このページでは、Azure Databricks サーバーレス コンピューティング プレーン内のコンピューティング リソースと顧客リソースの間のネットワーク アクセスをセキュリティで保護するツールについて説明します。 コントロール プレーンとサーバーレス コンピューティング プレーンの詳細については、 ネットワーク セキュリティ アーキテクチャに関するページを参照してください。
クラシック コンピューティングとサーバーレス コンピューティングの詳細については、「 コンピューティング」を参照してください。
手記
Azure Databricksサーバーレス ワークロードがお客様のリソースに接続する場合のネットワーク コストに対する料金が発生します。 Databricks のサーバーレス ネットワーク コストの概要を参照してください。
サーバーレス コンピューティング プレーン ネットワークの概要
サーバーレス コンピューティング リソースは、Azure Databricksによって管理されるサーバーレス コンピューティング プレーンで実行されます。 アカウント管理者は、サーバーレス コンピューティング プレーンとそのリソースの間のセキュリティで保護された接続を構成できます。 以下のダイアグラム上では、このネットワーク接続に 2 というラベルが付けられています。
コントロール プレーンとサーバーレス コンピューティング プレーンの間は、常に、パブリック インターネットではなくクラウド ネットワーク バックボーン経由で接続されます。 このダイアグラムの中の、その他のネットワーク接続上のセキュリティ機能の構成について詳しくは、「ネットワーク接続」をご参照ください。
ネットワーク接続構成 (NCC) とは?
サーバーレス ネットワーク接続は、ネットワーク接続構成 (NCC) を使って管理されます。 NCC は、プライベート エンドポイントの作成を管理するアカウント レベルのリージョンコンストラクトです。
Important
2026年6月9日までに、Azure Databricks のサーバーレス サブネット ID を許可リストに含む既存の Azure ストレージ アカウントは、ネットワーク セキュリティ境界に参加させ、AzureDatabricksServerless サービス タグを許可リストに含める必要があります。
Azure リソースのAzureネットワーク セキュリティ境界の構成を参照してください。
アカウント管理者は、アカウント コンソールで NCC を作成します。 NCC を 1 つ以上のワークスペースにアタッチして、サーバーレス コンピューティングから Azure リソースへのアクセスを管理できます。
NCC にプライベート エンドポイントを追加すると、Azure DatabricksはAzure リソースへのプライベート エンドポイント要求を作成します。 要求を受け入れた後、Azure Databricksはプライベート エンドポイントを使用して、サーバーレス コンピューティング プレーンからAzure リソースにアクセスします。 Azure リソースへのプライベート接続の構成を参照してください。
プライベート エンドポイントが構成されていない場合、サーバーレス コンピューティングは、サービス エンドポイントを使用して Azure ストレージに接続し、NAT IP を使用して他のリソースに接続します。
AzureDatabricksServerless サービス タグを使用して、Azure Databricks サービス エンドポイントからストレージへのトラフィックを識別できます。これは、リージョン (たとえば、AzureDatabricksServerless.EastUS2) にスコープを設定できます。 このタグを使用するには、ストレージ アカウントをネットワーク セキュリティ境界にオンボードします。
Azure リソースのAzureネットワーク セキュリティ境界の構成を参照してください。
手記
Azure Databricksでは、サービス エンドポイント、プライベート IP、パブリック IP を使用して、場所と種類に基づいてリソースに接続します。 これらの接続方法は、特に明記されていない限り一般提供されます。