メインコンテンツまでスキップ

サーバレス コンピュート アクセス用のファイアウォールを構成する

この記事では、SAP Databricks アカウント コンソールの UI を使用して、サーバレス コンピュートのファイアウォールを設定する方法について説明します。

サーバレス コンピュートのファイアウォール有効化の概要

サーバレス ネットワーク接続は、ネットワーク接続構成 (NCC) で管理されます。 アカウント 管理者 はアカウントコンソールで NCC を作成し、NCC を 1 つ以上のワークスペースにアタッチできます。 NCC は、プライベートエンドポイントの作成とファイアウォールの有効化を大規模に管理するために使用されるアカウントレベルのリージョン構造です。

NCC には IP のリストが含まれています。 NCC がワークスペースに接続されている場合、そのワークスペース内のサーバレス コンピュートは、これらの IP アドレスの 1 つを使用してリソースを接続します。 これらのネットワークをリソース ファイアウォールで許可リストに登録できます。

NCC ファイアウォールの有効化は、サーバレス SQLウェアハウス、ジョブ、ノートブック、およびモデルサービング エンドポイントからサポートされます。

ネットワーク接続構成 (NCC) とは何ですか?

サーバレス ネットワーク接続は、ネットワーク接続構成 (NCC) で管理されます。 NCC は、プライベートエンドポイントの作成とファイアウォールの有効化を大規模に管理するために使用されるアカウントレベルのリージョン構造です。

アカウント 管理者 はアカウント コンソールで NCC を作成し、NCC を 1 つ以上のワークスペースにアタッチして、リソースのファイアウォールを有効にすることができます。 NCC には、安定した IP アドレスのリストが含まれています。 NCC がワークスペースに接続されている場合、そのワークスペース内のサーバレス コンピュートは、これらの IP アドレスの 1 つを使用してクラウド リソースを接続します。 これらのネットワークをリソース ファイアウォールで許可リストに登録できます。

リソース ファイアウォールを作成すると、クラシック コンピュート プレーンからリソースへの接続にも影響します。 また、リソース ファイアウォール上のネットワークを許可リストに登録して、クラシック コンピュート リソースからネットワークに接続する必要もあります。

NCC ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。AmazonS3ワークスペースと同じリージョン内の バケットの読み取りまたは書き込みを行う場合、サーバレス コンピュート リソースは、S3 ゲートウェイAWS エンドポイントを使用して に直接アクセスします。これは、サーバレス コンピュートが AWS アカウントのワークスペースストレージバケットと同じリージョン内の他の S3 データソースに対して読み取りと書き込みを行う場合に適用されます。

注記

Databricks は、S3 ゲートウェイ エンドポイント、プライベート IP、パブリック IP を使用して、その場所と種類に基づいてリソースに接続します。これらの接続方法は、特に明記されていない限り、一般的に使用できます。

必要条件

  • Databricksアカウント管理者である必要があります。
  • 各NCCは、最大50のワークスペースにアタッチできます。

ステップ 1: ネットワーク接続構成を作成し、安定した IP をコピーする

Databricks では、同じ組織内のワークスペースと、同じリージョンを共有するワークスペース間で NCC を共有することをお勧めします。

ネットワーク接続の構成。

  1. アカウント管理者として、アカウントコンソールに移動します。
  2. サイドバーで、「 クラウドリソース 」をクリックします。
  3. [ネットワーク] をクリックします。
  4. [ネットワーク接続の構成] をクリックします。
  5. ネットワーク接続構成の追加 をクリックします。
  6. NCC の名前を入力します。
  7. 地域を選択します。 これは、ワークスペースのリージョンと一致する必要があります。
  8. [ 追加 ] をクリックします。
  9. デフォルト・ルール タブをクリックします。
  10. 安定したIP で、 すべてのIPをコピー をクリックし、IP のリストを保存します。

ステップ 2: NCC をワークスペースにアタッチする

NCC は、NCC と同じリージョン内の最大 50 のワークスペースにアタッチできます。

  1. アカウントコンソールサイドバーで、[ ワークスペース ] をクリックします。
  2. ワークスペースの名前をクリックします。
  3. [ ワークスペースの更新 ] をクリックします。
  4. [ネットワーク接続設定 ] フィールドで、NCC を選択します。表示されない場合は、ワークスペースと NCC の両方に同じリージョンを選択していることを確認します。
  5. 更新 をクリックします。
  6. 変更が反映されるまで10分待ってください。
  7. ワークスペースで実行中のサーバレス コンピュート リソースを再起動します。

手順 3: リソース アクセス規則を更新して IP を許可リストに登録する

安定した IP をリソース アクセス ルールに追加します。

ストレージ ファイアウォールを作成すると、従来のコンピュート プレーン リソースからリソースへの接続にも影響します。 また、リソースアクセスルールを更新して、クラシックコンピュートリソースから接続するIPを許可リストに登録する必要があります。

NCC ファイアウォールの有効化は、Amazon S3 または Amazon DynamoDB ではサポートされていません。 AmazonS3ワークスペースと同じリージョン内の バケットの読み取りまたは書き込みを行う場合、サーバレス コンピュート リソースは、S3 ゲートウェイAWS エンドポイントを使用して に直接アクセスします。これは、サーバレス SQL コンピュートが、 AWS アカウント内のワークスペースストレージバケットと、同じリージョン内の他の S3 データソースに対して読み取りと書き込みを行う場合に適用されます。

最終更新