次の方法で共有

VNet 内のリソースへのプライベート接続を構成する

Von Bedeutung

この機能は パブリック プレビュー段階です

Von Bedeutung

2024 年 12 月 4 日より、Azure Databricks は、お客様のリソースに接続するサーバーレス ワークロードに関連するネットワーク コストの課金を開始しました。 現在、リソースに対する 1 時間あたりのプライベート エンドポイント料金が課金されます。 Private Link 接続のデータ処理料金は無期限に免除されます。 その他のネットワーク コストに対する課金は、次を含め、段階的にロールアウトされます。

  • NAT ゲートウェイ経由など、リソースへのパブリック接続。
  • サーバーレス コンピューティングとターゲット リソースが異なるリージョンに存在する場合など、データ転送料金。

料金はさかのぼって適用されません。

Databricks のサーバーレス ネットワーク コストの概要を参照してください。

このページでは、Azure Databricks アカウント コンソールを使用して、Azure ロード バランサー経由でサーバーレス コンピューティングから仮想ネットワーク (VNet) 内のリソースへの Private Link 接続を構成する方法について説明します。

VPC 内のリソースへのプライベート接続。

サーバーレス コンピューティングのプライベート接続を構成すると、次の機能が提供されます。

  • 専用接続とプライベート接続: プライベート エンドポイントは Azure Databricks アカウントにのみ関連付けられており、VNet リソースへのアクセスが承認されたワークスペースのみに制限されます。 これにより、セキュリティで保護された専用の通信チャネルが作成されます。
  • 強化されたデータ流出の軽減策: Azure Databricks Serverless with Unity Catalog には組み込みのデータ流出保護が用意されていますが、Private Link にはネットワーク防御の追加レイヤーが用意されています。 VNet リソースをプライベート サブネットに配置し、専用のプライベート エンドポイントを介してアクセスを制御することで、制御されたネットワーク環境外での未承認のデータ移動のリスクを大幅に軽減できます。

要求事項

  • ワークスペースは Premium プラン上にあります
  • Azure Databricks アカウントのアカウント管理者です。
  • プライベート接続が有効になっているリージョンに、少なくとも 1 つのアクティブなサーバーレス ワークスペースがデプロイされています。 サポートされているリージョンについては、サーバーレスの可用性に関するページを参照してください
  • ロード バランサーには仮想ネットワークとサブネットがあり、リソースはこのサブネットにあります。
  • 各 Azure Databricks アカウントは、リージョンごとに最大 10 個の NCC を持つことができます。
  • 各リージョンには 100 個のプライベート エンドポイントを設定でき、必要に応じて 1 から 10 個の NCC に分散できます。
  • 各 NCC は、最大 50 個のワークスペースにアタッチできます。
  • VNet 内のリソースへのプライベート接続の各プライベート エンドポイント規則では、最大 10 個のドメイン名がサポートされます。

手順 1: Azure ロード バランサーを作成する

VNet リソースのフロントエンドとして機能する Azure Load Balancer を作成します。 このロード バランサーは、Private Link サービスにリンクされています。

ロード バランサーを作成するには、「 クイック スタート: Azure portal を使用して VM を負荷分散する内部ロード バランサーを作成する」の手順に従います。 次の手順を完了します。

  1. ロード バランサー リソースを作成します。
  2. フロントエンド IP 構成を追加します。 これは Private Link サービスのエントリ ポイントです。
  3. バックエンド プールを追加します。 このプールには、VNet リソースの IP アドレスが含まれています。
  4. 正常性プローブを作成します。 バックエンド リソースの可用性を監視するように正常性プローブを構成します。
  5. 負荷分散規則の追加: 受信トラフィックをバックエンド プールに分散させるルールを定義します。

プライベート エンドポイントにロード バランサーを安全に公開するには、Private Link サービスを作成する必要があります。 Private Link サービスがロード バランサー と同じリージョン に作成されていることを確認します。

手順については、「Azure ドキュメント: Azure portal を 使用して Private Link サービスを作成する」を参照してください。

手順 3: 既存のネットワーク接続構成 (NCC) オブジェクトを作成または使用する

Azure Databricks の NCC オブジェクトは、ワークスペースのプライベート接続設定を定義します。 NCC が既に存在する場合は、この手順をスキップします。 NCC オブジェクトを作成するには:

  1. アカウント管理者として、アカウント コンソールに移動します。
  2. サイドバーの [クラウド リソース] をクリックします。
  3. [ ネットワーク] をクリックします。
  4. [ネットワーク接続の構成] をクリックします。
  5. [ネットワーク接続構成 追加] をクリックします。
  6. NCC の名前を入力します。
  7. リージョンを選択します。 これは、お使いのワークスペース リージョンと一致している必要があります。
  8. 追加をクリックします。

