Configure o DNS para o link privado de entrada da AWS.
Visualização
O acesso privado aos recursos no nível da account está em Beta.
O acesso privado a workspaces usando entrada baseada em contexto está em Beta.
Configure o DNS para rotear as solicitações dos usuários pela sua rede privada ao usar o Private Link de entrada para workspaces Databricks e recursos no nível da conta. Esta página aborda padrões de configuração de DNS e instruções de configuração passo a passo. Embora você possa configurar o DNS para o AWS Private Link de várias maneiras, esta página usa como padrão uma abordagem recomendada que funciona para a maioria das implantações.
O endpoint do Back-end Private Link usa automaticamente a resolução de DNS AWS quando você habilita a opção "Habilitar nome DNS" no endpoint VPC . Esta página aborda a configuração de DNS de link privado de entrada.
Visão geral da arquitetura
Os diagramas a seguir ilustram os dois padrões de resolução de DNS para o AWS Private Link. O padrão que você escolher dependerá dos requisitos da sua organização para gerenciamento e isolamento endpoint .

A abordagem de endpoint único roteia todos os workspaces em qualquer região e recursos no nível da account por meio de um endpoint de VPC compartilhado, o que simplifica a configuração e o gerenciamento de DNS. Esta página usa como default esta abordagem recomendada para todas as instruções de configuração.

A abordagem de vários endpoints permite rotear as solicitações para cada workspace e recurso no nível da conta para endpoints de VPC dedicados para isolamento de rede, mas aumenta a complexidade de gerenciamento.
Resolução de DNS com link privado
Sem o Private Link, URLs específicas do workspace (por exemplo, dbc-<workspace-deployment-id>.cloud.databricks.com) resolvem para endereços IP públicos por meio de um hostname regional como sydney.cloud.databricks.com, que aponta para um AWS Elastic Load Balancer público. Por exemplo:
$ nslookup myworkspace.cloud.databricks.com
myworkspace.cloud.databricks.com canonical name = sydney.cloud.databricks.com
sydney.cloud.databricks.com canonical name = public-ingress-xxxxx.elb.ap-southeast-2.amazonaws.com
Name: public-ingress-xxxxx.elb.ap-southeast-2.amazonaws.com
Address: 3.26.4.13
Depois de associar um objeto de configurações de acesso privado a um workspace, Databricks atualiza a cadeia de resolução de DNS para incluir o subdomínio privatelink :
$ nslookup myworkspace.cloud.databricks.com
myworkspace.cloud.databricks.com canonical name = sydney.privatelink.cloud.databricks.com
Name: sydney.privatelink.cloud.databricks.com
Address: 10.176.10.182
A URL específica do workspace agora resolve para sydney.privatelink.cloud.databricks.com, que se configura para apontar para o endereço IP privado do VPC endpoint. Isso permite substituir apenas o domínio privatelink.cloud.databricks.com sem afetar outros serviços Databricks.
URLs personalizadas (<my-custom-account-name>.databricks.com) e accounts.cloud.databricks.com não incluem o subdomínio privatelink na cadeia de resolução de DNS e devem ser encaminhadas separadamente.
$ nslookup <my-custom-account-name>.databricks.com
Name: my-custom-account-name.databricks.com
Address: 3.26.4.13
$ nslookup accounts.cloud.databricks.com
Name: accounts.cloud.databricks.com
Address: 3.26.4.13
Depois de associar um objeto de configurações de acesso privado a um workspace, você não poderá removê-lo. Você só pode substituí-lo por um objeto de configurações de acesso privado diferente. Essa configuração é permanente.
Resolução de DNS
Os registros DNS específicos necessários dependem de sua abordagem de configuração, mas todas as configurações devem resolver as URLs da Databricks (URLs personalizadas e não personalizadas) para o endereço IP privado do seu endpoint VPC de entrada. Para simplificar, a Databricks recomenda rotear todas as URLs para um único endpoint VPC para acessar todo o Databricks. Se você tiver requisitos de isolamento de rede, também poderá rotear diferentes URLs para diferentes endpoints VPC, onde cada endpoint recebe acesso diferente em suas políticas de entrada baseadas em contexto (consulte Configurar o PrivateLink de entrada para workspaces).
