サーバレス コンピュート プレーン ネットワーキング

このガイドでは、Databricks サーバーレス コンピュート プレーンのコンピュート リソースと顧客のリソース間のネットワーク アクセスをセキュリティで保護するためのツールを紹介します。 コントロール プレーンとサーバレス コンピュート プレーンの詳細については、 「Databricks アーキテクチャの概要」を参照してください。

注:

現在、サーバーレス機能にはネットワーク料金はかかりません。 今後のリリースでは、課金される可能性があります。 Databricks は、ネットワーク価格の変更について事前に通知します。

サーバレスコンピュートプレーンネットワーキングの概要

サーバーレス コンピュート リソースは、Databricks によって管理されるサーバーレス コンピュート プレーンで実行されます。 アカウント管理者は、サーバレス コンピュート プレーンとそのリソースの間の安全な接続を構成できます。 このネットワーク接続は、次の図で 2 とラベル付けされています。

ネットワーク接続の概要図

コントロール プレーンとサーバレス コンピュート プレーン間の接続は、パブリック インターネットではなく、常にクラウド ネットワーク バックボーン経由で行われます。 図内の他のネットワーク接続でのセキュリティ機能の構成の詳細については、 「ネットワーク」を参照してください。

ネットワーク接続構成 (NCC) とは

サーバーレスのネットワーク接続は、ネットワーク接続構成 (NCC) を使用して管理されます。 NCC は、プライベート エンドポイントの作成とファイアウォールの有効化を大規模に管理するために使用されるアカウント レベルの地域構造です。

アカウント管理者はアカウント コンソールで NCC を作成します。NCC を 1 つ以上のワークスペースに接続して、リソースのファイアウォールを有効にすることができます。 NCCには、安定したIPアドレスのリストが含まれています。 NCC がワークスペースに接続されている場合、そのワークスペース内のサーバレス コンピュートは、これらの IP アドレスの 1 つを使用してクラウド リソースに接続します。 リソース ファイアウォール上でこれらのネットワークを許可リストに登録できます。 「サーバレス コンピュート アクセス用のファイアウォールの構成」を参照してください。

リソース ファイアウォールを作成すると、クラシック コンピュート プレーンからリソースへの接続にも影響します。 また、クラシック コンピュート リソースからリソース ファイアウォールに接続できるネットワークを許可リストに登録する必要があります。

NCC ファイアウォールの有効化は、 SQLウェアハウス、ワークフロー、ノートブック、 Delta Live Tables 、および CPU エンドポイントからサポートされています。

NCC ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。 AmazonS3ワークスペースと同じリージョンにある バケットを読み書きする場合は、 ゲートウェイエンドポイントを使用してS3 AWSに直接アクセスします。これは、サーバーレス コンピュートがAWSアカウント内のワークスペース ストレージ バケットと、同じリージョン内の他のS3データソースに対して読み取りと書き込みを行う場合に適用されます。