メインコンテンツまでスキップ

ワークスペース ネットワーク構成の更新

備考

プレビュー

この機能は パブリック プレビュー段階です。

既存のワークスペースを更新または再構成する Private サービス Connect

このページでは、既存の Databricks ワークスペースのネットワーク構成を更新して、プライベート サービス コネクトを使用したり、既存のワークスペースのフロントエンドまたはバックエンドのプライベート サービス コネクト設定を変更したり、サブネットの IP 範囲の拡張など、基盤となるネットワーク構成を変更したりするための手順を順を追って説明します。

ネットワーク構成を更新する理由

ワークスペース ネットワーク構成を更新すると、次の強化されたセキュリティおよび接続機能が提供されます。

  • セキュリティの強化 : Private サービス Connect を使用して、 VPC と Databricks サービスの間にプライベート接続を確立します。
  • 柔軟なネットワーク : サブネットの IP 範囲とネットワーク構成を変更して、組織の要件を満たします。
  • サービス統合 : プライベート エンドポイントを使用して、ワークスペースを他の Google Cloud サービスに接続します。
  • カスタム接続 : 特定のユースケースに合わせてフロントエンドとバックエンドのプライベートサービス接続設定を構成します。

始める前に

  • 中断を防ぎ、安全な更新を確保するには、すべての稼働中のクラスターとジョブを終了します。 更新の完了後に再起動できます。

既存のワークスペースのサブネットを変更する

ワークスペースで使用される IP 範囲を変更するには、目的の範囲で新しいサブネットを作成し、それを使用するようにネットワーク構成を更新する必要があります。

ステップ 1: クラウド リソースを作成する

Google Cloud プロジェクトと Databricks アカウントに必要なクラウド リソースを作成します。

  1. 新しいサブネットを作成する : Google Cloud プロジェクトで使用する新しい CIDR 範囲を使用して、VPC にサブネットを作成します。
  2. ネットワーク構成オブジェクトを作成する: Databricks アカウントのサブネットに対してネットワーク構成オブジェクトを作成します。ステップ 2: サブネットを作成するを参照してください。

手順 2: API を使用してワークスペースを更新する

Databricks アカウント REST API を使用してワークスペースを更新します。

  1. 認証 : アカウント API に対して認証します。「 Databricks リソースへのアクセスを承認する」を参照してください。Google Cloud では、 Google ID トークンを使用した認証を使用することもできます。

  2. REST API を実行します

    • エンドポイント : PATCH /api/2.0/accounts/{account_id}/workspaces/{workspace_id}

    • Path パラメーター :

      • account_id (必須、uuid)
      • workspace_id (必須、int64)
    • クエリ パラメーター :

      • update_mask (必須、文字列)
  3. リクエストの例 :

    HTTP
    PATCH /api/2.0/accounts/{account_id}/workspaces/{workspace_id}?update_mask=network_id
    Content-Type: application/json

    {
    "network_id": "fd0cc5bc-683c-47e9-b15e-144d7744a496"
    }
  4. 応答の例 :

    JSON
    {
    "workspace_id": 3389895405782117,
    "workspace_name": "jessie-example-ws",
    "creation_time": 1722542958272,
    "deployment_name": "3389895405782117.7",
    "workspace_status": "RUNNING",
    "account_id": "2e0b6f3b-e1dc-43ea-93f5-7d55b9d7b780",
    "workspace_status_message": "Workspace is running.",
    "network_id": "fd0cc5bc-683c-47e9-b15e-144d7744a496",
    "pricing_tier": "ENTERPRISE",
    "location": "us-east4",
    "cloud": "gcp",
    "identity_federation_info": {
    "enable_identity_federation": true
    },
    "gke_config": {
    "connectivity_type": "PRIVATE_NODE_PUBLIC_MASTER",
    "master_ip_range": "10.103.0.0/28"
    },
    "cloud_resource_container": {
    "gcp": {
    "project_id": "databricks-dev-entd-shared"
    }
    }
    }

ステップ 3: ファイアウォールを構成する

ファイアウォールのイングレスルールを更新して、新しいCIDR範囲を反映させます。Databricks イングレス ルール ソースが新しい CIDR 範囲を反映するように更新されていることを確認します。詳細については、「 ファイアウォールを使用してワークスペースのネットワーク エグレスを制限する」を参照してください。