- Single endpoint approach (recommended)
- Multi-endpoint approach
Para a maioria das implantações, configure o DNS para resolver todos os URLs para o IP privado de um único endpoint da VPC. Todos os workspaces em qualquer região e seus recursos de nível de account podem compartilhar o mesmo endpoint da VPC. Este endpoint unificado pode servir recursos usando URLs personalizados e não personalizados. Esta é a abordagem recomendada para gerenciamento simplificado.
Configuração de DNS local
Configure o encaminhamento condicional no DNS da sua empresa para encaminhar as consultas de domínio do Databricks para a AWS:
Domínio | Alvo de encaminhamento | Propósito |
|---|---|---|
OU ou | endpoint DNS AWS (resolvedor de entrada do Route 53) | Sempre necessário. Encaminha URLs específicas do workspace para workspaces com uma configuração de acesso privado anexada. Isso é sempre necessário, já que certos serviços de workspace, como Databricks Apps e Model Serving, ainda dependem da URL específica do workspace, e não da URL personalizada Em vez de encaminhar |
| endpoint DNS AWS (resolvedor de entrada do Route 53) | Obrigatório (se usar URLs personalizados). Encaminha seu URL personalizado, que pode incluir tráfego em nível de workspace e de account. |
| endpoint DNS AWS (resolvedor de entrada do Route 53) | Opcional. Encaminha a URL de recurso no nível da account não personalizada (também usada para login unificado). Necessário apenas se os usuários não conseguirem acessar a internet pública para resolução de DNS ou requisições (consulte Configurar o Private Link de entrada com login unificado). Isso também pode ser útil se não quiser usar sua URL personalizada, mas ainda quiser o Private Link de entrada para recursos no nível da account. |
| endpoint DNS AWS (resolvedor de entrada do Route 53) | Opcional. Encaminha solicitações do Databricks Apps. Necessário somente se seus usuários não puderem acessar a internet pública para resolução de DNS (ou seja, se for utilizada a configuração manual de DNS). Caso contrário, o encaminhamento de URL específico do workspace é suficiente. |
Para Databricks on AWS GovCloud, encaminhe *.cloud.databricks.us e *.aws-gov.databricksapps.us em vez disso. Para AWS GovCloud DoD, encaminhe *.cloud.databricks.mil e *.aws-dod.databricksapps.mil. Veja Databricks on AWS GovCloud.
Configuração de Zona Hospedada Privada
É necessário criar Zonas Hospedadas Privadas para rotear as seguintes URLs para endpoints de VPC:
- Obrigatório se usar URLs personalizados: seu URL personalizado.
- Sempre obrigatório: URLs específicos do workspace, como
dbc-<workspace-deployment-id>.cloud.databricks.comou<region>.privatelink.cloud.databricks.com. - Opcional:
accounts.cloud.databricks.com. Necessário apenas se seus usuários não puderem acessar a internet pública para resolução de DNS ou requisições. Se for o caso, você precisa rotearaccounts.cloud.databricks.compara habilitar o login unificado privado (consulte Configurar Private Link de entrada com login unificado). Isso também pode ser útil se você não quiser usar seu URL personalizado, mas ainda quiser Private Link de entrada para recursos no nível da account.
Na abordagem de endpoint único, você pode rotear todos esses URLs para um único endpoint de VPC de Acesso Geral compartilhado.
Primeiro, crie uma Zona Hospedada Privada para seu URL personalizado. Seu URL personalizado pode servir a interface do usuário e a API de todos os seus workspaces em qualquer região e recursos em nível de account.
Configuração | Valor |
|---|---|
Zona Privada Hospedada |
|
Nome do registro | Deixe em branco |
Tipo de registro | Um (Alias) |
Valor de registro | ID endpoint VPC |
Em segundo lugar, crie uma Zona Hospedada Privada para o domínio privatelink.cloud.databricks.com, para rotear suas URLs específicas do workspace (por exemplo, dbc-<workspace-deployment-id>.cloud.databricks.com). Isso é sempre necessário, já que certos serviços de workspace, como Databricks Apps e Model Serving, ainda dependem da URL específica do workspace, não da URL personalizada.
