レイクハウスフェデレーションのネットワークに関する推奨事項
この記事では、Databricks クラスターまたは SQLウェアハウスと、レイクハウス フェデレーションを使用して接続している外部データベース システムとの間に実行可能なネットワーク パスを設定するためのガイダンスを提供します。
次の重要な情報に留意してください。
すべてのネットワーク トラフィックは、Databricks クラスター (または SQLウェアハウス) と外部データベース システムの間で直接行われます。 Unity Catalog コントロールプレーンも Databricks コントロール プレーンもネットワーク パス上にありません。
Databricks コンピュート (つまり、クラスターと SQLウェアハウス) は常にクラウド上でデプロイされますが、Databricks コンピュートと外部データベースの間に実行可能なネットワーク パスがある限り、外部データベース システムはオンプレミスまたは任意のクラウド プロバイダーでホストできます。
Databricks コンピュートまたは外部データベース システムのいずれかに受信または送信のネットワーク制限がある場合は、実行可能なネットワーク パスの作成に役立つ一般的なガイダンスについて、次のセクションを参照してください。
Databricks ワークスペースのネットワークの詳細については、 「ネットワーク」を参照してください。
データベースシステムのネットワークアクセス制限
外部データベース システムに受信または送信のネットワーク アクセス制限があり、 DatabricksクラスターまたはSQLウェアハウスにインターネットからアクセスできる場合は、クラシック データベース リソースから接続するために、次のいずれかのネットワーク ソリューションを構成します。
Databricks コンピュートの安定したエグレス IP。
クラシック コンピュート プレーンから、ロード バランサー、NAT ゲートウェイ、インターネット ゲートウェイ、または同等のものを使用して安定した IP アドレスを設定し、 Databricksコンピュートがデプロイされているサブネットに接続します。 これにより、コンピュート リソースは、外部データベース側でホワイトリストに登録できる安定したパブリック IP アドレスを共有できるようになります。
サーバレス コンピュート プレーンから、安定した egress IP がサポートされます。 「ステップ 1: ネットワーク接続構成を作成し、安定した IP をコピーする」を参照してください。
外部データベース システムは、入力トラフィックと出力トラフィックの両方に対して Databricks コンピュート 安定した IP を許可リストに登録する必要があります。
PrivateLink (外部データベースが Databricks コンピュートと同じクラウド上にある場合のみ)
クラシック コンピュート プレーンから、データベースがデプロイされているネットワークとDatabricksがデプロイされているネットワークの間に PrivateLink 接続を構成します。
Databricks コンピュートのネットワーク アクセス制限
外部データベース システムがインターネットからアクセス可能で、Databricks コンピュートに受信または送信ネットワーク アクセス制限がある場合 (これは、顧客管理ネットワーク上にいる場合にのみ可能)、次のいずれかの構成を実行します。
Databricks コンピュートがデプロイされているサブネットのファイアウォール規則で、外部データベースのホスト名を許可リストに登録します。
ホスト名ではなく外部データベースの IP アドレスを許可リストに登録する場合は、外部データベースに安定した IP アドレスがあることを確認してください。
PrivateLink (外部データベースが Databricks コンピュートと同じクラウド上にある場合のみ)
データベースがデプロイされているネットワークと Databricks コンピュートがデプロイされているネットワークの間に PrivateLink 接続を構成します。