Azure Databricks のためのユーザー定義のルート設定
Azure Databricks ワークスペースを独自の仮想ネットワーク (VNet) にデプロイする場合は、カスタム ルート (ユーザー定義ルート (UDR) とも呼ばれます) を使用して、ネットワーク トラフィックがワークスペースに正しくルーティングされるようにすることができます。 たとえば、仮想ネットワークをオンプレミス ネットワークに接続した場合、トラフィックはオンプレミス ネットワーク経由でルーティングされ、Azure Databricks コントロール プレーンにアクセスできなくなる可能性があります。 ユーザー定義ルートでこの問題を解決できます。
VNet からの送信接続の種類ごとに、UDR が必要です。 Azure サービス タグと IP アドレスの両方を使用して、ユーザー定義ルートにネットワーク アクセス制御を定義できます。 Databricks では、IP の変更によるサービスの停止を防ぐために、Azure サービス タグを使用することが推奨されます。
Azure サービス タグを使用してユーザー定義ルートを構成する
Databricks では、特定の Azure サービスの IP アドレス プレフィックスのグループを表す Azure サービス タグを使用することが推奨されます。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。 これは、IP の変更によるサービスの停止を防ぐのに役立ち、ルート テーブルでこれらの IP を定期的に検索して更新する必要がなくなります。 ただし、組織のポリシーでサービス タグが許可されていない場合は、必要に応じて ルートを IP アドレスとして指定できます。
サービス タグを使用することで、ユーザー定義のルートでは、次のルールを使用し、ルート テーブルを仮想ネットワークのパブリックおよびプライベート サブネットに関連付ける必要があります。
source | アドレス プレフィックス | ネクストホップの種類 |
---|---|---|
Default | Azure Databricks サービス タグ | インターネット |
Default | Azure SQL サービス タグ | インターネット |
Default | Azure Storage サービス タグ | インターネット |
既定値 | Azure Event Hubs サービス タグ | インターネット |
Note
Azure Databricks クラスターから Azure リソースへの Microsoft Entra ID 認証を容易にするために、Microsoft Entra ID サービス タグの追加を選択できます。
ワークスペースで Azure Private Link が有効になっている場合、Azure Databricks サービス タグは必要ありません。
Azure Databricks サービス タグは、Azure Databricks コントロール プレーン、セキュリティで保護されたクラスター接続 (SCC)、および Azure Databricks Web アプリケーションへの必要な送信接続用の IP アドレスを表します。
Azure SQL サービス タグは、Azure Databricks メタストアへの必要な送信接続の IP アドレスを表し、Azure Storage サービス タグは成果物 BLOB ストレージとログ BLOB ストレージの IP アドレスを表します。 Azure Event Hubs サービス タグは、Azure Event Hub へのログ記録に必要な送信接続を表します。
一部のサービス タグでは、IP 範囲を、指定したリージョンに制限することで、より詳細な制御が可能です。 たとえば、米国西部リージョンの Azure Databricks ワークスペースのルート テーブルは次のようになります。
名前 | アドレス プレフィックス | ネクストホップの種類 |
---|---|---|
adb-servicetag | AzureDatabricks | インターネット |
adb-metastore | Sql.WestUS | インターネット |
adb-storage | Storage.WestUS | インターネット |
adb-eventhub | EventHub.WestUS | インターネット |
ユーザー定義ルートに必要なサービス タグを取得するには、仮想ネットワーク サービス タグに関するページを参照してください。
IP アドレスを使用してユーザー定義ルートを構成する
Databricks では Azure サービス タグを使用することが推奨されていますが、組織のポリシーでサービス タグが許可されていない場合は、IP アドレスを使用して、ユーザー定義ルートにネットワーク アクセス制御を定義できます。
詳細は、ワークスペースでセキュリティで保護されたクラスター (SCC) が有効になっているかどうかによって異なります。
- ワークスペースに対してセキュリティで保護されたクラスター接続が "有効" になっている場合、クラスターがコントロール プレーンのセキュリティで保護されたクラスター接続リレーに接続できるようにするには、UDR が必要です。 リージョンの "SCC リレー IP" とマークされているシステムを必ず含めてください。
- ワークスペースに対してセキュリティで保護されたクラスター接続が "無効" になっている場合、コントロール プレーン NAT からの受信接続がありますが、その接続に対する低レベルの TCP SYN-ACK は、理論的には UDR を必要とする送信データになります。 リージョンの "コントロール プレーン NAT IP" とマークされているシステムを必ず含めてください。
ユーザー定義のルートでは、次のルールを使用し、ルート テーブルを仮想ネットワークのパブリックおよびプライベート サブネットに関連付ける必要があります。
source | アドレス プレフィックス | ネクストホップの種類 |
---|---|---|
Default | コントロール プレーン NAT IP (SCC が無効の場合) | インターネット |
Default | SCC リレー IP (SCC が有効の場合) | インターネット |
Default | Webapp IP | インターネット |
Default | メタストア IP | インターネット |
Default | アーティファクト BLOB ストレージ IP | インターネット |
Default | ログ BLOB ストレージ IP | インターネット |
既定値 | ワークスペース ストレージ IP - Blob Storage エンドポイント | インターネット |
既定値 | ワークスペース ストレージ IP - ADLS gen2 (dfs ) エンドポイント |
インターネット |
既定値 | Event Hubs IP | インターネット |
ワークスペースで Azure Private Link が有効になっている場合、ユーザー定義のルートは次のルールを使用し、ルート テーブルを仮想ネットワークのパブリック サブネットとプライベート サブネットに関連付ける必要があります。
source | アドレス プレフィックス | ネクストホップの種類 |
---|---|---|
Default | メタストア IP | インターネット |
Default | アーティファクト BLOB ストレージ IP | インターネット |
Default | ログ BLOB ストレージ IP | インターネット |
既定値 | Event Hubs IP | インターネット |
ユーザー定義ルートに必要な IP アドレスを取得するには、「Azure Databricks のリージョン」のテーブルと手順を使用します。具体的には次のとおりです。