Configuração | Valor |
|---|---|
Zona Privada Hospedada |
|
Nome do registro | deixe em branco ou |
Tipo de registro | Um (Alias) |
Valor de registro | ID endpoint VPC |
Para simplificar, a Databricks recomenda rotear todas as URLs para um único endpoint. No entanto, você pode usar o valor <region> se precisar de roteamento diferente para workspaces em diferentes regiões. O valor da região é o nome da região do Databricks, por exemplo, sydney, virginia, oregon, não o nome da região da AWS. Para encontrar o nome da região correto para o seu workspace, consulte a linha **Serviços do plano de controle, incluindo webapp** em IPs de entrada.
Se sua configuração da AWS não puder acessar a internet pública para resolução de DNS, ou se você precisar de endpoints de VPC diferentes para workspaces diferentes, crie uma Zona Hospedada Privada para cada URL de workspace em vez de privatelink.cloud.databricks.com.
Configuração | Valor |
|---|---|
Zona Privada Hospedada |
|
Nome do registro | Deixe em branco |
Tipo de registro | Um (Alias) |
Valor de registro | ID endpoint VPC |
Opcionalmente, crie uma Zona Hospedada Privada para accounts.cloud.databricks.com. Necessário apenas se os usuários não puderem acessar a internet pública. Se for o caso, você precisa rotear accounts.cloud.databricks.com para habilitar o login unificado privado (consulte Configurar Private Link de entrada com login unificado). Isso também pode ser útil se você não quiser usar seu URL personalizado, mas ainda quiser Private Link de entrada para recursos no nível da account.
Configuração | Valor |
|---|---|
Zona Privada Hospedada |
|
Nome do registro | Deixe em branco |
Tipo de registro | Um (Alias) |
Valor de registro | ID endpoint VPC |
O uso de endpoints separados para diferentes workspaces, regiões ou recursos no nível da account requer configuração DNS adicional e aumenta a complexidade operacional. Utilize esta abordagem apenas quando precisar de endpoints VPC isolados para requisitos específicos de segurança, compliance ou rede.
Se precisar de endpoints de VPC separados para workspaces individuais ou recursos de nível de account, siga os mesmos os passos gerais que a abordagem de endpoint único. No entanto, em vez de rotear todas as URLs do Databricks para um endpoint de VPC, configure o DNS para que URLs diferentes resolvam para diferentes endpoints de VPC com base nas suas necessidades.
Após os endpoints serem registrados, utilize a entrada baseada em contexto para controlar quais workspaces e recursos no nível da account cada endpoint privado registrado pode acessar. Para mais informações, consulte Configure o PrivateLink de entrada para workspaces e Configure o Private Link de entrada para recursos no nível da account.
Configurações de exemplo
Os exemplos a seguir ilustram padrões comuns de roteamento. É possível escolher qualquer modelo de roteamento que se ajuste aos seus requisitos de segurança, compliance ou rede.
Exemplo 1: endpoint unificado para recursos de produção, não produção e de nível de account (abordagem de endpoint único)
Neste exemplo, todos os workspaces e recursos no nível da account são acessados por meio de um único VPC endpoint.
Configure as seguintes políticas de roteamento e ingresso baseadas em contexto:
Encaminhamento | Registro de Zona Hospedada Privada | Encaminhado para o VPC endpoint | Configuração de entrada baseada em contexto |
|---|---|---|---|
URL personalizado | URL personalizado | endpoint registrado 1 | No |
|
| endpoint registrado 1 | Crie uma política de workspace que permite entrada do endpoint 1 e anexe-a a todos os workspaces. |
Com esta configuração, os usuários podem acessar por meio de Private Link de entrada:
- Recursos no nível da account, como o account console e o Genie no nível da account, usando sua URL personalizada.
- Todos os workspaces usando sua URL personalizada.
- Todos os workspaces que usam URLs específicas do workspace.
Exemplo 2: endpoints Separados para recursos de Produção, Não Produção e Nível de account (Abordagem Multi-endpoint)
Neste exemplo, workspaces de produção, workspaces de não produção e recursos no nível da account são acessados por meio de endpoints de VPC isolados separados.
