メインコンテンツまでスキップ
最終更新

AWS デプロイメント用のファイアウォールを構成する

このページでは、SAP Databricksアカウント コンソール UI を使用して、サーバレス コンピュート用のファイアウォールを構成する方法について説明します。

注記

このページは AWS デプロイメントにのみ適用されます。Azure デプロイについては、 「Azure デプロイ用のファイアウォールの構成」を参照してください。

サーバレスコンピュートのファイアウォール有効化の概要

サーバレス ネットワーク接続は、ネットワーク接続構成 (NCC) で管理されます。 アカウント 管理者 はアカウントコンソールで NCC を作成し、NCC を 1 つ以上のワークスペースにアタッチできます。 NCC は、プライベートエンドポイントの作成とファイアウォールの有効化を大規模に管理するために使用されるアカウントレベルのリージョン構造です。

NCC には IP のリストが含まれています。NCC がワークスペースに接続されている場合、そのワークスペース内のサーバレス コンピュートは、それらの IP アドレスの 1 つを使用してリソースに接続します。 リソース ファイアウォールでこれらのネットワークを許可リストに登録できます。

ネットワーク接続構成 (NCC) とは何ですか?

サーバレスのネットワーク接続はネットワーク接続構成 (NCC) によって管理されます。 NCC は、大規模なプライベート エンドポイントの作成とファイアウォールの有効化を管理するために使用されるアカウント レベルのリージョン構造です。

アカウント 管理者 はアカウント コンソールで NCC を作成し、NCC を 1 つ以上のワークスペースにアタッチして、リソースのファイアウォールを有効にすることができます。 NCC には、安定した IP アドレスのリストが含まれています。 NCC がワークスペースに接続されている場合、そのワークスペース内のサーバレス コンピュートは、これらの IP アドレスの 1 つを使用してクラウド リソースを接続します。 これらのネットワークをリソース ファイアウォールで許可リストに登録できます。

リソース ファイアウォールを作成すると、クラシック コンピュート プレーンからリソースへの接続にも影響します。 また、クラシック コンピュート リソースから接続するには、リソース ファイアウォール上のネットワークを許可リストに登録する必要があります。

NCC ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。ワークスペースと同じリージョンにあるAmazon S3バケットに読み書きする場合、サーバレス コンピュート リソースは、 AWSゲートウェイ エンドポイントを使用してS3に直接アクセスします。 これは、サーバレス コンピュートがAWSアカウントのワークスペース ストレージ バケットおよび同じリージョン内の他のS3データ ソースに読み書きする場合に適用されます。

注記

Databricks は、S3 ゲートウェイ エンドポイント、プライベート IP、パブリック IP を使用して、リソースの場所と種類に基づいてリソースに接続します。これらの接続方法は、明示的に別途記載されていない限り、一般に利用可能です。

要件

  • SAP Databricks アカウント管理者である必要があります。
  • 各 NCC は最大 50 個のワークスペースに接続できます。
  • 各 SAP Databricks アカウントは、サポートされているリージョンごとに最大 10 個の NCC を持つことができます。NCC は、構成ごとに個別の IP ブロックではなく、共有の安定した IP CIDR ブロックを提供し、これらの IP 範囲はリージョン固有です。
  • ターゲット リソースはパブリックにアクセス可能である必要があります。

ステップ 1: ネットワーク接続構成を作成し、安定した IP をコピーします

Databricks では、同じ組織内のワークスペースと、同じリージョンを共有するワークスペース間で NCC を共有することをお勧めします。

ネットワーク接続構成。

  1. アカウント管理者として、アカウント コンソールに移動します。
  2. サイドバーで、 [セキュリティ] をクリックします。
  3. [ネットワーク接続構成]を クリックします。
  4. [ネットワーク構成の追加] をクリックします。
  5. NCC の名前を入力します。
  6. 地域を選択してください。これはワークスペースのリージョンと一致する必要があります。
  7. [ 追加 ] をクリックします。
  8. デフォルト・ルール タブをクリックします。
  9. 安定したIP で、 すべてのIPをコピー をクリックし、IP のリストを保存します。

ステップ 2: NCC をワークスペースに接続する

NCC と同じリージョン内の最大 50 個のワークスペースに NCC をアタッチできます。

APIを使用して NCC をワークスペースに接続するには、アカウント ワークスペースAPI参照してください。

  1. アカウントコンソールサイドバーで、[ ワークスペース ] をクリックします。
  2. ワークスペースの名前をクリックします。
  3. [ワークスペースの更新]を クリックします。
  4. ネットワーク接続構成 フィールドで、NCC を選択します。表示されない場合は、ワークスペースと NCC の両方に同じリージョンが選択されていることを確認してください。
  5. 更新 をクリックします。
  6. 変更が有効になるまで 10 分間お待ちください。
  7. ワークスペースで実行中のサーバレス コンピュート リソースを再起動します。

ステップ 3: リソース アクセス ルールを更新して IP を許可リストに登録します

安定した IP をリソース アクセス ルールに追加します。

ストレージ ファイアウォールを作成すると、クラシック コンピュート プレーン リソースからリソースへの接続にも影響します。 また、リソースのアクセス ルールを更新して、クラシック コンピュート リソースから接続する IP を許可リストに登録する必要があります。

NCC ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。ワークスペースと同じリージョンにあるAmazon S3バケットに読み書きする場合、サーバレス コンピュート リソースは、 AWSゲートウェイ エンドポイントを使用してS3に直接アクセスします。 これは、サーバレスSQLコンピュートがAWSアカウントのワークスペース ストレージ バケットと、同じリージョン内の他のS3データ ソースを読み書きするときに適用されます。