ステップ 4: クラスタリングとジョブを再起動する

ワークスペースの更新が完了したら、ワークスペースでクラスタリングとジョブを再起動します。

プライベート サービス コネクト以外のワークスペースを移行するか、既存のワークスペースのプライベート サービス接続構成を変更する

プライベート・サービス・コネクト以外のワークスペースをマイグレーションする場合、または既存のワークスペースのプライベート・サービス・コネクト構成を変更する場合は、以下のステップを実行します。

注記

アカウントがPrivate サービス Connect で有効になっていることを確認します。 そうでない場合は、Databricks アカウント チームに連絡して、特定のアカウント、プロジェクト、リージョンに対して有効にしてください。

ステップ 1: クラウド リソースを作成または更新する

  1. 必要なクラウドリソースを作成または更新します。
    1. VPC エンドポイント:ステップ 3: VPC エンドポイントを作成する」を参照してください。
    2. プライベートアクセス設定: プライベート アクセス設定の作成を参照してください。
    3. ネットワーク構成:ステップ 6: ネットワーク構成を作成する」を参照してください。

これらのリソースの ID は、ステップ 2 で必要になります。

手順 2: API を使用してワークスペースを更新する

変更を適用するには、アカウント API に PATCH リクエストを送信します。

  • 認証: アカウント API に対して認証します。「 Databricks リソースへのアクセスを承認する」を参照してください。Google Cloud では、 Google ID トークンを使用した認証を使用することもできます。

  • エンドポイント: PATCH /api/2.0/accounts/{account_id}/workspaces/{workspace_id}

  • クエリ パラメーター: 更新するフィールドを指定するには、 update_mask クエリ パラメーターを含める必要があります。

    • 例: update_mask=network_id,private_access_settings_id
  • 要求本文: 新しい network_idprivate_access_settings_id を JSON 本文に含めます。

次の要求例では、ワークスペースのネットワーク構成とプライベート アクセス設定に変更が適用されます。

HTTP
PATCH /api/2.0/accounts/{account_id}/workspaces/{workspace_id}?update_mask=network_id,private_access_settings_id
Content-Type: application/json

{
"network_id": "fd0cc5bc-683c-47e9-b15e-244d7744a496",
"private_access_settings_id": "3b3bbcb5-46bd-4b03-944e-97eb44ed7991"
}

応答の例:

JSON
{
"workspace_id": 3389895405782117,
"workspace_name": "jessie-example-ws",
"creation_time": 1722542958272,
"deployment_name": "3389895405782117.7",
"workspace_status": "RUNNING",
"account_id": "2e0b6f3b-e1dc-43ea-93f5-7d55b9d7b780",
"workspace_status_message": "Workspace is running.",
"network_id": "fd0cc5bc-683c-47e9-b15e-144d7744a496",
"pricing_tier": "ENTERPRISE",
"private_access_settings_id": "3b3bbcb5-46bd-4b03-944e-97eb44ed7991",
"location": "us-east4",
"cloud": "gcp",
"identity_federation_info": {
"enable_identity_federation": true
},
"gke_config": {
"connectivity_type": "PRIVATE_NODE_PUBLIC_MASTER",
"master_ip_range": "10.103.0.0/28"
},
"cloud_resource_container": {
"gcp": {
"project_id": "databricks-dev-entd-shared"
}
}
}

ステップ 3: DNS を構成する (オプション)

この手順は、更新後にワークスペースがプライベートサービス接続ワークスペースの場合に必要です。 ユーザーが新しいワークスペース URL にアクセスできるようにするには、DNS を構成する必要があります。「ステップ 9: DNS の設定」を参照してください。

手順 4: ファイアウォールを構成する (オプション)

このステップは、異なるCIDR範囲を使用するネットワーク設定オブジェクトでワークスペースを更新した場合に必要です。

ファイアウォールのイングレスルールを更新して、新しいサブネットCIDR範囲からのトラフィックを許可します。Databricks イングレス ルール ソースが新しい CIDR 範囲を反映するように更新されていることを確認します。詳細については、「 ファイアウォールを使用してワークスペースのネットワーク エグレスを制限する」を参照してください。

ステップ 5: クラスタリングとジョブを再起動する

ワークスペースの更新が完了し、必要な DNS またはファイアウォールの変更が設定されたら、クラスタリングとジョブを再起動できます。