Configure as seguintes políticas de roteamento e ingresso baseadas em contexto:
Encaminhamento | Registro de Zona Hospedada Privada | Encaminhado para o VPC endpoint | Configuração de entrada baseada em contexto |
|---|---|---|---|
URL personalizado | URL personalizado | endpoint registrado 1 | No |
URLs individuais ou específicas do workspace de produção | URLs individuais específicas do workspace de produção | Endpoint 2 registrado | Crie uma política de workspace que permite a entrada do endpoint 2, e anexe-a aos workspaces de produção. |
URLs individuais específicas de workspaces de não produção ou | URLs individuais específicas de workspace de não produção | endpoint registrado 3 | Crie uma política de workspace que permita a entrada do endpoint 3 e anexe-a aos seus workspaces que não são de produção. |
Com esta configuração, os usuários podem acessar por meio de Private Link de entrada:
- Recursos no nível da account, como o account console e o Genie no nível da account, usando sua URL personalizada.
- Workspaces de produção usando URLs específicos de workspace de produção.
- Workspaces de não produção usando URLs específicos de workspaces de não produção.
Exemplo 3: Endpoints separados para workspaces em diferentes regiões e recursos no nível da account (abordagem multi-endpoint)
Neste exemplo, workspaces na região A, workspaces na região B e recursos no nível da account são acessados por meio de VPC endpoints isolados separados.
Configure as seguintes políticas de roteamento e ingresso baseadas em contexto:
Encaminhamento | Registro de Zona Hospedada Privada | Encaminhado para o VPC endpoint | Configuração de entrada baseada em contexto |
|---|---|---|---|
URL personalizado | URL personalizado | endpoint registrado 1 | No |
|
| Endpoint 2 registrado | Crie uma política de workspace que permita a entrada do endpoint 2, e anexe-a aos seus workspaces na região A. |
|
| endpoint registrado 3 | Crie uma política de workspace que permita a entrada do endpoint 3, e anexe-a aos seus workspaces na região B. |
Com esta configuração, os usuários podem acessar por meio de Private Link de entrada:
- Recursos no nível da account, como o account console e o Genie no nível da account, usando sua URL personalizada.
- Workspaces na região A usando URLs específicas do workspace.
- Workspaces na região B usando URLs específicos do workspace.
Exemplo 4: endpoint compartilhado para produção e recurso no nível da account, endpoint separado para não produção (abordagem de múltiplos endpoint)
Neste exemplo, workspaces de produção e recursos de nível de account compartilham um VPC endpoint isolado, enquanto workspaces de não produção usam um VPC endpoint separado.
Configure as seguintes políticas de roteamento e ingresso baseadas em contexto:
Encaminhamento | Registro de Zona Hospedada Privada | Encaminhado para o VPC endpoint | Configuração de entrada baseada em contexto |
|---|---|---|---|
URL personalizado | URL personalizado | endpoint registrado 1 | No |
URLs individuais ou específicas do workspace de produção | URLs individuais específicas do workspace de produção | endpoint registrado 1 | Crie também uma política de workspace que permita a entrada do endpoint 1 e anexe-a aos seus workspaces de produção. |
URLs individuais específicas de workspaces de não produção ou | URLs individuais específicas de workspace de não produção | Endpoint 2 registrado | Crie uma política de workspace que permite o ingresso do endpoint 2 e anexe-a aos seus workspaces de não produção. |
Com esta configuração, os usuários podem acessar por meio de Private Link de entrada:
- Recursos no nível da account, como o account console e o Genie no nível da account, usando sua URL personalizada.
- Workspaces de produção usando sua URL personalizada.
- Workspaces de produção usando URLs específicos de workspace de produção.
- Workspaces de não produção usando URLs específicos de workspaces de não produção.
O tráfego de produção e em nível de conta permanece isolado do tráfego de workspace de não produção usando endpoints de VPC separados.
