クラシック コンピューティング プレーン ネットワーク

  • [アーティクル]

このガイドでは、Azure Databricks コントロール プレーンとクラシック コンピューティング プレーンの間のネットワーク アクセスをカスタマイズする機能について説明します。 コントロール プレーンとサーバーレス コンピューティング プレーンの間は、常に、パブリック インターネットではなくクラウド ネットワーク バックボーン経由で接続されます。

コントロール プレーンとコンピューティング プレーンについて詳しくは、「Azure Databricks アーキテクチャの概要」をご覧ください。

このセクションの機能の目的は、Azure Databricks コントロール プレーンとクラシック コンピューティング プレーンの間の接続を確立してセキュリティで保護することです。 次の図で、この接続は 2 というラベルで示されています。

Network connectivity overview diagram

Azure Databricks と Azure Storage の間での Azure ネットワーク機能の構成について詳しくは、「Azure Databricks ワークスペースに Azure Data Lake Storage Gen2 へのアクセス権を付与する」をご覧ください。

セキュリティで保護されたクラスター接続を有効にする

Databricks では、Azure Databricks ワークスペースでセキュリティ保護されたクラスター接続を有効にすることが推奨されています。 セキュリティ保護されたクラスター接続を有効にすると、クラシック コントロール プレーン内のコンピューティング リソースは、リレーを介してコントロール プレーンに接続します。 つまり、コンピューティング プレーンには開いているポートがなく、クラシック コントロール プレーン リソースにはパブリック IP アドレスがありません。 これにより、セキュリティ グループまたはネットワーク ピアリングでポートを構成する必要がなくなるため、ネットワーク管理が簡素になります。 セキュリティで保護されたクラスター接続でワークスペースをデプロイする詳細については、「セキュリティで保護されたクラスター接続 (パブリック IP なし (NPIP))」を参照してください。

自分の仮想ネットワーク内にワークスペースをデプロイする

既定では、すべての Azure Databricks デプロイによって、ロックされた仮想ネットワーク (VNet) が Azure サブスクリプションに作成されます。 クラシック コンピューティング リソースは、その仮想ネットワーク内に作成されます。 代わりに、独自のカスタマー マネージド仮想ネットワークに新しいワークスペースを作成すること (VNet インジェクションとも呼ばれます) を選択できます。これを使用すると、次が可能になります。

独自の仮想ネットワークへのワークスペースのデプロイについては、「Azure 仮想ネットワーク (VNet インジェクション) で Azure Databricks をデプロイする」をご覧ください。 Azure Databricks 仮想ネットワークと別の Azure 仮想ネットワークをピアリングすることもできます。「仮想ネットワークをピアリングする」をご覧ください。

コントロール プレーンからクラシック コンピューティング プレーンへのプライベート接続を有効にする

Azure Private Link を使うと、パブリック ネットワークにトラフィックをさらすことなく、Azure VNet とオンプレミス ネットワークから Azure サービスにプライベート接続できます。 Azure Private Link を有効にすると、クラシック コンピューティング プレーンから、コントロール プレーン内の Azure Databricks ワークスペースのコア サービスへのプライベート接続を有効にできます。

詳しくは、「Azure Private Link のバックエンド接続とフロントエンド接続を有効にする」をご覧ください。