サーバレス コンピュート プレーン ネットワーキング
このガイドでは、Databricks サーバーレス コンピュート プレーンのコンピュート リソースと顧客のリソース間のネットワーク アクセスをセキュリティで保護するためのツールを紹介します。 コントロール プレーンとサーバレス コンピュート プレーンの詳細については、 「Databricks アーキテクチャの概要」を参照してください。
クラシック コンピュートとサーバレス コンピュートの詳細については、 コンピュートの種類を参照してください。
注:
2024 年 10 月 7 日より、 Databricks は、サーバレス コンピュート リソースが外部リソースに接続することで発生するネットワーク費用を顧客に請求します。 今後数か月で、コンピュートタイプに基づく請求に徐々に移行します。 これにより、最初は請求額が安くなる可能性があります。 課金の詳細については、「 Databricks 価格」を参照してください。
サーバレスコンピュートプレーンネットワーキングの概要
サーバーレス コンピュート リソースは、Databricks によって管理されるサーバーレス コンピュート プレーンで実行されます。 アカウント管理者は、サーバレス コンピュート プレーンとそのリソースの間の安全な接続を構成できます。 このネットワーク接続は、次の図で 2 とラベル付けされています。
コントロール プレーンとサーバレス コンピュート プレーン間の接続は、パブリック インターネットではなく、常にクラウド ネットワーク バックボーン経由で行われます。 図内の他のネットワーク接続でのセキュリティ機能の構成の詳細については、 「ネットワーク」を参照してください。
データ転送コスト
サーバレスコンピュートプレーンネットワーク製品は、データ転送コストが発生する場合があります。 データ転送の価格とデータ転送の種類の詳細については、 Databricks価格ページを参照してください。 リージョン間の課金を回避するために、Databricks では、リソースと同じリージョンにワークスペースを作成することをお勧めします。
サーバレス ネットワーク製品には 1 つのSKUタイプがあります。
Databricks パブリック接続を使用すると、パブリック IP を使用してクラウド リソースまたはインターネットに接続できます。 Databricks パブリック接続を介して転送されるデータの量に応じて料金が発生します。 Databricks パブリック接続は、ユーザーが接続しているリソースに応じて暗黙的に使用されます。 S3 および Dynamo DB に接続するには、可能な限り S3 および Dynamo DB ゲートウェイが使用されます。 「サーバレス コンピュート アクセス用のファイアウォールの構成」を参照してください。
ネットワーク接続構成 (NCC) とは
サーバーレスのネットワーク接続は、ネットワーク接続構成 (NCC) を使用して管理されます。 NCC は、プライベート エンドポイントの作成とファイアウォールの有効化を大規模に管理するために使用されるアカウント レベルの地域構造です。
アカウント管理者はアカウント コンソールで NCC を作成します。NCC を 1 つ以上のワークスペースに接続して、リソースのファイアウォールを有効にすることができます。 NCCには、安定したIPアドレスのリストが含まれています。 NCC がワークスペースに接続されている場合、そのワークスペース内のサーバレス コンピュートは、これらの IP アドレスの 1 つを使用してクラウド リソースに接続します。 リソース ファイアウォール上でこれらのネットワークを許可リストに登録できます。 「サーバレス コンピュート アクセス用のファイアウォールの構成」を参照してください。
リソース ファイアウォールを作成すると、クラシック コンピュート プレーンからリソースへの接続にも影響します。 また、クラシック コンピュート リソースからリソース ファイアウォールに接続できるネットワークを許可リストに登録する必要があります。
NCC ファイアウォールの有効化は、サーバーレスSQLウェアハウス、ジョブ、ノートブック、 Delta Live Tablesパイプライン、およびモデルサービング CPU エンドポイントからサポートされています。
NCC ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。 AmazonS3ワークスペースと同じリージョンにある バケットを読み書きする場合は、 ゲートウェイエンドポイントを使用してS3 AWSに直接アクセスします。これは、サーバーレス コンピュートがAWSアカウント内のワークスペース ストレージ バケットと、同じリージョン内の他のS3データソースに対して読み取りと書き込みを行う場合に適用されます。