Em todas as configurações acima, não foi necessário encaminhar accounts.cloud.databricks.com, já que é opcional (consulte Configurar o Private Link de entrada com login unificado). Se você decidir encaminhar esta URL para login unificado, você pode resolvê-la para qualquer endpoint VPC registrado. Se você decidir encaminhar esta URL para acessar recursos no nível da account de forma privada sem usar sua URL personalizada, configure a seguinte política de roteamento e entrada baseada em contexto:
Encaminhamento | Registro de Zona Hospedada Privada | Encaminhado para o VPC endpoint | Configuração de entrada baseada em contexto |
|---|---|---|---|
|
| endpoint registrado 1 | No |
Tenha em mente as seguintes diretrizes:
- Sua URL personalizada, URLs específicas do workspace e a URL da account podem todas rotear para o mesmo endpoint de VPC, ou para endpoints de VPC separados, com base em seus requisitos de isolamento.
- Seu URL personalizado pode ser usado para acessar tanto os workspaces quanto os recursos em nível de account.
- Use a entrada baseada em contexto para controlar quais workspaces e recursos de nível de account cada endpoint registrado pode acessar. Consulte Controle de entrada baseado em contexto.
Opções de configuração
- Conditional forwarding to Route 53 (recommended)
- Manual DNS zone and records
Configure seu DNS corporativo para encaminhar consultas de domínios do Databricks para o Amazon Route 53. A AWS resolve automaticamente os URLs do workspace para IPs privados sem gerenciamento manual de registros. Essa abordagem usa um único endpoint de VPC para todos os workspaces em qualquer região.
Benefícios do encaminhamento condicional
- Resolução automática: o Route 53 resolve URLs automaticamente para IPs privados quando o endpoint de VPC tem a opção Ativar nome DNS habilitada.
- Sem atualizações manuais: Se os IPs do endpoint da VPC mudarem, o Route 53 atualizará automaticamente os registros DNS.
- Simplifica o gerenciamento: Uma única configuração lida com todos os workspaces em qualquer região.
Pré-requisitos
Antes de começar, verifique se você tem:
- Um endpoint de VPC do Private Link de entrada com Ativar nome DNS ativado
- Conectividade de rede entre sua rede corporativa e a AWS usando Direct Connect ou VPN.
- Permissões para criar um recurso do Route 53 e modificar o DNS corporativo.
o passo 1: Crie uma zona hospedada privada
Crie uma zona hospedada privada no Route 53 para registros DNS do Databricks.
- Acesse a página de zonas hospedadas do Route 53 no Console de Gerenciamento da AWS.
- Clique em Criar zona hospedada .
- Para Nome de domínio , insira o nome PHZ. Por exemplo,
my-custom-account-name.databricks.com. - Em Tipo , selecione Zona hospedada privada .
- Na seção "VPCs a associar" , selecione a VPC onde está localizado o seu endpoint de VPC de entrada. Normalmente, essa é a sua VPC de trânsito.
- Clique em Criar zona hospedada .
o passo 2: Crie um registro DNS A
Crie um registro A que mapeie o endpoint regional para o endereço IP privado do endpoint da sua VPC.
-
No console do Route 53, selecione a zona hospedada criada (por exemplo,
<my-custom-account-name>.databricks.com). -
Clique em Criar registro .
-
Para Nome do registro , insira o valor apropriado (consulte as seções anteriores).
-
Em Tipo de registro , selecione A - Encaminha o tráfego para um endereço IPv4 .
-
Em Valor , insira o endereço IP privado do seu endpoint VPC de entrada.
Para encontrar o endereço IP privado:
- Acesse a página do endpointVPC .
- Selecione seu endpoint VPC de entrada.
- Na tab Sub-redes , anote o endereço IPv4 .
-
Clique em Criar registros .
Repita as Etapas 1 e 2 para cada PHZ exigido acima.
o passo 3: Criar um endpointdo resolvedor de entrada do Route 53
Crie um endpoint de resolução de entrada para que seu DNS corporativo possa encaminhar consultas para o Route 53.
-
Acesse a página do Route 53 Resolver .
-
Na navegação à esquerda, clique em Ponto de extremidade de entrada .
-
Clique em Criar endpointde entrada .
-
Forneça um nome para o endpoint, como
databricks-privatelink-resolver. -
Selecione sua VPC.
