ワークスペース ネットワーク構成の更新
プレビュー
この機能は パブリック プレビュー段階です。
既存のワークスペースを更新または再構成する Private サービス Connect
このページでは、既存の Databricks ワークスペースのネットワーク構成を更新して、プライベート サービス コネクトを使用したり、既存のワークスペースのフロントエンドまたはバックエンドのプライベート サービス コネクト設定を変更したり、サブネットの IP 範囲の拡張など、基盤となるネットワーク構成を変更したりするための手順を順を追って説明します。
ネットワーク構成を更新する理由
ワークスペース ネットワーク構成を更新すると、次の強化されたセキュリティおよび接続機能が提供されます。
- セキュリティの強化 : Private サービス Connect を使用して、 VPC と Databricks サービスの間にプライベート接続を確立します。
- 柔軟なネットワーク : サブネットの IP 範囲とネットワーク構成を変更して、組織の要件を満たします。
- サービス統合 : プライベート エンドポイントを使用して、ワークスペースを他の Google Cloud サービスに接続します。
- カスタム接続 : 特定のユースケースに合わせてフロントエンドとバックエンドのプライベートサービス接続設定を構成します。
始める前に
- 中断を防ぎ、安全な更新を確保するには、すべての稼働中のクラスターとジョブを終了します。 更新の完了後に再起動できます。
既存のワークスペースのサブネットを変更する
ワークスペースで使用される IP 範囲を変更するには、目的の範囲で新しいサブネットを作成し、それを使用するようにネットワーク構成を更新する必要があります。
ステップ 1: クラウド リソースを作成する
Google Cloud プロジェクトと Databricks アカウントに必要なクラウド リソースを作成します。
- 新しいサブネットを作成する : Google Cloud プロジェクトで使用する新しい CIDR 範囲を使用して、VPC にサブネットを作成します。
- ネットワーク構成オブジェクトを作成する: Databricks アカウントのサブネットに対してネットワーク構成オブジェクトを作成します。ステップ 2: サブネットを作成するを参照してください。
手順 2: API を使用してワークスペースを更新する
Databricks アカウント REST API を使用してワークスペースを更新します。
-
認証 : アカウント API に対して認証します。「 Databricks リソースへのアクセスを承認する」を参照してください。Google Cloud では、 Google ID トークンを使用した認証を使用することもできます。
-
REST API を実行します 。
-
エンドポイント :
PATCH /api/2.0/accounts/{account_id}/workspaces/{workspace_id} -
Path パラメーター :
account_id(必須、uuid)workspace_id(必須、int64)
-
クエリ パラメーター :
update_mask(必須、文字列)
-
-
リクエストの例 :
HTTPPATCH /api/2.0/accounts/{account_id}/workspaces/{workspace_id}?update_mask=network_id
Content-Type: application/json
{
"network_id": "fd0cc5bc-683c-47e9-b15e-144d7744a496"
} -
応答の例 :
JSON{
"workspace_id": 3389895405782117,
"workspace_name": "jessie-example-ws",
"creation_time": 1722542958272,
"deployment_name": "3389895405782117.7",
"workspace_status": "RUNNING",
"account_id": "2e0b6f3b-e1dc-43ea-93f5-7d55b9d7b780",
"workspace_status_message": "Workspace is running.",
"network_id": "fd0cc5bc-683c-47e9-b15e-144d7744a496",
"pricing_tier": "ENTERPRISE",
"location": "us-east4",
"cloud": "gcp",
"identity_federation_info": {
"enable_identity_federation": true
},
"gke_config": {
"connectivity_type": "PRIVATE_NODE_PUBLIC_MASTER",
"master_ip_range": "10.103.0.0/28"
},
"cloud_resource_container": {
"gcp": {
"project_id": "databricks-dev-entd-shared"
}
}
}
ステップ 3: ファイアウォールを構成する
ファイアウォールのイングレスルールを更新して、新しいCIDR範囲を反映させます。Databricks イングレス ルール ソースが新しい CIDR 範囲を反映するように更新されていることを確認します。詳細については、「 ファイアウォールを使用してワークスペースのネットワーク エグレスを制限する」を参照してください。
ステップ 4: クラスタリングとジョブを再起動する
ワークスペースの更新が完了したら、ワークスペースでクラスタリングとジョブを再起動します。
