ドメイン名ファイアウォールルールの構成
企業のファイアウォールがドメイン名に基づくトラフィックをブロックしている場合は、Databricksリソースへのアクセスを確保するために、Databricksドメイン名へのHTTPSおよびWebSocketトラフィックを許可する必要があります。2つのオプションから選択できます。1つはより許容的で構成が簡単で、もう1つはワークスペースドメインに固有です。
ファイアウォールを使用して コンピュート プレーン 内のクラスターやその他のコンピュート リソースからのエグレスを制限するには、「 ファイアウォールを使用してワークスペースのネットワーク エグレスを制限する」を参照してください。
オプション 1: トラフィックを許可する *.gcp.databricks.com
*.gcp.databricks.comへのHTTPS およびWebSocketトラフィックを許可するようにファイアウォールルールを更新します。これはオプション2よりも許容的ですが、アカウント内の各Databricksワークスペースのファイアウォールルールを更新する手間が省けます。
オプション 2: Databricks ワークスペースとアカウント コンソールへのトラフィックのみを許可する
アカウント内の各ワークスペースにファイアウォールルールを設定する場合は、以下の手順が必要です。
-
ワークスペースのドメインを特定します。 Databricks ワークスペースのドメイン名には、ワークスペース ID と、ワークスペース ID の最後の桁であるサブドメインが含まれます。
<workspace-ID>.<last-digit-of-workspace-ID>.gcp.databricks.com例えば:
12345678990.0.gcp.databricks.com使用しているワークスペースから URL を取得するには、ブラウザーの URL を使用します。
ワークスペースの URL は、アカウント コンソールから取得することもできます
-
そのネットワークからアカウントコンソールにアクセスする必要がある場合は、次のトラフィックも許可します。
accounts.gcp.databricks.com -
ファイアウォールルールを更新します。 ファイアウォールルールを更新して、ドメインへの HTTPS トラフィックと WebSocket トラフィックを許可します。
UIアセットのCDNドメインへのトラフィックを許可する
Databricks UI は、コンテンツ配信ネットワーク (CDN) ドメインから CSS、JavaScript、画像などの静的アセットを読み込みます。JavaScript は許可するが CSS やフォント ファイルはブロックするなど、アセット タイプを選択的にブロックすると、UI が壊れる可能性があります。
UI を機能させ続けるには、CDN ドメインからのすべてのアセット タイプを許可します。
https://ui-assets.gcp.databricks.com/- Databricks UI アセットhttps://*.cloud.databricksusercontent.com- ノートブックアセット
ファイアウォール構成の推奨事項
- リストされているすべての CDN ドメインに同じルールを適用します。
- CSS、JavaScript、画像、フォント ファイルの選択的なフィルタリングは避けてください。
- すべての CDN ドメインへの HTTPS (ポート 443) を許可します。