Important
この機能は パブリック プレビュー段階です。
このページでは、Azure Databricks プラットフォーム上のパフォーマンス集中型サービスへの受信接続用にPrivate Linkを構成する方法について説明します。 このプライベート接続により、外部クライアントとユーザーは、zerobus Ingest や Lakebase Autoscaling などのAzure Databricks プラットフォーム上のサービスにアクセスできます。
メリット
- Enhanced security: ネットワークと Databricks サービス間のトラフィックは、Azure ネットワーク インフラストラクチャ内に残ります。
- パフォーマンスを集中的に使用するサービスへのアクセス: Zerobus Ingest や Lakebase Autoscaling などのサービスへのプライベート接続。
- コンプライアンス要件: プライベート ネットワーク接続を要求する規制要件を満たします。
- コスト効率: Private Linkコストは、NAT ゲートウェイなどのパブリック接続オプションよりも低くなります。
注
Databricks では現在、高性能サービスへの着信Private Link接続に関連するネットワークコストは課金されません。 料金は今後導入される可能性があります。
Requirements
- Azure Databricks アカウントは Premium レベルである必要があります。
- アカウントでパフォーマンス集中 型サービスのパブリック プレビュー機能のプライベート接続 を有効にする必要があります。 アカウント コンソールから自己登録できます。 この機能を有効にしないと、プライベート エンドポイントはアカウント コンソールに表示されません。
- プライベート エンドポイントを登録するには、Azure Databricks アカウント管理者である必要があります。
- プライベート エンドポイントを作成するには、Azureにネットワーク共同作成者または同等のアクセス許可が必要です。
手順 1: プライベート エンドポイントを作成する
この手順では、Azure ポータルにプライベート エンドポイントを作成し、Azure Databricksのパフォーマンスを集中的に使用するサービスに接続します。
VNet とサブネットを準備する
- プライベート エンドポイントをホストする VNet とサブネットを準備します。 新しい VNet を作成することも、既存の VNet (ワークスペース VNet など) を再利用することもできます。
- 新しい VNet を作成するには、Azure Virtual Network の作成 を参照してください。
- サブネットを追加するには、「 仮想ネットワーク サブネットの追加、変更、または削除」を参照してください。
- サブネットでプライベート エンドポイント ネットワーク ポリシーが無効になっていることを確認します。 これは、既定の設定です。 詳細については、 プライベート エンドポイントのネットワーク ポリシーの管理に関するページを 参照してください。
- 既存のワークスペース VNet を再利用する場合は、ワークスペースで使用されるサブネットとは異なるサブネットを使用または作成する必要があります。
- プライベート エンドポイントをホストしている VNet が VNet 送信トラフィックと異なる場合は、VNet ピアリングまたは接続を構成します。 VNet 接続の確認を参照してください。
プライベート エンドポイントをデプロイする
- Azure ポータルで、Microsoft Marketplace で Private エンドポイントを検索し、Create を選択します。
- 名前とネットワーク インターフェイス名を入力し、ワークスペースの VNet リージョンと一致するようにリージョンを設定します。
- [ 次へ: リソース] をクリックします。
- リソース ID またはエイリアスでAzure リソースに接続を選択します。
- Resource ID またはエイリアス フィールドに、リージョンの Service-Direct Private Link サービス リソース ID を入力します。 リソース ID の一覧については、Service-Direct Private Link サービス リソース ID を参照してください。
- [ ターゲットサブリソース ] フィールドに「
service_direct」と入力します。 - [Next: Virtual Network をクリックします。
- 「VNet とサブネットの準備」セクションで準備した仮想ネットワーク とサブネットを 選択します。
- [ 次へ: DNS] をクリックします。
- [プライベート DNS ゾーンとの統合] を [いいえ] に設定したままにしておきます。 DNS は、後の手順で手動で構成します。
- [ 次へ: タグ] をクリックします。
- [次へ: 確認と作成] をクリックします。
- 構成を確認し、[ 作成 ] をクリックしてプライベート エンドポイントをデプロイします。
- デプロイが完了したら、次の値を記録します。
- プライベート エンドポイント名: プライベート エンドポイントの名前。
-
リソース GUID: プライベート エンドポイント リソースに移動し、[ JSON ビュー] をクリックして、
