セキュアなクラスター接続

セキュアな クラスター 接続とは、クラシック プレーン内の顧客 VPC に開いているポートがなく、クラシック クラスター リソースにパブリック IP アドレスがないことを意味します。

Google クラウド上の Databricks のセキュリティで保護されたクラスター接続は、次の 2 つの機能によって実装されます。

  • デフォルトでクラスター ノードにパブリック IP アドレスがない: Google クラウド アカウントのワークスペース用に作成する GKE クラスターのタイプを定義するワークスペース レベルの設定があります。 デフォルトは プライベート GKE クラスターで、クラスター ノードのパブリック IP アドレスはありません。

  • 安全なクラスター接続リレー: 新しいクラスターは、クラスターの作成中に、コントロール プレーンの安全なクラスター接続リレーへの接続を開始します。 リレーは、Web アプリケーションおよび REST API のメインの入力とは異なる IP アドレスのポート 443 (HTTPS) を使用します。 コントロール プレーンがノートブックを実行するか、新しいDatabricks Runtimeジョブを開始すると、要求はこのトンネルを通じてクラスターに送信されます。 このリレーを使用すると、Databricks コントロール プレーンからクラシック コンピュート プレーン リソースにコマンドを送信するために必要なパブリック IP アドレスが 1 つ減ります。

注:

サーバレス コンピュート プレーンはクラシック コンピュート プレーンのセキュア クラスタ接続リレーを使用しませんが、サーバレス SQL ウェアハウスにはパブリック IP アドレスがありません。

セキュアなクラスター接続

デフォルト構成(プライベート GKE クラスター)とリージョンで安全なクラスター接続リレーが有効になっている場合でも、GKE クラスター コントロール(GKE kube-masterとも呼ばれる)用のパブリック IP アドレスがアカウントに 1 つ残ります。これは起動と管理に役立ちますコンピュート平面リソース。 kube-masterは、Google クラウドのデフォルトの GKE デプロイメントの一部です。 その IP アドレスは Google クラウド アカウント内にありますが、コンピュート プレーン VPC 内にはありません。 この IP アドレスは GKE によって管理されており、Databricks コントロール プレーンからのトラフィックのみを許可するファイアウォール ルールがあります。

セキュリティで保護されたクラスター接続を使用する

ワークスペースにセキュリティで保護されたクラスター接続を提供するには、次の両方の機能を有効にする必要があります。

  • デフォルトでは、パブリック IP アドレスはありません。 ワークスペースの作成 時に [ プライベート クラスターを有効にする ] 設定をオフにした場合、ワークスペースにはパブリック GKE クラスターがあり、そのノードにはパブリック IP アドレスがあり、その場合、ワークスペースは安全なクラスター接続を使用していません。

  • すべてのリージョンのワークスペースでは、すべてのクラスターでセキュリティで保護されたクラスター接続リレーが自動的に使用されます。