セキュアなクラスター接続
セキュアな クラスター 接続とは、クラシック プレーン内の顧客 VPC に開いているポートがなく、クラシック クラスター リソースにパブリック IP アドレスがないことを意味します。
Google クラウド上の Databricks のセキュリティで保護されたクラスター接続は、次の 2 つの機能によって実装されます。
デフォルトでクラスター ノードにパブリック IP アドレスがない: Google クラウド アカウントのワークスペース用に作成する GKE クラスターのタイプを定義するワークスペース レベルの設定があります。 デフォルトは プライベート GKE クラスターで、クラスター ノードのパブリック IP アドレスはありません。
安全なクラスター接続リレー: 新しいクラスターは、クラスターの作成中に、コントロール プレーンの安全なクラスター接続リレーへの接続を開始します。 リレーは、Web アプリケーションおよび REST API のメインの入力とは異なる IP アドレスのポート 443 (HTTPS) を使用します。 コントロール プレーンがノートブックを実行するか、新しいDatabricks Runtimeジョブを開始すると、要求はこのトンネルを通じてクラスターに送信されます。 このリレーを使用すると、Databricks コントロール プレーンからクラシック コンピュート プレーン リソースにコマンドを送信するために必要なパブリック IP アドレスが 1 つ減ります。
注:
サーバレス コンピュート プレーンはクラシック コンピュート プレーンのセキュア クラスタ接続リレーを使用しませんが、サーバレス SQL ウェアハウスにはパブリック IP アドレスがありません。
デフォルト構成(プライベート GKE クラスター)とリージョンで安全なクラスター接続リレーが有効になっている場合でも、GKE クラスター コントロール(GKE kube-master
とも呼ばれる)用のパブリック IP アドレスがアカウントに 1 つ残ります。これは起動と管理に役立ちますコンピュート平面リソース。 kube-master
は、Google クラウドのデフォルトの GKE デプロイメントの一部です。 その IP アドレスは Google クラウド アカウント内にありますが、コンピュート プレーン VPC 内にはありません。 この IP アドレスは GKE によって管理されており、Databricks コントロール プレーンからのトラフィックのみを許可するファイアウォール ルールがあります。
セキュリティで保護されたクラスター接続を使用する
ワークスペースにセキュリティで保護されたクラスター接続を提供するには、次の両方の機能を有効にする必要があります。
デフォルトでは、パブリック IP アドレスはありません。 ワークスペースを作成する ときに [プライベート クラスターを有効にする] 設定をオフにすると、ワークスペースにはパブリック GKE クラスターが含まれ、そのノードにはパブリック IP アドレスが含まれます。この場合、ワークスペースは安全なクラスター接続を使用しません。
すべてのリージョンのワークスペースでは、すべてのクラスターでセキュリティで保護されたクラスター接続リレーが自動的に使用されます。