プライベート サービス コネクト以外のワークスペースを移行するか、既存のワークスペースのプライベート サービス接続構成を変更する
プライベート・サービス・コネクト以外のワークスペースをマイグレーションする場合、または既存のワークスペースのプライベート・サービス・コネクト構成を変更する場合は、以下のステップを実行します。
アカウントがPrivate サービス Connect で有効になっていることを確認します。 そうでない場合は、Databricks アカウント チームに連絡して、特定のアカウント、プロジェクト、リージョンに対して有効にしてください。
ステップ 1: クラウド リソースを作成または更新する
- 必要なクラウドリソースを作成または更新します。
- VPC エンドポイント: 「 ステップ 3: VPC エンドポイントを作成する」を参照してください。
- プライベートアクセス設定: プライベート アクセス設定の作成を参照してください。
- ネットワーク構成: 「 ステップ 6: ネットワーク構成を作成する」を参照してください。
これらのリソースの ID は、ステップ 2 で必要になります。
手順 2: API を使用してワークスペースを更新する
変更を適用するには、アカウント API に PATCH リクエストを送信します。
-
認証: アカウント API に対して認証します。「 Databricks リソースへのアクセスを承認する」を参照してください。Google Cloud では、 Google ID トークンを使用した認証を使用することもできます。
-
エンドポイント:
PATCH /api/2.0/accounts/{account_id}/workspaces/{workspace_id} -
クエリ パラメーター: 更新するフィールドを指定するには、
update_maskクエリ パラメーターを含める必要があります。- 例:
update_mask=network_id,private_access_settings_id
- 例:
-
要求本文: 新しい
network_idやprivate_access_settings_idを JSON 本文に含めます。
次の要求例では、ワークスペースのネットワーク構成とプライベート アクセス設定に変更が適用されます。
PATCH /api/2.0/accounts/{account_id}/workspaces/{workspace_id}?update_mask=network_id,private_access_settings_id
Content-Type: application/json
{
"network_id": "fd0cc5bc-683c-47e9-b15e-244d7744a496",
"private_access_settings_id": "3b3bbcb5-46bd-4b03-944e-97eb44ed7991"
}
応答の例:
{
"workspace_id": 3389895405782117,
"workspace_name": "jessie-example-ws",
"creation_time": 1722542958272,
"deployment_name": "3389895405782117.7",
"workspace_status": "RUNNING",
"account_id": "2e0b6f3b-e1dc-43ea-93f5-7d55b9d7b780",
"workspace_status_message": "Workspace is running.",
"network_id": "fd0cc5bc-683c-47e9-b15e-144d7744a496",
"pricing_tier": "ENTERPRISE",
"private_access_settings_id": "3b3bbcb5-46bd-4b03-944e-97eb44ed7991",
"location": "us-east4",
"cloud": "gcp",
"identity_federation_info": {
"enable_identity_federation": true
},
"gke_config": {
"connectivity_type": "PRIVATE_NODE_PUBLIC_MASTER",
"master_ip_range": "10.103.0.0/28"
},
"cloud_resource_container": {
"gcp": {
"project_id": "databricks-dev-entd-shared"
}
}
}
ステップ 3: DNS を構成する (オプション)
この手順は、更新後にワークスペースがプライベートサービス接続ワークスペースの場合に必要です。 ユーザーが新しいワークスペース URL にアクセスできるようにするには、DNS を構成する必要があります。「ステップ 9: DNS の設定」を参照してください。
手順 4: ファイアウォールを構成する (オプション)
このステップは、異なるCIDR範囲を使用するネットワーク設定オブジェクトでワークスペースを更新した場合に必要です。
ファイアウォールのイングレスルールを更新して、新しいサブネットCIDR範囲からのトラフィックを許可します。Databricks イングレス ルール ソースが新しい CIDR 範囲を反映するように更新されていることを確認します。詳細については、「 ファイアウォールを使用してワークスペースのネットワーク エグレスを制限する」を参照してください。
ステップ 5: クラスタリングとジョブを再起動する
ワークスペースの更新が完了し、必要な DNS またはファイアウォールの変更が設定されたら、クラスタリングとジョブを再起動できます。