内のリソースへのプライベート接続。

サーバレス コンピュートのプライベート接続を構成すると、次のものが提供されます。

  • 専用のプライベート接続: プライベートエンドポイントは Databricks アカウントにのみ関連付けられているため、アクセスは許可されたワークスペースのみに制限されます。
  • データ流出の軽減策の強化: DatabricksUnity Catalogを搭載した サーバレスは組み込みデータ流出保護を提供しますが、PrivateLink はネットワーク防御のレイヤーを追加します。リソースをプライベートサブネットに配置し、VPC エンドポイントサービスと専用の VPC エンドポイントを介してアクセスを制御することで、不正なデータ移動のリスクを軽減できます。

必要条件

  • ワークスペースは Enterprise プランです。
  • あなたは Databricks アカウントのアカウント管理者です。
  • サーバレス コンピュートを使用するワークスペースが少なくとも 1 つある。
  • 各 Databricks アカウントには、リージョンごとに最大 10 個の NCC を含めることができます。
  • 各リージョンには 30 個のプライベート エンドポイントがあり、必要に応じて 1 から 10 個の NCC に分散できます。
  • 各NCCは、最大50のワークスペースにアタッチできます。
  • VPC 内のリソースへのプライベート接続の各プライベートエンドポイントルールは、最大 10 個のドメイン名をサポートします。

ステップ 1: AWS でネットワークロードバランサー (NLB) を作成する

VNet リソースのフロントエンドとして機能する Network Load Balancer を AWS に作成します。NLB を作成するには、 AWS ドキュメントの指示に従います。内部スキームを使用してターゲット リソースにトラフィックをルーティングするように NLB を構成します。

ステップ 2: AWS アカウントで VPC エンドポイントサービスを作成する

NLB をプライベートエンドポイントに安全に公開するには、VPC エンドポイントサービスを作成する必要があります。手順については、AWS のドキュメント「AWS PrivateLink を利用したサービスを作成する」を参照してください。

注記

VPC エンドポイントサービスが us-east-1 にある場合は、次のアベイラビリティーゾーンの 1 つ以上で VPC エンドポイントをプロビジョニングします。

  • use1-az1
  • use1-az2
  • use1-az4
  • use1-az5
  • use1-az6

必ず次の操作を完了してください。

  • [エンドポイントの同意が必要] で [ 同意が必要] ボックス がオンになっていることを確認します。

  • Databricks サーバレス stable IAMロールを許可リストに登録します。次の 2 つの方法のいずれかを選択します。

    • デプロイを簡略化するには 、次のようにします。

      • VPC エンドポイントサービスが作成されたら、[ Allow principals ] タブに移動します。

        • Databricks サーバレス 安定 IAMロールを許可リストに追加します。これにより、Databricks はサービスにリンクする VPC エンドポイントを作成できます。次の形式を使用します: arn:aws:iam::565502421330:role/private-connectivity-role-<region>.

      • 例: us-east-1 リージョンの場合、許可リストは arn:aws:iam::565502421330:role/private-connectivity-role-us-east-1です。

    • 詳細な権限制御の場合 :

      • VPC エンドポイントサービスが作成されたら、[ Allow principals ] タブで * を許可します。これにより、Databricks は VPC エンドポイントサービスにリンクする 1 つの VPC エンドポイントを作成できます。

  • [PrivateLink トラフィックに受信ルールを適用する ] が選択されていないことを確認します。

注記

ターゲットリソースが RDS マルチ AZ 配置の場合、RDS は安定した IP を提供しません。この場合、フェイルオーバーが発生するたびに RDS IP が変更されます。NLB ターゲットグループの IP アドレスの同期を自動化するには、「 AWS PrivateLink と Network Load Balancer を使用して VPC 間で Amazon RDS にアクセスする」を参照してください。

ステップ 3: ネットワーク接続構成 (NCC) オブジェクトを作成する

使用する予定のリージョンと AWS アカウントに NCC が存在する場合は、このステップをスキップできます。

  1. アカウントコンソール」で、「 クラウドリソース 」をクリックします。
  2. [ネットワーク] をクリックします。
  3. [ネットワーク接続の構成] をクリックします。
  4. ネットワーク接続構成の追加 をクリックします。
  5. NCC の名前を入力します。
  6. 地域を選択します。これは、ワークスペースのリージョンと一致する必要があります。
  7. [ 追加 ] をクリックします。