-
Para o grupo de segurança , selecione ou crie um grupo de segurança que permita tráfego TCP e UDP de entrada na porta 53 da sua rede on-premises .
-
Na seção de endereços IP :
- Para alta disponibilidade, selecione pelo menos duas sub-redes em diferentes Zonas de Disponibilidade.
- Para cada sub-rede, você pode deixar a AWS atribuir um endereço IP automaticamente ou escolher um endereço IP específico dentro do intervalo da sub-rede.
-
Clique em Criar endpointde entrada .
-
Anote os endereços IP do endpoint do resolvedor de entrada para uso na próxima etapa.
Passo 4: Configure o encaminhamento condicional no DNS da sua empresa.
Configure o servidor DNS corporativo para encaminhar consultas de domínios Databricks para o endpoint de resolução de entrada do Route 53.
Os passos exatos dependem do seu software de DNS, como BIND, DNS Windows ou Infoblox. Consulte a documentação do seu servidor DNS para obter instruções específicas de configuração.
Configure o encaminhamento condicional para os domínios listados na seção Configuração DNS on-premises acima.
Encaminhe esses domínios para os endereços IP do seu endpoint de resolução de entrada do Route 53.
Verificação
Após concluir a configuração, teste a resolução de DNS para cada URL de sua rede corporativa. Por exemplo:
$ nslookup <my-custom-account-name>.databricks.com
Name: <my-custom-account-name>.databricks.com
Address: 10.176.10.182
A URL deve apontar para o endereço IP privado do seu endpoint VPC. Se for exibido um endereço IP público, verifique suas regras de encaminhamento condicional e a configuração do Route 53.
Se o encaminhamento condicional para o Route 53 não estiver disponível em seu ambiente, você pode criar manualmente uma zona DNS e registros em seu servidor DNS corporativo. Essa abordagem requer atualizações manuais caso os endereços IP endpoint VPC sejam alterados.
Benefícios da zona DNS manual
Utilize a configuração manual de DNS quando:
- Não é possível configurar o encaminhamento condicional para o AWS Route 53.
- As políticas de DNS da sua empresa exigem que todos os registros de DNS sejam gerenciados internamente.
- Você precisa ter controle total sobre o gerenciamento de registros DNS.
Com a configuração manual de DNS, atualize os registros A sempre que os endereços IP dos seus endpoint VPC mudarem. Isso pode causar problemas de conectividade se os registros ficarem desatualizados.
Passo 1: Criar uma zona DNS
No seu servidor DNS corporativo, crie uma zona para os domínios listados na seção Configuração de DNS on-premises acima.
Para Databricks on AWS GovCloud, crie uma zona para privatelink.cloud.databricks.us em vez disso. Para AWS GovCloud DoD, use privatelink.cloud.databricks.mil.
o passo 2: Adicionar registros A
Crie um registro A que mapeia o endpoint regional para o IP privado do seu endpoint de VPC. Por exemplo:
Nome do registro | Tipo de registro | Valor |
|---|---|---|
| A | IP privado do seu endpoint VPC de entrada |
Para AWS GovCloud, o nome da região é pendleton e o domínio é privatelink.cloud.databricks.us. Para AWS GovCloud DoD, use privatelink.cloud.databricks.mil. Adicione também encaminhamento ou registros para *.aws-gov.databricksapps.us (GovCloud) ou *.aws-dod.databricksapps.mil (DoD) se você usar Databricks Apps.
Verificação
Teste a resolução de DNS da sua rede corporativa. Por exemplo:
$ dig +short <my-custom-account-name>.databricks.com
<my-custom-account-name>.databricks.com
10.176.10.182
O URL deve ser resolvido para o endereço IP privado do seu endpoint da VPC.
Cenários especiais de implantação
- Mixed deployments
- Hybrid access (private and public endpoints)
- Databricks Apps domains
Você pode ter alguns espaços de trabalho usando um link privado de entrada e outros usando um endpoint público na mesma account. A resolução de DNS lida automaticamente com esse cenário.
