Azure リソースのAzure ネットワーク セキュリティ境界を構成する

このページでは、Azure ポータルAzure使用して、サーバーレス コンピューティングから Azure リソースへのアクセスを制御するようにネットワーク セキュリティ境界 (NSP) を構成する方法について説明します。

Azure リソースのネットワーク セキュリティ境界の概要

Azure ネットワーク セキュリティ境界 (NSP) は、PaaS リソースの論理的な分離境界を作成するAzure組み込み機能です。 ストレージ アカウントやデータベースなどのリソースを NSP に関連付けることで、簡略化されたルール セットを使用してネットワーク トラフィックを一元的に管理できます。 NSP を使用すると、個々の IP アドレスまたはサブネット ID の複雑なリストを手動で管理する必要がなくなります。

NSP では、サーバーレス SQL ウェアハウス、ジョブ、ノートブック、Lakeflow Spark 宣言パイプライン、およびエンドポイントを提供するモデルからのアクセスがサポートされています。

主な利点

Azure Databricksサーバーレス送信トラフィックに NSP を使用すると、運用上のオーバーヘッドを大幅に削減しながら、セキュリティ体制が向上します。

メリット Description
コスト削減 サービス エンドポイント経由で送信されるトラフィックは、Azure バックボーンにとどまり、データ処理料金は発生しません。
管理の簡素化 Azure Databricksでは、リージョン サービス タグを使用して、AzureDatabricksServerless.EastUS2 など、特定のリージョンへのアクセスを制限することをお勧めします。 このタグにはサービス エンドポイント IP と Azure Databricks NAT IP の両方が含まれており、すべての通信はAzureバックボーン経由でルーティングされます。 すべてのAzure Databricksリージョンへのアクセスを許可する必要がある場合は、代わりにグローバル タグ AzureDatabricksServerless を使用します。 サポートされているAzureリージョンの完全な一覧については、Azure Databricks リージョンを参照してください。
一元化されたセキュリティ管理 1 つの NSP プロファイル内で、ストレージ、キー コンテナー、データベースなど、複数のリソースの種類にわたってセキュリティ ポリシーを管理します。

サポートされているAzure サービス

AzureDatabricksServerless サービス タグは、次のAzure サービスの NSP 受信アクセス規則で使用するためにサポートされています。

  • Azure Storage (ADLS Gen2 を含む)
  • Azure SQL Database
  • Azure Cosmos DB
  • Azure Key Vault

Requirements

  • Azure Databricks のアカウント管理者である必要があります。
  • 構成するAzure リソースに対する共同作成者または所有者のアクセス許可が必要です。
  • Azure サブスクリプションにネットワーク セキュリティ境界リソースを作成するアクセス許可が必要です。
  • 最適なパフォーマンスを実現し、リージョン間のデータ転送料金を回避するには、Azure Databricks ワークスペースとAzure リソースが同じAzure リージョンにある必要があります。

手順 1: ネットワーク セキュリティ境界を作成し、プロファイル ID をメモする

  1. Azure ポータルにサインインします。

  2. 上部の検索ボックスに「 ネットワーク セキュリティ境界 」と入力し、結果から選択します。

  3. をクリックしてを作成します。

  4. [ 基本 ] タブで、次の情報を入力します。

    • Subscription: Azure サブスクリプションを選択します。
    • リソース グループ: 既存のリソース グループを選択するか、作成します。
    • 名前: NSP の名前を入力します (例: databricks-nsp)。
    • リージョン: NSP のリージョンを選択します。 リージョンは、Azure Databricks ワークスペース リージョンと、Azure リソースのリージョンと一致している必要があります。
    • プロファイル名: プロファイル名を入力します (例: databricks-profile)。

  5. [確認と作成][作成] の順にクリックします。

  6. NSP が作成されたら、Azure ポータルで NSP に移動します。

  7. 左側のサイドバーで、[ 設定]>[プロファイル]に移動します。

  8. プロファイルを作成または選択します (例: databricks-profile)。

  9. プロファイルの リソース ID を コピーします。 プログラムでリソースを関連付けるには、この ID が必要です。

    ヒント

    プロファイル ID を安全な場所に保存します。 Azure ポータルの代わりに Azure CLI または API を使用してリソースを関連付ける場合は、それを使用できる必要があります。

手順 2: 移行モードでリソースを NSP に関連付ける

サーバーレス コンピューティングからアクセスする各Azure リソースAzure Databricks NSP プロファイルに関連付ける必要があります。 この例では、Azure Storage アカウントを関連付ける方法を示しますが、他のAzure リソースにも同じ手順が適用されます。

