Databricks では、既定でセキュリティで保護されたネットワーク環境が提供されます。 ワークスペースへのアクセスを制御し、コントロール プレーンとコンピューティング プレーン間の接続をセキュリティで保護し、データ ソースへの接続を保護するための追加のネットワーク機能を構成できます。 ネットワーク アーキテクチャの概要については、「 ネットワーク セキュリティ アーキテクチャ」を参照してください。
注
Azure Databricks は、サーバーレス ワークロードがお客様のリソースに接続する場合のネットワーク コストに対して課金されます。 Databricks のサーバーレス ネットワーク コストの概要を参照してください。
概要
Databricks のネットワーク アーキテクチャを理解し、主要な概念を調べる。
| トピック | Description |
|---|---|
| ネットワーク セキュリティ アーキテクチャ | Databricks ネットワークの基盤となるコントロール プレーンとコンピューティング プレーン アーキテクチャについて説明します。 |
| Azure Private Link | セキュリティを強化するために、Azure Private Link を使用してネットワークと Databricks の間にプライベート接続を確立します。 |
| データ転送と接続コストについて | データ転送の価格について説明し、ネットワーク接続機能のコストを最適化します。 |
Connectivity
ワークスペースへの受信アクセスとコンピューティング リソースからの送信接続用に、セキュリティで保護されたネットワーク接続を構成します。
| トピック | Description |
|---|---|
| フロントエンド ネットワーク | Web インターフェイスと API を使用して Databricks ワークスペースに接続するユーザーのネットワーク アクセス制御を構成します。 |
| フロントエンド プライベート リンク | Azure Private Link を使用して、企業ネットワークから Databricks ワークスペースへのプライベート接続を有効にします。 |
| サーバーレス コンピューティング プレーン ネットワーク | サーバーレス コンピューティング リソースとデータ ソースとサービスの間のセキュリティで保護されたネットワーク アクセスを構成します。 |
| Azure リソースへのプライベート接続 | サーバーレス コンピューティングから Azure Storage、SQL Database、およびその他の Azure サービスへのプライベート接続を確立します。 |
| VNet 内のリソースへのプライベート接続 | プライベート エンドポイントを使用して、独自の VNet で実行されているリソースにサーバーレス コンピューティングを接続します。 |
| プライベート エンドポイントルールを管理する | サーバーレス コンピューティング接続のプライベート エンドポイント規則を構成して管理します。 |
| 従来のコンピューティング プレーン ネットワーク | 仮想ネットワークにデプロイされたクラシック コンピューティング リソースのネットワーク オプションについて説明します。 |
| VNet に Azure Databricks をデプロイする | 強化されたネットワーク制御 (VNet インジェクション) のために、独自の Azure VNet で Databricks クラスターをホストします。 |
| 仮想ネットワークをピアリングする | Databricks VNet を Azure サブスクリプション内の他の VNet に接続して、追加のリソースにアクセスします。 |
| ワークスペースをオンプレミス ネットワークに接続する | VPN または Azure ExpressRoute を使用して、企業ネットワークを Databricks に拡張します。 |
| バックエンド プライベート リンク | クラシック コンピューティング リソースと Databricks コントロール プレーンの間にプライベート接続を確立します。 |
| ユーザー定義ルートの設定 | Databricks クラスターからのトラフィック フローを制御するようにユーザー定義ルート (UDR) を構成します。 |
| ワークスペース のネットワーク構成を更新する | 既存のワークスペースのネットワーク構成を変更します。 |
| クラスターの接続をセキュリティで保護する | 開いている受信ポートがない状態で、クラスターからコントロール プレーンへの送信専用接続を有効にします。 |
ネットワークのセキュリティ
ネットワーク アクセスを制限および監視するためのセキュリティ制御を実装します。
| トピック | Description |
|---|---|
| サーバーレス エグレス制御とは | データ流出を防ぎ、コンプライアンスを適用するために、サーバーレス コンピューティング リソースからの送信ネットワーク接続を制限します。 |
| サーバーレス エグレス制御のネットワーク ポリシーを管理する | サーバーレス コンピューティングからの許可されたエグレス接続を定義するネットワーク ポリシーを作成および管理します。 |
| IP アクセス リストの概要 | IP アクセス リストを使用して、Databricks ワークスペースにアクセスできる IP アドレスを制御する方法について説明します。 |
| ワークスペースの IP アクセス リスト | 承認済みネットワークからのアクセスを制限するように、ワークスペース レベルの IP アクセス制御を構成します。 |
| アカウント コンソールの IP アクセス リスト | 一元化されたセキュリティ管理のために、複数のワークスペースに適用されるアカウント レベルの IP 制限を設定します。 |
| ストレージ アクセス用のサービス エンドポイント ポリシーを構成する | Azure サービス エンドポイントを使用して、Databricks アカウントと Azure Storage アカウント間の接続をセキュリティで保護します。 |
| ワークスペース ストレージ アカウントのファイアウォールサポートを有効にする | Databricks クラシック コンピューティング リソースからのアクセスを許可するように Azure Storage ファイアウォール規則を構成します。 |
| サーバーレス コンピューティング アクセス用に Azure Storage ファイアウォールを構成する | 安定したサービス タグを使用して、サーバーレス コンピューティング接続用の Azure Storage ファイアウォール規則を構成します。 |
| ドメイン名のファイアウォール規則 | ネットワーク セキュリティコントロールを介して Databricks サービスを許可するようにドメインベースのファイアウォール規則を構成します。 |
| ファイアウォールサポート用の ARM テンプレート | Azure Resource Manager テンプレートを使用して、ワークスペース ストレージ アカウントのファイアウォール構成を自動化します。 |