このページでは、Azure Databricks サーバーレス コンピューティング プレーン内のコンピューティング リソースと顧客リソースの間のネットワーク アクセスをセキュリティで保護するツールについて説明します。 コントロール プレーンとサーバーレス コンピューティング プレーンの詳細については、「Azure Databricks アーキテクチャの概要」を参照してください。
クラシック コンピューティングとサーバーレス コンピューティングの詳細については、「コンピューティングの種類」を参照してください。
重要
2024 年 12 月 4 日より、Azure Databricks は、お客様のリソースに接続するサーバーレス ワークロードに関連するネットワーク コストの課金を開始しました。 現在、リソースに対する 1 時間あたりのプライベート エンドポイント料金が課金されます。 Private Link 接続のデータ処理料金は無期限に免除されます。 その他のネットワーク コストに対する課金は、次を含め、段階的にロールアウトされます。
- NAT ゲートウェイ経由など、リソースへのパブリック接続。
- サーバーレス コンピューティングとターゲット リソースが異なるリージョンに存在する場合など、データ転送料金。
料金はさかのぼって適用されません。
Databricks のサーバーレス ネットワーク コストの概要を参照してください。
サーバーレス コンピューティング プレーン ネットワークの概要
サーバーレス コンピューティング リソースは、Azure Databricks によって管理されるサーバーレス コンピューティング プレーンで実行されます。 アカウント管理者は、サーバーレス コンピューティング プレーンとそのリソースの間のセキュリティで保護された接続を構成できます。 以下のダイアグラム上では、このネットワーク接続に 2 というラベルが付けられています。
コントロール プレーンとサーバーレス コンピューティング プレーンの間は、常に、パブリック インターネットではなくクラウド ネットワーク バックボーン経由で接続されます。 このダイアグラムの中の、その他のネットワーク接続上のセキュリティ機能の構成について詳しくは、「ネットワーク接続」をご参照ください。
サーバーレス エグレス制御とは
サーバーレス エグレス制御を使用すると、サーバーレス コンピューティング リソースからの送信ネットワーク接続を管理できます。
ネットワーク ポリシーを使用すると、次のことができます。
- セキュリティの強化: 送信接続を制限することで、データ流出リスクを軽減します。
- 正確な規則を定義: 許可される場所、接続、FQDN、Azure ストレージ アカウントを指定して、送信接続を制御します。
- 管理の簡素化: サーバーレス環境でエグレス ポリシーを簡単に構成および管理できます。
サーバーレス エグレス制御 を参照してください。
ネットワーク接続構成 (NCC) とは?
サーバーレス ネットワーク接続は、ネットワーク接続構成 (NCC) を使用して管理されます。 NCC は、プライベート エンドポイントの作成とファイアウォールの有効化を大規模に管理するために使用されるアカウント レベルのリージョン コンストラクトです。
アカウント管理者はアカウント コンソールで NCC を作成し、NCC は 1 つ以上のワークスペースにアタッチできます。 NCC では、ファイアウォールとプライベート エンドポイントが有効になります。
- サブネットによるリソース ファイアウォールの有効化: NCC では、リソース ファイアウォールにサービス エンドポイントを追加するのに Databricks で管理される安定した Azure サービス サブネットを使用することで、サーバーレス SQL ウェアハウスから Azure リソースに安全にアクセスできます。 NCC がワークスペースに接続されている場合、そのワークスペース内のサーバーレス コンピューティングは、サービス エンドポイントを使用して Azure リソースに接続するためにそれらのネットワークのいずれかを使用します。 Azure リソース ファイアウォールでそれらのネットワークの一覧を許可できます。 ネットワーク ルールは、ワークスペース ストレージ アカウントに自動的に追加されます。 「サーバーレス コンピューティング アクセス用のファイアウォールの構成」を参照してください。
- プライベート エンドポイント: NCC 内にプライベート エンドポイントを追加すると、Azure Databricks によって Azure リソースへのプライベート エンドポイント要求が作成されます。 リソース側で要求が受け入れられると、プライベート エンドポイントは、サーバーレス コンピューティング プレーンから Azure リソースにアクセスするために使用されます。 「Azure リソースへのプライベート接続を構成する」を参照してください。
手記
Databricks では、サービス エンドポイント、プライベート IP、パブリック IP を使用して、場所と種類に基づいてリソースに接続します。 これらの接続方法は、特に明記されていない限り一般提供されます。