サーバレスコンピュートアクセス用のファイアウォールを設定する
プレビュー
この機能は パブリック プレビュー段階です。 このプレビューに参加するには、Databricks アカウント チームにお問い合わせください。
この記事では、Databricks アカウント コンソール UI を使用してサーバレス コンピュート用のファイアウォールを構成する方法について説明します。 ネットワーク接続構成 APIを使用することもできます。 ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。
注:
2024 年 10 月 7 日より、 Databricks は、サーバレス コンピュート リソースが外部リソースに接続することで発生するネットワーク費用を顧客に請求します。 今後数か月の間に、サーバレス ネットワーク請求は段階的に展開されますが、その結果、請求が徐々に変更される可能性があります。 課金の詳細については、「 Databricks 価格」を参照してください。
サーバレスコンピュートのファイアウォール有効化の概要
サーバーレスのネットワーク接続は、ネットワーク接続構成 (NCC) によって管理されます。 アカウント管理者はアカウント コンソールで NCC を作成し、NCC を 1 つ以上のワークスペースに接続できます。
NCC には IP のリストが含まれています。 NCC がワークスペースに接続されている場合、そのワークスペースのサーバレス コンピュートは、これらの IP アドレスの 1 つを使用してリソースに接続します。 リソース ファイアウォール上でこれらのネットワークを許可リストに登録できます。
NCC ファイアウォールの有効化は、サーバーレスSQLウェアハウス、ジョブ、ノートブック、 Delta Live Tablesパイプライン、およびモデルサービング CPU エンドポイントからサポートされています。
NCC の詳細については、 「ネットワーク接続構成 (NCC) とは何ですか?」を参照してください。 。
要件
ワークスペースは、 Premium プラン以上である必要があります。
Databricksアカウント管理者である必要があります。
各 NCC は最大 50 のワークスペースに接続できます。
各 Databricks アカウントは、サポートされているリージョンごとに最大 10 個の NCC を持つことができます。 サポートされているリージョンのリストについては、 「Databricks のクラウドとリージョン」を参照してください。
ターゲット リソースはパブリックにアクセスできる必要があります。
ステップ 1: ネットワーク接続構成を作成し、安定した IP をコピーする
Databricks では、同じビジネス ユニット内のワークスペース間および同じリージョンを共有するワークスペース間で NCC を共有することをお勧めします。
アカウント管理者として、アカウント コンソールに移動します。
サイドバーで、 「クラウドリソース」をクリックします。
[ネットワーク]をクリックします。
[ Network Connectivity Configuration] をクリックします。
[ Add Network Connectivity Configuration] をクリックします。
NCC の名前を入力します。
地域を選択します。 これはワークスペースのリージョンと一致する必要があります。
「追加」をクリックします。
[デフォルト ルール]タブをクリックします。
[安定した IP] で [すべての IP をコピー] をクリックし、IP のリストを保存します。
ステップ 2: NCC をワークスペースに接続する
NCC は、NCC と同じリージョン内の最大 50 のワークスペースにアタッチできます。
API を使用して NCC をワークスペースに接続するには、 「アカウント ワークスペース API」を参照してください。
アカウント コンソールのサイドバーで、 [ワークスペース]をクリックします。
ワークスペースの名前をクリックします。
[ワークスペースを更新]をクリックします。
[ネットワーク接続設定] フィールドで、NCC を選択します。表示されない場合は、ワークスペースと NCC の両方に同じリージョンを選択していることを確認します。
[更新]をクリックします。
変更が有効になるまで 10 分間待ちます。
ワークスペースで実行中のサーバレス コンピュート リソースを再起動します。
ステップ 3: リソース アクセス ルールを更新して IP をホワイトリストに登録する
安定した IP をリソース アクセス ルールに追加します。 詳細については、AWS ドキュメントの「AWS グローバル条件コンテキスト キー」を参照してください。
ストレージ ファイアウォールを作成すると、従来のコンピュート プレーン リソースからリソースへの接続にも影響します。 また、従来のコンピュートリソースから接続するための IP を許可リストに追加するように、リソース アクセス ルールを更新する必要があります。
NCC ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。 AmazonS3ワークスペースと同じリージョンにある バケットを読み書きする場合は、 ゲートウェイエンドポイントを使用してS3 AWSに直接アクセスします。これは、serverlessSQL コンピュート がSQL AWS内のワークスペース ストレージ バケットと、同じリージョン内の他のS3データソースに対して読み取りと書き込みを行う場合に適用されます。