次の方法で共有

VNet 内のリソースへのプライベート接続を構成する

Azure Databricksサーバーレス ワークロードがお客様のリソースに接続する場合のネットワーク コストに対する料金が発生します。 Databricks のサーバーレス ネットワーク コストの概要を参照してください。

このページでは、Azure Databricks アカウント コンソールを使用して、Azure ロード バランサー経由でサーバーレス コンピューティングから仮想ネットワーク (VNet) 内のリソースへのPrivate Link接続を構成する方法について説明します。

VPC 内のリソースへのプライベート接続。

サーバーレス コンピューティングのプライベート接続を構成すると、次の機能が提供されます。

  • A 専用接続とプライベート接続: プライベート エンドポイントはAzure Databricks アカウントにのみ関連付けられており、VNet リソースへのアクセスは承認されたワークスペースのみに制限されます。 これにより、セキュリティで保護された専用の通信チャネルが作成されます。
  • Enhanced data exfiltration mitigation: Azure Databricks Serverless with Unity Catalog では組み込みのデータ流出保護が提供されますが、Private Linkはネットワーク防御の追加レイヤーを提供します。 VNet リソースをプライベート サブネットに配置し、専用のプライベート エンドポイントを介してアクセスを制御することで、制御されたネットワーク環境外での未承認のデータ移動のリスクを大幅に軽減できます。

要求事項

  • アカウントとワークスペースは Premium プランに含まれている必要があります。
  • Azure Databricks アカウントのアカウント管理者です。
  • サーバーレス コンピューティングを使用するワークスペースが少なくとも 1 つあります。 サポートされているリージョンについては、 サーバーレスの可用性に関するページを参照してください。
  • ロード バランサーには仮想ネットワークとサブネットがあり、リソースはこのサブネットにあります。
  • 各Azure Databricks アカウントは、リージョンあたり最大 10 個の NCC を持つことができます。
  • 各リージョンには 100 個のプライベート エンドポイントを設定でき、必要に応じて 1 から 10 個の NCC に分散できます。
  • 各 NCC は、最大 50 個のワークスペースにアタッチできます。
  • VNet 内のリソースへのプライベート接続の各プライベート エンドポイント規則では、最大 10 個のドメイン名がサポートされます。
  • DNS 追跡と DNS リダイレクトはサポートされていません。 すべてのドメイン名は、バックエンド リソースに直接接続される必要があります。

手順 1: Azure ロード バランサーを作成する

VNet リソースのフロントエンドとして機能するAzure Load Balancerを作成します。 このロード バランサーは、Private Link サービスにリンクされています。

ロード バランサーを作成するには、「Quickstart: Azure ポータルを使用して VM の負荷分散を行う内部ロード バランサーを作成するの手順に従います。 次の手順を完了します。

  1. ロード バランサー リソースを作成します。
  2. フロントエンド IP 構成の追加: これは、Private Link サービスのエントリ ポイントです。
  3. バックエンド プールを追加します。 このプールには、VNet リソースの IP アドレスが含まれています。
  4. 正常性プローブを作成します。 バックエンド リソースの可用性を監視するように正常性プローブを構成します。
  5. 負荷分散規則の追加: 受信トラフィックをバックエンド プールに分散させるルールを定義します。

ロード バランサーをプライベート エンドポイントに安全に公開するには、Private Link サービスを作成する必要があります。 Private Link サービスがロード バランサーと同じリージョンに作成されていることを確認します。

手順については、Azureドキュメント「Azure ポータルを使用してPrivate Link サービスを作成するを参照してください。

手順 3: 既存のネットワーク接続構成 (NCC) オブジェクトを作成または使用する

Azure Databricksの NCC オブジェクトは、ワークスペースのプライベート接続設定を定義します。 NCC が既に存在する場合は、この手順をスキップします。 NCC オブジェクトを作成するには:

  1. アカウント管理者として、アカウント コンソールに移動します。
  2. サイドバーで[ セキュリティ]をクリックします。
  3. [ ネットワーク接続の構成] をクリックします。
  4. [ ネットワーク構成の追加] をクリックします。
  5. NCC の名前を入力します。
  6. リージョンを選択します。 これは、お使いのワークスペース リージョンと一致している必要があります。
  7. 追加をクリックします。

