Configuração de firewall compute sem servidor
O compute serverless da Databricks conecta-se aos seus recursos de cloud por meio de uma infraestrutura de rede gerenciada. Se os firewalls protegem seus recursos de cloud, você deve permitir o tráfego do compute serverless. O método de configuração depende do tipo de recurso:
-
Buckets do Amazon S3 na região do seu workspace : Use chaves de condição VPCE OrgPath nas políticas do seu bucket S3.
-
Outros recursos : permita os endereços IP de saída publicados pelo Databricks.
Se você precisar de conectividade privada e dedicada para seus recursos, use uma conexão Private Link de saída para acessar seu recurso em vez de permitir endereços IP. Consulte Configurar conectividade privada para recursos em sua VPC.
Configure o acesso ao bucket S3 usando o VPCE OrgPath
compute sem servidor se comunica com buckets Amazon S3 na mesma região que seu workspace por meio de um endpoint VPC (VPCE). Você pode restringir o acesso ao bucket S3 apenas ao compute serverless Databricks adicionando uma condição à sua política de bucket S3 que usa a key de condição aws:VpceOrgPaths .
Databricks serverless OrgPath
o-g29axo4oyt/r-gu8r/ou-gu8r-g4va1rkr/ou-gu8r-hvyilq7g/
O VPCE OrgPath contém VPCs serverless do Databricks. Cada VPC tem um endpoint de gateway S3. Endpoints de gateway são disponíveis apenas na região em que são criados.
Configure o acesso a outros recursos usando endereços IP de saída
A partir de meados de fevereiro de 2026, a Databricks publica IPs de saída em formato JSON em um endpoint público, que é o método compatível para recuperar esses IPs.
Se você usa IPs estáveis da Pré-visualização Pública ou os copiou de uma configuração de conectividade de rede (NCC) no console da account, você deve migrar para o novo método antes de 25 de maio de 2026. Após 25 de maio de 2026, as listas de IP legadas serão desativadas, e migrações incompletas podem resultar em interrupções na carga de trabalho.
Para recursos que não sejam Amazon S3 ou Amazon DynamoDB na mesma região do seu workspace, o compute serverless usa endereços IP públicos para alcançar seus recursos.
Para permitir que o serverless acesse recursos com firewalls, você deve adicionar os blocos CIDR publicados pela Databricks à sua lista de permissões. Para obter mais informações sobre endereços IP de saída publicados, consulte IPs de saída para visualização de firewall de compute serverless.
Encontre os endereços IP de saída para seu ambiente
-
Faça o download de
ip-ranges.json. -
Filtre o JSON para as entradas que se aplicam ao seu workspace. Manter apenas entradas onde:
serviceéDatabrickstypeéoutboundregioncorresponde à sua região do workspaceplatformcorrespondênciasaws
-
Adicione
ipv4Prefixes(blocos CIDR) à lista de permissões a partir das entradas correspondentes no firewall do seu recurso.
Automatize Atualizações para Manter sua Lista de Permissões Atualizada
É necessário automatizar as atualizações de sua lista de permissões. A Databricks altera esses IPs ao longo do tempo, então uma cópia estática e única acabará por interromper a conectividade serverless. As atualizações são publicadas a cada 30 dias, novos IPs se tornam ativos em até 60 dias após a publicação e novas regiões são adicionadas periodicamente. Para manter sua lista de permissões atualizada:
- Busque
ip-ranges.jsonem um agendamento (por exemplo, a cada 30 dias). - Compare seu campo
timestampSecondscom sua cópia salva para detectar alterações. - Se houve alteração, verifique se os IPs do
platforme doregionforam alterados. - Atualize sua lista de permissões de firewall com quaisquer novos IPs.
- Salve o arquivo para a próxima comparação.
Considerações
Revise as seguintes considerações antes de configurar um firewall para compute serverless:
-
A configuração de um firewall também afeta a conectividade de recursos de compute clássicos. É necessário também atualizar suas regras de acesso aos recursos para permitir os IPs para conexões de recursos de compute clássicos.
-
Aguarde o tempo necessário para a propagação das regras do firewall antes de testar a conectividade a partir de compute serverless .
-
A inclusão de funcionalidades na lista de permissões do DynamoDB está em versão prévia privada. Entre em contato com a equipe da sua account Databricks para obter acesso.
Passos seguintes
- Configurar conectividade privada a recursos em sua VPC : use o PrivateLink para estabelecer acesso seguro e isolado a recursos em sua VPC a partir do compute serverless. Consulte Configurar conectividade privada a recursos em sua VPC.
- Gerenciar regras de endpoint privado : view, atualize e remova regras de endpoint privado para sua configuração de conectividade de rede. Consulte Gerenciar regras de endpoint privado.