手順 4: プライベート エンドポイントを作成する

この手順では、Private Link サービスを Azure Databricks NCC にリンクします。 プライベート エンドポイントを作成するには:

  1. アカウント コンソールで、[クラウド リソース] をクリックします。
  2. [ Network Connectivity Configurations] をクリックします。
  3. 手順 3 で作成した NCC オブジェクトを選択します。
  4. [ プライベート エンドポイント ルール ] タブで、[ プライベート エンドポイント 規則の追加] をクリックします。
  5. [Azure リソース ID] フィールドに、Private Link サービスの完全なリソース ID を貼り付けます。 この ID は、Azure portal の Private Link サービスの [概要 ] ページで見つけます。 ID の例: /subscriptions/\<subscription-id\>/resourceGroups/\<resource-group-name\>/providers/Microsoft.Network/privateLinkServices/\<private-link-service-name\>
  6. [ ドメイン名 ] フィールドに、VNet リソースで使用するカスタム ドメイン名を追加します。 これらのドメイン名は、ロード バランサーのバックエンド プール内の IP 構成にマップする必要があります。
  7. 追加をクリックします。
  8. 新しく追加したプライベート エンドポイント ルールの [状態] 列が PENDINGされていることを確認します。

Private Link エントリとして追加されたドメインは、ネットワーク ポリシーで暗黙的に許可リストに登録されます。 ドメインが削除されるか、プライベート エンドポイントが削除されると、ネットワーク ポリシーが更新されるまでに最大 24 時間かかる場合があります。 サーバーレス エグレス制御のネットワーク ポリシーの管理に関するページを参照してください

手順 5: リソースのプライベート エンドポイントを受け入れる

Databricks でプライベート エンドポイント ルールを作成したら、Azure portal で接続要求を承認する必要があります。 接続を承認するには:

  1. Azure portal から Private Link センター に移動します。
  2. [Private Link サービス] を選択します。
  3. ロード バランサーに関連付けられている Private Link サービスを見つけて選択します。
  4. 左側のサイドバーの [設定] で、[ プライベート エンドポイント接続] を選択します。
  5. 保留中のプライベート エンドポイントを選択します。
  6. [ 承認] をクリックして接続を受け入れます。
  7. メッセージが表示されたら、[はい]選択します。
  8. 承認後、接続の状態が [承認済み] に変わります。

接続が完全に確立されるまでに 10 分かかる場合があります。

手順 6: プライベート エンドポイントの状態を確認する

Azure Databricks 側からプライベート エンドポイント接続が正常に確立されたことを確認します。 接続を確認するには:

  1. Azure Databricks アカウント コンソールの [ ネットワーク接続の構成] ページを更新します。
  2. [ プライベート エンドポイント ルール ] タブで、新しいプライベート エンドポイントの [状態] 列が ESTABLISHEDされていることを確認します。

手順 7: NCC を 1 つ以上のワークスペースにアタッチする

この手順では、構成したプライベート接続を Azure Databricks ワークスペースに関連付けます。 ワークスペースが既に目的の NCC にアタッチされている場合は、この手順をスキップします。 NCC をワークスペースにアタッチするには:

  1. 左側のナビゲーションで [ワークスペース] に移動します。
  2. 既存のワークスペースを選択します。
  3. [ ワークスペースの更新] を選択します。
  4. [ ネットワーク接続の構成] で、ドロップダウンを選択し、作成した NCC を選択します。
  5. この NCC を適用するすべてのワークスペースに対して繰り返します。

NCC は、同じリージョン内のワークスペースにのみアタッチできるリージョン オブジェクトです。

次は何ですか

  • Azure リソースへのプライベート接続の構成: プライベート リンクを使用して、パブリック インターネットをバイパスして、仮想ネットワークから Azure サービスへのセキュリティで保護された分離されたアクセスを確立します。 「Azure リソースへのプライベート接続を構成する」を参照してください。
  • プライベート エンドポイントルールの管理: 接続を許可または拒否する特定のルールを定義して、Azure プライベート エンドポイントとの間のネットワーク トラフィックを制御します。 プライベート エンドポイントルールの管理について参照してください。
  • サーバーレス コンピューティング アクセス用のファイアウォールを構成する: サーバーレス コンピューティング環境の受信および送信ネットワーク接続を制限してセキュリティで保護するファイアウォールを実装します。 「サーバーレス コンピューティング アクセス用のファイアウォールの構成」を参照してください。
  • データ転送と接続のコストを理解する: データ転送と接続は、Azure Databricks サーバーレス環境との間でのデータの移動を指します。 サーバーレス製品のネットワーク料金は、Azure Databricks サーバーレス コンピューティングを使用しているお客様にのみ適用されます。 Databricks のサーバーレス ネットワーク コストの概要を参照してください。