Azure Databricks ワークスペースが独自の仮想ネットワーク (VNet) にデプロイされている場合は、カスタム ルート (ユーザー定義ルート (UDR) とも呼ばれます) を使用して、ネットワーク トラフィックがワークスペースに対して正しくルーティングされるようにすることができます。 たとえば、仮想ネットワークをオンプレミス ネットワークに接続すると、トラフィックがオンプレミス ネットワーク経由でルーティングされ、Azure Databricksコントロール プレーンに到達できない可能性があります。 ユーザー定義ルートでこの問題を解決できます。
VNet からの送信接続の種類ごとに、UDR が必要です。 Azure サービス タグと IP アドレスの両方を使用して、ユーザー定義ルートのネットワーク アクセス制御を定義できます。 Databricks では、AZURE サービス タグを使用して、IP の変更によるサービスの停止を防ぐことをお勧めします。
Azure サービス タグを使用してユーザー定義ルートを構成する
Databricks では、Azure サービス タグ を使用することをお勧めします。これは、特定のAzure サービスからの IP アドレス プレフィックスのグループを表します。 Microsoftサービス タグに含まれるアドレス プレフィックスを管理し、アドレスの変更に伴ってサービス タグを自動的に更新します。 これは、IP の変更によるサービスの停止を防ぐのに役立ち、ルート テーブルでこれらの IP を定期的に検索して更新する必要がなくなります。 ただし、組織のポリシーでサービス タグが許可されていない場合は、必要に応じて ルートを IP アドレスとして指定できます。
ユーザー定義ルートでは、サービス タグを使用して、次の規則を使用し、ルート テーブルを仮想ネットワークのパブリック サブネットとプライベート サブネットに関連付ける必要があります。
| ソース | アドレス プレフィックス | ネクストホップの種類 |
|---|---|---|
| 既定値 | AzureDatabricks |
インターネット |
| 既定値 | Storage |
インターネット |
| 既定値 | EventHub |
インターネット |
注
Microsoft Entra ID サービス タグを追加して、Azure Databricks クラスターからAzure リソースへのMicrosoft Entra ID認証を容易にすることができます。
ワークスペースで Azure Private Link が有効になっている場合、Azure Databricks サービス タグは必要ありません。
Azure Databricks サービス タグは、Azure Databricks コントロール プレーンへの必要な送信接続、セキュリティで保護されたクラスター接続 (SCC)、およびAzure Databricks Web アプリケーションの IP アドレスを表します。 また、レガシ Hive メタストアへの接続を許可するには、ネットワーク セキュリティ グループ内のエグレス トラフィック用にポート 3306 を開く必要があります。
Azure Storage サービス タグは、アーティファクト BLOB ストレージとログ BLOB ストレージの IP アドレスを表します。 Azure Event Hubs サービス タグは、Azure Event Hub へのログ記録に必要な送信接続を表します。
一部のサービス タグでは、IP 範囲を、指定したリージョンに制限することで、より詳細な制御が可能です。 たとえば、米国西部リージョンの Azure Databricks ワークスペースのルート テーブルは次のようになります。
| 名前 | アドレス プレフィックス | ネクストホップの種類 |
|---|---|---|
| adb-servicetag | AzureDatabricks | インターネット |
| adb-storage | Storage.WestUS | インターネット |
| adb-eventhub | EventHub.WestUS | インターネット |
Important
リージョン スコープのサービス タグを使用する場合は、一部のリージョン エンドポイントがプライマリ ストレージ エンドポイントとは異なるAzureリージョンに存在する可能性があることに注意してください。 たとえば、東日本のワークスペースには、西日本にセカンダリ成果物ストレージがあります。 この場合は、セカンダリ リージョンのサービス タグも追加する必要があります。 ワークスペースのリージョンの FQDN を確認するには、「 メタストア、アーティファクト BLOB ストレージ、システム テーブル ストレージ、ログ BLOB ストレージ、および Event Hubs エンドポイント IP アドレス」を参照してください。
ユーザー定義ルートに必要なサービス タグを取得するには、仮想ネットワーク サービス タグに関するページを参照してください。
IP アドレスを使用してユーザー定義ルートを構成する
Databricks では、Azure サービス タグを使用することをお勧めしますが、組織のポリシーでサービス タグが許可されていない場合は、IP アドレスを使用してユーザー定義ルートのネットワーク アクセス制御を定義できます。
詳細は、ワークスペースでセキュリティで保護されたクラスター (SCC) が有効になっているかどうかによって異なります。
- ワークスペースに対してセキュリティで保護されたクラスター接続が "有効" になっている場合、クラスターがコントロール プレーンのセキュリティで保護されたクラスター接続リレーに接続できるようにするには、UDR が必要です。 リージョンの "SCC リレー IP" とマークされているシステムを必ず含めてください。
- ワークスペースに対してセキュリティで保護されたクラスター接続が "無効" になっている場合、コントロール プレーン NAT からの受信接続がありますが、その接続に対する低レベルの TCP SYN-ACK は、理論的には UDR を必要とする送信データになります。 リージョンの "コントロール プレーン NAT IP" とマークされているシステムを必ず含めてください。
ユーザー定義ルートでは、次の規則を使用し、ルート テーブルを仮想ネットワークのパブリック サブネットとプライベート サブネットに関連付ける必要があります。
| ソース | アドレス プレフィックス | ネクストホップの種類 |
|---|---|---|
| 既定値 | コントロール プレーン NAT IP (SCC が無効の場合) | インターネット |
| 既定値 | SCC リレー IP (SCC が有効の場合) | インターネット |
| 既定値 | ウェブアプリのIP | インターネット |
| 既定値 | メタストア IP | インターネット |
| 既定値 | アーティファクト BLOB ストレージ IP | インターネット |
| 既定値 | ログ BLOB ストレージ IP | インターネット |
| 既定値 | ワークスペース ストレージ IP - ブロブ ストレージ エンドポイント | インターネット |
| 既定値 | ワークスペース ストレージ IP - ADLS (dfs) エンドポイント |
インターネット |
| 既定値 | Event Hubs IP | インターネット |
ワークスペースで Azure Private Link が有効になっている場合、ユーザー定義ルートは次の規則を使用し、ルート テーブルを仮想ネットワークのパブリック サブネットとプライベート サブネットに関連付ける必要があります。
| ソース | アドレス プレフィックス | ネクストホップの種類 |
|---|---|---|
| 既定値 | メタストア IP | インターネット |
| 既定値 | アーティファクト BLOB ストレージ IP | インターネット |
| 既定値 | ログ BLOB ストレージ IP | インターネット |
| 既定値 | Event Hubs IP | インターネット |
ユーザー定義ルートに必要な IP アドレスを取得するには、Azure Databricks リージョン の表と手順を使用します。具体的には次のとおりです。