レイクハウスフェデレーション のネットワークに関する推奨事項
この記事では、Databricks クラスターまたは SQLウェアハウスと、レイクハウス フェデレーションを使用して接続している外部データベース システムとの間に実行可能なネットワーク パスを設定するためのガイダンスを提供します。
次の重要な情報に留意してください。
すべてのネットワーク トラフィックは、Databricks クラスター (または SQLウェアハウス) と外部データベース システムの間で直接行われます。 Unity Catalog コントロールプレーンも Databricks コントロール プレーンもネットワーク パス上にありません。
Databricks コンピュート (つまり、クラスターと SQLウェアハウス) は常にクラウド上でデプロイされますが、Databricks コンピュートと外部データベースの間に実行可能なネットワーク パスがある限り、外部データベース システムはオンプレミスまたは任意のクラウド プロバイダーでホストできます。
Databricks コンピュートまたは外部データベース システムのいずれかに受信または送信のネットワーク制限がある場合は、実行可能なネットワーク パスの作成に役立つ一般的なガイダンスについて、次のセクションを参照してください。
Databricks ワークスペースのネットワークの詳細については、 「ネットワーク」を参照してください。
データベースシステムにはネットワークアクセス制限があります
外部データベース システムに受信または送信ネットワーク アクセス制限があり、Databricks クラスターまたは SQLウェアハウスにインターネットからアクセスできる場合は、コンピュートの種類に応じて次の構成を実行します。
クラシックコンピュートのリソース:
次のいずれかのネットワーク ソリューションを構成します。
Databricks コンピュートの安定したエグレス IP。
ロード バランサー、NAT ゲートウェイ、インターネット ゲートウェイなどと並行して安定した IP アドレスを設定し、Databricks コンピュートがデプロイされているサブネットに接続します。 これにより、コンピュートは、外部データベース側でホワイトリストに登録できる安定したパブリック IP アドレスを共有できるようになります。
外部データベース システムは、入力トラフィックと出力トラフィックの両方に対して Databricks コンピュート 安定した IP を許可リストに登録する必要があります。
Private Service Connect (外部データベースが Databricks コンピュートと同じクラウド上にある場合のみ)
データベースがデプロイされているネットワークと Databricks コンピュートがデプロイされているネットワーク間のプライベート サービス接続接続を構成します。
サーバーレスコンピュートのリソース:
Databricks アカウント チームに問い合わせて、サーバレス コンピュートから外部データベースへのセキュリティで保護されたネットワーク アクセスをサポートする計画について確認してください。
Databricks コンピュートにはネットワーク アクセス制限があります
外部データベース システムがインターネットからアクセス可能で、Databricks コンピュートに受信または送信ネットワーク アクセス制限がある場合 (これは、顧客管理ネットワーク上にいる場合にのみ可能)、次のいずれかの構成を実行します。
Databricks コンピュートがデプロイされているサブネットのファイアウォール規則で、外部データベースのホスト名を許可リストに登録します。
ホスト名ではなく外部データベースの IP アドレスを許可リストに登録する場合は、外部データベースに安定した IP アドレスがあることを確認してください。
プライベート サービス接続 (外部データベースが Databricks コンピュートと同じクラウド上にある場合のみ)
データベースがデプロイされているネットワークと Databricks コンピュートがデプロイされているネットワーク間のプライベート サービス接続接続を構成します。