O espaço de trabalho sem um objeto de configurações de acesso privado resolve para endereços IP públicos usando <region>.cloud.databricks.com. espaço de trabalho com um objeto de configurações de acesso privado resolve para <region>.privatelink.cloud.databricks.com e usa o IP privado.
Nenhuma configuração adicional de DNS é necessária para implantações mistas.
Você pode configurar um workspace para ser acessível tanto de um ponto de extremidade privado usando o Link Privado quanto de um ponto de extremidade público usando a internet.
Para ativar o acesso híbrido:
- Ao criar um objeto de Configurações de Acesso Privado, defina Acesso público ativado como Verdadeiro .
- O workspace agora está acessível tanto por meio de link privado quanto pela internet pública.
- Os usuários da sua rede corporativa com DNS privado configurado usam automaticamente o endpoint privado.
- Usuários fora da sua rede corporativa usam o endpoint público.
Para restringir quais endereços IP públicos podem acessar o workspace, configure listas de acesso IP. Isso permite que você adicione endereços IP de origem específicos à lista de permissões, como os de aplicativos SaaS confiáveis de terceiros.
Os aplicativos Databricks usam o domínio *.aws.databricksapps.com. Esses domínios usam um registro CNAME que resolve para dbc-<workspace-deployment-id>.cloud.databricks.com, que resolve para o endpoint regional.
Por exemplo:
$ nslookup natural-language-to-qdrant-1016658646341465.aws.databricksapps.com
natural-language-to-qdrant-1016658646341465.aws.databricksapps.com
canonical name = dbc-35bfa1f1-1292.cloud.databricks.com
dbc-35bfa1f1-1292.cloud.databricks.com
canonical name = oregon.cloud.databricks.com
Se você usar o encaminhamento condicional para *.cloud.databricks.com, os domínios dos aplicativos serão resolvidos automaticamente e corretamente. Se você usar a configuração manual de DNS, também precisará encaminhar *.aws.databricksapps.com ou criar registros correspondentes.
AWS GovCloud: Os aplicativos usam o domínio *.aws-gov.databricksapps.us, que usa CNAMEs para dbc-<id>.cloud.databricks.us. Se você usar o encaminhamento condicional para *.cloud.databricks.us, os domínios dos aplicativos serão resolvidos automaticamente e corretamente. Se você usar configuração DNS manual, encaminhe também *.aws-gov.databricksapps.us.
$ nslookup myapp-5271208389338040.aws-gov.databricksapps.us
myapp-5271208389338040.aws-gov.databricksapps.us
canonical name = dbc-a1b2c3d4.cloud.databricks.us
dbc-a1b2c3d4.cloud.databricks.us
canonical name = pendleton.cloud.databricks.us
AWS GovCloud DoD: Os aplicativos usam o domínio *.aws-dod.databricksapps.mil, que usa CNAMEs para dbc-<id>.cloud.databricks.mil. Se você usar o encaminhamento condicional para *.cloud.databricks.mil, os domínios dos aplicativos serão resolvidos automaticamente e corretamente. Se você usar configuração DNS manual, encaminhe também *.aws-dod.databricksapps.mil.
Para obter mais informações sobre a rede Databricks Apps, consulte Controles de entrada.
Verificação
Após configurar o DNS, verifique se suas URLs são resolvidas corretamente para endereços IP privados.
- Use nslookup
- Use dig
- Test workspace access
De uma máquina em sua rede corporativa, teste a resolução de DNS:
$ nslookup myworkspace.cloud.databricks.com
Resultado esperado:
myworkspace.cloud.databricks.com canonical name = sydney.privatelink.cloud.databricks.com
Name: sydney.privatelink.cloud.databricks.com
Address: 10.176.10.182
A URL deve ser resolvida por meio do subdomínio privatelink para um endereço IP privado, tipicamente no intervalo 10.x.x.x, 172.16.x.x ou 192.168.x.x.
Você também pode usar dig para obter informações de DNS mais detalhadas:
$ dig +short myworkspace.cloud.databricks.com
sydney.privatelink.cloud.databricks.com
10.176.10.182
Após verificar a resolução de DNS, teste se você pode acessar os recursos no nível do workspace ou da account:
- A partir de um computador na sua rede corporativa ou conectado através de uma VPN, abra um navegador web.