手順 4: プライベート エンドポイントを作成する

この手順では、Private Link サービスを Azure Databricks NCC にリンクします。 プライベート エンドポイントを作成するには:

  1. アカウント コンソールで、[セキュリティ] をクリックします。
  2. [ ネットワーク接続の構成] をクリックします。
  3. 手順 3 で作成した NCC オブジェクトを選択します。
  4. [ プライベート エンドポイント ルール ] タブで、[ プライベート エンドポイント 規則の追加] をクリックします。
  5. Azure リソース ID フィールドに、Private Link サービスの完全なリソース ID を貼り付けます。 この ID は、Private Link サービスの Overview ページの Azure ポータルで見つけます。 ID の例: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>
  6. [ ドメイン名 ] フィールドに、VNet リソースで使用するカスタム ドメイン名を追加します。 これらのドメイン名は、ロード バランサーのバックエンド プール内の IP 構成にマップする必要があります。
  7. 追加をクリックします。
  8. 新しく追加したプライベート エンドポイント ルールの [状態] 列が PENDINGされていることを確認します。

Private Linkエントリとして追加されたドメインは、ネットワーク ポリシーで暗黙的に許可リストされます。

手順 5: リソースのプライベート エンドポイントを受け入れる

Databricks でプライベート エンドポイント ルールを作成した後、Azure ポータルで接続要求を承認する必要があります。 接続を承認するには:

  1. Azure ポータルから Private Link center に移動します。
  2. Private Link services を選択します。
  3. ロード バランサーに関連付けられているPrivate Link サービスを見つけて選択します。
  4. 左側のサイドバーの [設定] で、[ プライベート エンドポイント接続] を選択します。
  5. 保留中のプライベート エンドポイントを選択します。
  6. [ 承認] をクリックして接続を受け入れます。
  7. メッセージが表示されたら、[はい]選択します。
  8. 承認後、接続の状態が [承認済み] に変わります。

接続が完全に確立されるまでに 10 分かかる場合があります。

手順 6: プライベート エンドポイントの状態を確認する

Azure Databricks側からプライベート エンドポイント接続が正常に確立されたことを確認します。 接続を確認するには:

  1. Azure Databricks アカウント コンソールの Network 接続構成 ページを更新します。
  2. [ プライベート エンドポイント ルール ] タブで、新しいプライベート エンドポイントの [状態] 列が ESTABLISHEDされていることを確認します。

手順 7: NCC を 1 つ以上のワークスペースにアタッチする

この手順では、構成したプライベート接続をAzure Databricks ワークスペースに関連付けます。 ワークスペースが既に目的の NCC にアタッチされている場合は、この手順をスキップします。 NCC をワークスペースにアタッチするには:

  1. 左側のナビゲーションで [ワークスペース] に移動します。
  2. 既存のワークスペースを選択します。
  3. [ ワークスペースの更新] を選択します。
  4. [ ネットワーク接続の構成] で、ドロップダウンを選択し、作成した NCC を選択します。
  5. この NCC を適用するすべてのワークスペースに対して繰り返します。

NCC は、同じリージョン内のワークスペースにのみアタッチできるリージョン オブジェクトです。

次のステップ

  • Azure リソースへのプライベート接続を構成する: Private Linkを使用して、パブリック インターネットをバイパスして、仮想ネットワークからAzure サービスへの安全で分離されたアクセスを確立します。 Azure リソースへのプライベート接続の構成を参照してください。
  • プライベート エンドポイント ルールの管理: 接続を許可または拒否する特定の規則を定義して、Azureプライベート エンドポイントとの間のネットワーク トラフィックを制御します。 プライベート エンドポイントルールの管理について参照してください。
  • サーバーレス コンピューティング アクセス用のファイアウォールを構成する: サーバーレス コンピューティング環境の受信および送信ネットワーク接続を制限してセキュリティで保護するファイアウォールを実装します。 サーバーレス コンピューティング アクセス (レガシ) 用のファイアウォールの構成を参照してください。
  • データ転送と接続のコスト: データ転送と接続は、Azure Databricksサーバーレス環境との間でのデータの移動を指します。 サーバーレス製品のネットワーク料金は、Azure Databricksサーバーレス コンピューティングを使用しているお客様にのみ適用されます。 Databricks のサーバーレス ネットワーク コストの概要を参照してください。
  • Last updated on