ステップ 4: AWS インターフェイス VPC エンドポイントを作成する

このステップでは、VPC エンドポイントサービスを NCC にリンクします。プライベートエンドポイントを作成するには:

  1. アカウントコンソール」で、「 クラウドリソース 」をクリックします。

  2. [ネットワーク接続設定 ] をクリックします。

  3. ステップ 3 で作成した NCC オブジェクトを選択します。

  4. 「プライベート・エンドポイント・ルール 」タブで、「 プライベート・エンドポイント・ルールの追加 」をクリックします。

  5. 完全な AWS VPC エンドポイントサービス名を入力します。このサービス名は、プライベートエンドポイントの宛先リソースへの接続を確立します。

  6. 宛先リソースの完全修飾ドメイン名 (FQDN) を指定します。ドメイン名は、接続URLで参照される宛先リソースに対応している必要があります。

    • 例: 宛先が RDS インスタンスの場合、FQDN は通常、次の形式に従います。 <RDS instance DB identifier>.<random hash>.<region>.rds.amazonaws.com.

  7. NCC 詳細ページの [プライベート エンドポイント ルール ] タブに戻ります。

  8. 新しい VPC エンドポイントを選択します。

  9. VPC エンドポイント ID をコピーします。

注記

PrivateLink エントリとして追加されたドメインは、ネットワーク ポリシーで暗黙的に許可リストに登録されます。ドメインが削除された場合、またはプライベート エンドポイントが削除された場合、ネットワーク ポリシー制御によって変更が完全に適用されるまでに最大 24 時間かかる場合があります。

ステップ 5: VPC エンドポイントサービスで VPC エンドポイントを受け入れる

Databricks で VPC エンドポイント ルールを作成した後、AWS で接続要求を承認する必要があります。接続を承認するには:

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[ エンドポイントサービス ] を選択します。
  3. エンドポイントサービスを選択します。
  4. [ エンドポイント接続 ] タブで、検索ボックスを使用して手順 5 で返されたエンドポイント ID をフィルター処理します。
  5. [アクション] を選択します。エンドポイント接続要求を受け入れます。
  6. 確認を求められたら、[Accept] (同意する) を選択します。

接続が完全に確立されるまでに数分かかる場合があります。

ステップ 6: VPC エンドポイントのステータスを確認する

VPC エンドポイント接続が正常に確立されたことを確認します。接続を確認するには:

  1. アカウントコンソールの [ネットワーク接続設定] ページを更新します。
  2. [ プライベート エンドポイント ルール ] タブで、新しいプライベート エンドポイントの [ステータス ] 列が [ ESTABLISHED] になっていることを確認します。

ステップ 7: NCC を 1 つ以上のワークスペースにアタッチする

この手順では、構成したプライベート接続をワークスペースに関連付けます。ワークスペースが目的の NCC に既にアタッチされている場合は、この手順をスキップします。NCC をワークスペースにアタッチするには:

  1. 左側のナビゲーションで [ワークスペース ] に移動します。
  2. 既存のワークスペースを選択します。
  3. [ワークスペースの更新] を選択します。
  4. [ネットワーク接続の構成 ] で、ドロップダウンを選択し、作成した NCC を選択します。
  5. この NCC を適用するすべてのワークスペースについて、この手順を繰り返します。
注記

NCC は、同じリージョン内のワークスペースにのみアタッチできるリージョン オブジェクトです。

次のステップ

  • プライベートエンドポイントルールの管理 : 接続を許可または拒否する特定のルールを定義することで、VPC エンドポイントとの間のネットワークトラフィックを制御します。「プライベートエンドポイントルールの管理」を参照してください。
  • サーバレス コンピュート アクセス用のファイアウォールを設定する : ファイアウォールを実装して、サーバレス コンピュート環境の受信および送信ネットワーク接続を制限し、セキュリティで保護します。 サーバレス コンピュート アクセス用のファイアウォールの設定を参照してください。
  • データ転送と接続のコストを理解する : データ転送と接続とは、 Databricks サーバレス環境との間でデータを移動することを指します。 サーバレス製品のネットワーク料金は、 Databricks サーバレス コンピュートを使用している顧客にのみ適用されます。 Databricks サーバレスのネットワーク・コストについてを参照してください。
最終更新