Pular para o conteúdo principal
Última atualização em

Configuração de firewall compute sem servidor

info

Visualização

Este recurso está em Pré-visualização Pública.

Databricks serverless compute conecta-se aos seus recursos cloud através da infraestrutura de rede do Gerenciador. Se seus recursos cloud estiverem protegidos por firewalls, você deve permitir o tráfego de compute serverless . O método de configuração depende do tipo de recurso:

  • BucketsAmazon S3 na região do seu workspace : Use a chave de condição VPCE OrgPath nas políticas dos seus buckets S3 .
  • Outro recurso : Lista de permissões de endereços IP de saída serverless publicada pela Databricks.
importante

A partir de meados de fevereiro de 2026, Databricks publicará endereços IP de saída serverless em formato JSON em um endpoint público, que é o método suportado para recuperar esses endereços IP. Consulte as orientações abaixo.

Se você usa IPs estáveis da Pré-visualização Pública ou os copiou de uma configuração de conectividade de rede (NCC) no console da account, você deve migrar para o novo método antes de 25 de maio de 2026. Após 25 de maio de 2026, as listas de IP legadas serão desativadas, e migrações incompletas podem resultar em interrupções na carga de trabalho.

Considerações

  • A inclusão de funcionalidades na lista de permissões do DynamoDB está em versão prévia privada. Entre em contato com a equipe da sua account Databricks para obter acesso.
  • Configurar um firewall também afeta a conectividade de recursos de compute clássicos. Atualize suas regras de acesso aos recursos para permitir os IPs para conexões de recursos de compute clássicos.
  • Aguarde o tempo necessário para a propagação das regras do firewall antes de testar a conectividade a partir de compute serverless .

Acesso ao bucket S3 usando VPCE OrgPath

compute sem servidor se comunica com buckets Amazon S3 na mesma região que seu workspace por meio de um endpoint VPC (VPCE). Você pode restringir o acesso ao bucket S3 apenas ao compute serverless Databricks adicionando uma condição à sua política de bucket S3 que usa a key de condição aws:VpceOrgPaths .

Databricks serverless OrgPath

o-g29axo4oyt/r-gu8r/ou-gu8r-g4va1rkr/ou-gu8r-hvyilq7g/
nota

O VPCE OrgPath contém VPCs serverless do Databricks. Cada VPC tem um endpoint de gateway S3. Endpoints de gateway são disponíveis apenas na região em que são criados.

Endereços IP de saída para outros recursos

Para recursos que não sejam Amazon S3 ou Amazon DynamoDB na mesma região, compute serverless usa endereços IP de saída regionais para alcançar seu recurso. Você deve adicionar os blocos CIDR publicados pelo Databricks à lista de permissões.

Recuperar os intervalos de IP de saída

A Databricks publica endereços IP de saída serverless em formato JSON em um URL compartilhado com você após a inscrição nesta Pré-visualização Pública.

A Databricks pode atualizar os endereços IP de saída até uma vez a cada 30 dias. Os endereços IP atualizados entram em vigor em até 60 dias após a publicação. Após novas regiões do Databricks ficarem disponíveis, seus endereços IP ativos são publicados no arquivo.

Para manter seus firewalls atualizados, crie uma automação que busque o JSON em um programa alinhado com a frequência de atualização e salve o arquivo para rastrear as alterações. Detecte atualizações comparando o valor timestampSeconds entre a versão atual e as versões salvas anteriormente e, em seguida, verifique se os IPs específicos da sua região foram alterados. Atualize seu firewall conforme necessário. Para encontrar os IPs de saída do seu ambiente, filtre as entradas onde service é Databricks, platform é aws, type é outbound e region corresponde à região do seu workspace .

Passos seguintes

Nesta página