サーバレスコンピュートアクセス用のファイアウォールを設定する

プレビュー

この機能は パブリック プレビュー段階です。 このプレビューに参加するには、Databricks アカウント チームにお問い合わせください。

この記事では、Databricks アカウント コンソール UI を使用してサーバレス コンピュート用のファイアウォールを構成する方法について説明します。 ネットワーク接続構成 APIを使用することもできます。 ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。

サーバレスコンピュートのファイアウォール有効化の概要

サーバーレスのネットワーク接続は、ネットワーク接続構成 (NCC) によって管理されます。 アカウント管理者はアカウント コンソールで NCC を作成し、NCC を 1 つ以上のワークスペースに接続できます。

NCC には IP のリストが含まれています。 NCC がワークスペースに接続されている場合、そのワークスペースのサーバレス コンピュートは、これらの IP アドレスの 1 つを使用してリソースに接続します。 リソース ファイアウォール上でこれらのネットワークを許可リストに登録できます。

NCC ファイアウォールの有効化は、管理するデータ ソースのサーバレス SQLウェアハウスからのみサポートされます。 サーバレス コンピュート プレーン内の他のコンピュート リソースや、ワークスペース ルート ストレージ (ルート DBFS) ではサポートされていません。

NCC の詳細については、 「ネットワーク接続構成 (NCC) とは何ですか?」を参照してください。 。

要件

  • ワークスペースは、 Premium プラン以上である必要があります。

  • Databricksアカウント管理者である必要があります。

  • 各 NCC は最大 50 のワークスペースに接続できます。

  • 各 Databricks アカウントは、サポートされているリージョンごとに最大 10 個の NCC を持つことができます。 サポートされているリージョンのリストについては、 「Databricks のクラウドとリージョン」を参照してください。

  • ターゲット リソースはパブリックにアクセスできる必要があります。

ステップ 1: ネットワーク接続構成を作成し、安定した IP をコピーする

Databricks では、同じビジネス ユニット内のワークスペース間および同じリージョンを共有するワークスペース間で NCC を共有することをお勧めします。

  1. アカウント管理者として、アカウント コンソールに移動します。

  2. サイドバーで、 「クラウドリソース」をクリックします。

  3. [ネットワーク]をクリックします。

  4. [ Network Connectivity Configuration] をクリックします。

  5. [ Add Network Connectivity Configuration] をクリックします。

  6. NCC の名前を入力します。

  7. 地域を選択します。 これはワークスペースのリージョンと一致する必要があります。

  8. 追加」をクリックします。

  9. [デフォルト ルール]タブをクリックします。

  10. [安定した IP] で [すべての IP をコピー] をクリックし、IP のリストを保存します。

ステップ 2: NCC をワークスペースに接続する

NCC は、NCC と同じリージョン内の最大 50 のワークスペースにアタッチできます。

API を使用して NCC をワークスペースに接続するには、 「アカウント ワークスペース API」を参照してください。

  1. アカウント コンソールのサイドバーで、 [ワークスペース]をクリックします。

  2. ワークスペースの名前をクリックします。

  3. [ワークスペースを更新]をクリックします。

  4. 「ネットワーク接続構成」フィールドで、NCC を選択します。 表示されない場合は、ワークスペースと NCC の両方に同じリージョンを選択していることを確認してください。

  5. [更新]をクリックします。

  6. 変更が有効になるまで 10 分間待ちます。

  7. ワークスペース内で実行中のサーバレス SQL ウェアハウスを再起動します。

ステップ 3: リソース アクセス ルールを更新して IP をホワイトリストに登録する

安定した IP をリソース アクセス ルールに追加します。 詳細については、AWS ドキュメントの「AWS グローバル条件コンテキスト キー」を参照してください。

ストレージ ファイアウォールを作成すると、クラシック コンピュート プレーンのリソースからリソースへの接続にも影響します。 また、リソース アクセス ルールを更新して、クラシック コンピュート リソースから接続する IP を許可リストに登録する必要があります。

NCC ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。