- Vá para sua URL (URL personalizado ou URLs não personalizados).
- Verifique se você pode fazer log in e acessar o workspace ou o recurso no nível da account.
Se você não conseguir acessar o workspace:
- Verifique se o seu endpoint VPC tem a opção "Ativar nome DNS" habilitada.
- Verifique se sua Zona Hospedada Privada está associada à VPC correta.
- Verifique se as regras de encaminhamento condicional estão configuradas corretamente no DNS da sua empresa.
- Confirme se existe conectividade de rede entre a sua rede corporativa e a VPC da AWS usando o Direct Connect ou VPN.
- Verifique se as regras do grupo de segurança no seu endpoint VPC permitem tráfego TCP de entrada na porta 443.
Problemas comuns
Resolução de DNS retorna IPs públicos: Suas regras de encaminhamento condicional não estão funcionando corretamente ou as consultas não estão chegando ao Route 53. Verifique a configuração do seu servidor DNS e o endpoint de resolvedor de entrada do Route 53.
O URL não é resolvido: Sua Zona Hospedada Privada pode não ter o registro A correto, ou a zona hospedada não está associada à VPC correta. Verifique sua configuração do Route 53.
Não é possível acessar recursos em nível de workspace ou de account depois que o DNS é resolvido: verifique a conectividade da rede e as regras do grupo de segurança. Verifique se sua rede corporativa pode alcançar o IP privado do endpoint de VPC na porta 443.
Boa prática: resolução de DNS consistente para o plano compute clássico. Link privado.
Se você também configurar o Private Link do plano compute clássico, certifique-se de que o URL workspace e o URL intermediário do Private Link apontem para o mesmo endpoint VPC dentro da sua VPC do plano compute . Quando compute é iniciado, os nós worker Databricks usam tanto o URL workspace quanto o URL do link privado intermediário para acessar o plano de controle. Se esses URLs forem resolvidos para um endpoint VPC diferente, isso pode entrar em conflito com sua política de configurações de acesso privado e causar falhas compute .
Para identificar todos os nomes DNS na cadeia de resolução do seu workspace, faça uma pesquisa DNS pública na URL do seu workspace usando uma ferramenta como Google Dig. A cadeia normalmente inclui a URL do seu workspace e a URL do Private Link intermediário, que tem o formato dbc-dp-<workspace-id>.cloud.databricks.com.
Garanta que ambos apontem para o mesmo endpoint da VPC usando uma das seguintes abordagens:
- Substitua o DNS apenas para o URL do Private Link intermediário: Não configure uma substituição explícita de DNS para o URL do workspace. Use uma solução DNS que suporte o encadeamento de DNS, como o AWS Route 53. Como o URL do workspace é resolvido publicamente por meio do URL do Private Link intermediário, o encadeamento de DNS intercepta a cadeia e resolve ambos para o IP privado do seu endpoint de VPC.
- Substituir DNS para a URL do workspace: configure a URL do workspace para ser resolvida para o mesmo IP privado que a URL do Private Link intermediário. Se sua VPC de compute plane tiver conectividade DNS pública, remova quaisquer substituições explícitas na URL do workspace. Se sua VPC usa apenas DNS privado, adicione uma substituição explícita para corresponder à resolução da URL do Private Link intermediário.
Para verificar, execute o seguinte comando dentro da sua VPC do plano compute . Ambos os comandos devem retornar o mesmo endereço IP privado:
nslookup <workspace-url>
nslookup dbc-dp-<workspace-id>.cloud.databricks.com
O que vem a seguir?
- Ativar Private Link de entrada (front-end): Se você ainda não configurou o Private Link, consulte Configurar o PrivateLink de entrada para workspaces.
- Habilite o Private Link do plano de compute clássico: conclua a configuração de sua conectividade privada configurando o Private Link de seu plano de compute para o plano de controle. Consulte Configurar a conectividade privada clássica com o Databricks.
- Listas de acesso IP: adicione uma camada adicional de segurança controlando quais endereços IP públicos podem acessar seu workspace. Consulte Configurar listas de acesso IP para workspaces.