次の方法で共有

サーバーレス コンピューティング プレーン ネットワーク

  • [アーティクル]

このガイドでは、Azure Databricks サーバーレス コンピューティング プレーン内のコンピューティング リソースと顧客リソースの間のネットワーク アクセスをセキュリティで保護するツールを紹介します。 コントロール プレーンとサーバーレス コンピューティング プレーンの詳細については、「Azure Databricks アーキテクチャの概要」を参照してください。

クラシック コンピューティングとサーバーレス コンピューティングの詳細については、「コンピューティングの種類」を参照してください。

重要

2024 年 12 月 4 日から、Databricks は、外部リソースに接続するサーバーレス ワークロードのネットワーク コストの課金を開始します。 課金は段階的に実施され、2024 年 12 月 4 日以降は課金されない場合があります。 課金が有効になる前に、使用量に対してさかのぼって課金されることはありません。 課金が有効になると、次の料金が発生する場合があります。

  • Private Link 経由でのリソースへのプライベート接続。 Private Link 経由でのリソースへのプライベート接続に対するデータ処理料金は無期限に免除されます。 時間単位の料金が適用されます。
  • NAT ゲートウェイ経由のリソースへのパブリック接続。
  • サーバーレス コンピューティングとターゲット リソースが異なるリージョンにある場合など、発生するデータ転送料金。

サーバーレス コンピューティング プレーン ネットワークの概要

サーバーレス コンピューティング リソースは、Azure Databricks によって管理されるサーバーレス コンピューティング プレーンで実行されます。 アカウント管理者は、サーバーレス コンピューティング プレーンとそのリソースの間のセキュリティで保護された接続を構成できます。 以下のダイアグラム上では、このネットワーク接続に 2 というラベルが付けられています。

ネットワーク接続の概要図

コントロール プレーンとサーバーレス コンピューティング プレーンの間は、常に、パブリック インターネットではなくクラウド ネットワーク バックボーン経由で接続されます。 このダイアグラムの中の、その他のネットワーク接続上のセキュリティ機能の構成について詳しくは、「ネットワーク接続」をご参照ください。

サーバーレス エグレス制御とは

サーバーレス エグレス制御を使用すると、サーバーレス コンピューティング リソースからの送信ネットワーク接続を管理できます。

ネットワーク ポリシーを使用すると、次のことができます。

  • セキュリティの強化: 送信接続を制限することで、データ流出リスクを軽減します。
  • 正確な規則を定義する: 許可される場所、接続、FQDN、および Azure ストレージ アカウントを指定して送信接続を制御します。
  • 管理を簡素化する: サーバーレス環境でエグレス ポリシーを簡単に構成および管理できます。

サーバーレス エグレス制御 を参照してください。.

ネットワーク接続構成 (NCC) とは?

サーバーレス ネットワーク接続は、ネットワーク接続構成 (NCC) を使用して管理されます。 NCC は、プライベート エンドポイントの作成とファイアウォールの有効化を大規模に管理するために使用されるアカウント レベルのリージョン コンストラクトです。

アカウント管理者はアカウント コンソールで NCC を作成し、NCC は 1 つ以上のワークスペースにアタッチできます。 NCC では、ファイアウォールとプライベート エンドポイントが有効になります。

  • サブネットによるリソース ファイアウォールの有効化: NCC では、リソース ファイアウォールにサービス エンドポイントを追加するのに Databricks で管理される安定した Azure サービス サブネットを使用することで、サーバーレス SQL ウェアハウスから Azure リソースに安全にアクセスできます。 NCC がワークスペースに接続されている場合、そのワークスペース内のサーバーレス コンピューティングは、サービス エンドポイントを使用して Azure リソースに接続するためにそれらのネットワークのいずれかを使用します。 Azure リソース ファイアウォールでそれらのネットワークの一覧を許可できます。 ネットワーク ルールは、ワークスペース ストレージ アカウントに自動的に追加されます。 「サーバーレス コンピューティング アクセス用のファイアウォールの構成」を参照してください。
  • プライベート エンドポイント: NCC 内にプライベート エンドポイントを追加すると、Azure Databricks によって Azure リソースへのプライベート エンドポイント要求が作成されます。 リソース側で要求が受け入れられると、プライベート エンドポイントは、サーバーレス コンピューティング プレーンから Azure リソースにアクセスするために使用されます。 「サーバーレス コンピューティングからのプライベート接続を構成する」を参照してください。