サーバーレス コンピューティング プレーン ネットワーク

このガイドでは、Azure Databricks サーバーレス コンピューティング プレーン内のコンピューティング リソースと顧客リソースの間のネットワーク アクセスをセキュリティで保護するツールを紹介します。 コントロール プレーンとサーバーレス コンピューティング プレーンの詳細については、「Azure Databricks アーキテクチャの概要」を参照してください。

Note

現状では、サーバーレス機能ではネットワーク料金は発生しません。 今後のリリースでは課金対象になる可能性があります。 Azure Databricks はネットワーク価格の変更を事前に通知します。

サーバーレス コンピューティング プレーン ネットワークの概要

サーバーレス コンピューティング リソースは、Azure Databricks によって管理されるサーバーレス コンピューティング プレーンで実行されます。 アカウント管理者は、サーバーレス コンピューティング プレーンとそのリソースの間のセキュリティで保護された接続を構成できます。 以下のダイアグラム上では、このネットワーク接続に 2 というラベルが付けられています。

コントロール プレーンとサーバーレス コンピューティング プレーンの間は、常に、パブリック インターネットではなくクラウド ネットワーク バックボーン経由で接続されます。 このダイアグラムの中の、その他のネットワーク接続上のセキュリティ機能の構成について詳しくは、「ネットワーク接続」をご参照ください。

ネットワーク接続構成 (NCC) とは?

サーバーレス ネットワーク接続は、ネットワーク接続構成 (NCC) を使用して管理されます。 NCC は、プライベート エンドポイントの作成とファイアウォールの有効化を大規模に管理するために使用されるアカウント レベルのリージョン コンストラクトです。

アカウント管理者はアカウント コンソールで NCC を作成し、NCC は 1 つ以上のワークスペースにアタッチできます。 NCC では、ファイアウォールとプライベート エンドポイントが有効になります。

• サブネットによるリソース ファイアウォールの有効化: NCC では、リソース ファイアウォールにサービス エンドポイントを追加するのに Databricks で管理される安定した Azure サービス サブネットを使用することで、サーバーレス SQL ウェアハウスから Azure リソースに安全にアクセスできます。 NCC がワークスペースに接続されている場合、そのワークスペース内のサーバーレス コンピューティングは、サービス エンドポイントを使用して Azure リソースに接続するためにそれらのネットワークのいずれかを使用します。 Azure リソース ファイアウォールでそれらのネットワークの一覧を許可できます。 ネットワーク ルールは、ワークスペース ストレージ アカウントに自動的に追加されます。 「サーバーレス コンピューティング アクセス用のファイアウォールの構成」を参照してください。
• プライベート エンドポイント: NCC 内にプライベート エンドポイントを追加すると、Azure Databricks によって Azure リソースへのプライベート エンドポイント要求が作成されます。 リソース側で要求が受け入れられると、プライベート エンドポイントは、サーバーレス コンピューティング プレーンから Azure リソースにアクセスするために使用されます。 「サーバーレス コンピューティングからのプライベート接続を構成する」を参照してください。

NCC ファイアウォールは、サーバーレス SQL ウェアハウス、ワークフロー、ノートブック、Delta Live Tables パイプライン、モデルにサービスを提供する CPU エンドポイントから有効にできます。 NCC プライベート エンドポイントは、サーバーレス SQL ウェアハウスからのみサポートされます。 これらは、サーバーレス コンピューティング プレーン内の他のコンピューティング リソースからはサポートされていません。