properties.resourceGuidで値を見つけます。 これは手順 2 で必要です。 -
プライベート IP アドレス: JSON ビューで、
properties.customDnsConfigs[0].ipAddresses[0]で IP アドレスを見つけます。 これは手順 3 で必要です。
注
デプロイ後、プライベート エンドポイントの接続状態は [保留中] と表示されます。 これは予期されることです。 手順 2 (プライベート エンドポイントの登録) が完了するまで、エンドポイントは 保留中 の状態のままです。
手順 2: プライベート エンドポイントを登録する
Azure ポータルでプライベート エンドポイントを作成したら、Azure Databricksに登録します。
- Azure Databricks アカウント コンソールに移動します。
- サイドバーで、[ セキュリティ>ネットワーキング>エンドポイント>エンドポイントを登録]をクリックします。
手順 3: DNS を構成する
プライベート エンドポイントが登録されたら、トラフィックが privatelink.azuredatabricks.net ドメインを使用してプライベート エンドポイントを経由するように DNS を構成します。
- Databricks では、リージョンと目的 (
PE westus2 for service-directなど) を含む名前付け規則をお勧めします。
-
privatelink.azuredatabricks.netという名前のAzureプライベート DNS ゾーンを作成します。- ワークスペースで Private Link を受信用として既に使用している場合は、受信 Private Link の構成を参照し、既存の
privatelink.azuredatabricks.netゾーンを再利用します。 - 新しいゾーンについては、「Azure ポータルを使用してAzureプライベート DNS ゾーンを作成するを参照してください。
- ワークスペースで Private Link を受信用として既に使用している場合は、受信 Private Link の構成を参照し、既存の
- プライベート DNS ゾーンを、プライベート エンドポイントをホストしている VNet にリンクします。 仮想ネットワークのリンクを参照してください。
DNS A レコードを作成する
-
privatelink.azuredatabricks.netプライベート DNS ゾーンに移動します。 - [DNS 管理] の [レコードセット ] タブを選択します。
- [ 追加] をクリックしてレコード セットを追加します。
- A レコードを構成します。
-
Name:
<region>.service-direct(<region>を Azure リージョンに置き換えます (例:westus2.service-direct) - 型: A
- IP アドレス: プライベート エンドポイントからのプライベート IP アドレス (手順 1 で記録)
-
Name:
- [ OK] を クリックしてレコードを保存します。
DNS 解決を確認する
VNet 内のマシンまたはプライベート DNS ゾーンに接続されているワークスペース ジョブから、DNS クエリがプライベート エンドポイント IP に解決されることを確認します。
nslookup westus2.service-direct.privatelink.azuredatabricks.net
または、 digを使用します。
dig westus2.service-direct.privatelink.azuredatabricks.net
どちらのコマンドも、プライベート エンドポイントのプライベート IP アドレスを返します。
VNet 接続を確認する
トラフィックを生成する VNet がプライベート エンドポイントをホストしている VNet と異なる場合は、それらの間の VNet ピアリングまたは接続を構成します。 詳細なガイダンスについては、「Azureプライベート エンドポイント DNS 統合シナリオ」を参照してください。
パブリック アクセスを無効にする (省略可能)
Private Linkセットアップを完了しても、ワークスペースへのパブリック インターネット アクセスは自動的にブロックされません。 パブリック アクセスとプライベート アクセスは独立した設定です。 プライベートのみの接続を適用するには、パブリック ネットワーク アクセスを無効にします。
- Azure ポータルで、Azure Databricks ワークスペース リソースに移動します。
- [ 設定] で、[ パブリック ネットワーク アクセスの許可 ] を [無効] に設定します。
制限事項
- パフォーマンス集中型のサービス プライベート エンドポイントはアカウント レベルで適用され、同じリージョン内のすべての Premium ワークスペースに自動的に影響します。
- 各アカウントは、リージョンあたりのパフォーマンス集中型サービスの場合は 5 つのプライベート エンドポイントに制限され、アカウントあたり 100 個に制限されています。 クォータの引き上げについては、Azure Databricks アカウント チームにお問い合わせください。
次のステップ
Azure 仮想ネットワーク (VNet インジェクション) - インバウンド プライベートリンクの構成
- Azure Databricks サービスと資産の IP アドレスとドメイン