  1. Azure ポータルでネットワーク セキュリティ境界に移動します。
  2. 左側のサイドバーで、[設定] の [リソース] に移動します。
  3. [+ 追加] をクリック>既存のプロファイルにリソースを関連付けます
  4. 手順 1 で作成したプロファイル (たとえば、 databricks-profile) を選択します。
  5. [関連付け] をクリックします。
  6. リソースの選択ウィンドウで、リソースの種類でフィルター処理します。 たとえば、Azure Data Lake Storage Gen2 アカウントを関連付けるには、Microsoft.Storage/storageAccounts でフィルター処理します。
  7. 一覧からリソースを選択します。
  8. ウィンドウの下部にある [ 関連付け ] をクリックします。

移行モードを確認します。

  1. NSP で、 設定>リソース (または 関連リソース) に移動します。
  2. 一覧でストレージ アカウントを見つけます。
  3. [アクセス モード] 列に [切り替え] が表示されていることを確認します。 遷移は既定のモードです。

移行モードでは、最初に NSP ルールが評価されます。 受信要求に一致する NSP 規則がない場合、システムはリソースの既存のファイアウォール規則にフォールバックします。 移行モードを使用すると、既存のトラフィック パターンを中断することなく、NSP 構成をテストできます。

ステップ 3: Azure Databricks サーバーレス コンピューティングの受信アクセス規則を追加する

サーバーレス コンピューティングから Azure リソースへのトラフィックを許可するには、NSP プロファイルに受信アクセス規則Azure Databricks作成する必要があります。

  1. Azure ポータルでネットワーク セキュリティ境界に移動します。
  2. 左側のサイドバーで、[ 設定]>[プロファイル]に移動します。
  3. プロファイル (たとえば、 databricks-profile) を選択します。
  4. [ 設定] で [ 受信アクセス規則] をクリックします。
  5. [+ 追加] をクリックします。
  6. ルールを構成します。
    • ルール名: わかりやすい名前 (例: allow-databricks-serverless) を入力します。
    • ソースの種類: サービス タグを選択します。
    • 許可されるソース: [AzureDatabricksServerless] を選択します。[your_workspace_region] (たとえば、 AzureDatabricksServerless.EastUS2)。 リージョン タグを使用すると、ワークスペースのリージョン内の Azure Databricks IP へのアクセスが制限されるため、グローバル タグと比較して露出が減少します。
  7. 追加をクリックします。

ヒント

Databricks では、セキュリティを強化するためにリージョン サービス タグ (AzureDatabricksServerless.[your_workspace_region]) を使用することをお勧めします。 ワークスペースが複数のリージョンにまたがる場合など、すべてのAzure Databricksリージョンからのアクセスを許可する必要がある場合は、代わりにグローバル タグ AzureDatabricksServerless を使用します。 どちらのタグも自動的に更新されるため、新しい IP 範囲を追加するときに IP アドレスを手動で管理したり、規則Azure Databricks更新したりする必要はありません。

手順 4: 構成を確認する

NSP を構成した後、サーバーレス コンピューティングAzure Databricks Azure リソースにアクセスし、NSP アクティビティを監視できることを確認します。

サーバーレス コンピューティングからのアクセスをテストする

  1. Azure ポータルでAzure リソースに移動します。

  2. [セキュリティとネットワーク>ネットワーク] に移動します

  3. リソースにネットワーク セキュリティ境界との関連付けが表示されていることを確認します。

  4. 状態に [移行モード] が表示されていることを確認します。

  5. プロファイルに関連付けられている受信ルールを表示して、 AzureDatabricksServerless ルールが一覧表示されていることを確認します (リージョンまたはグローバル)。

  6. Azure Databricks ワークスペースでテスト クエリを実行し、サーバーレス コンピューティングがリソースにアクセスできることを確認します。 たとえば、ADLS Gen2 ストレージ アカウントへのアクセスをテストするには、次のようにします。

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    クエリが成功した場合、NSP 構成は正常に動作しています。

NSP アクティビティの監視

NSP ルールで許可または拒否される接続試行を監視するには:

  1. Azure ポータルでAzure リソースに移動します。
  2. 監視>診断設定に移動します。
  3. [+ 診断設定の追加] をクリックします。
  4. 監視するログ カテゴリを選択します。 Azure Storage アカウントの場合は、次を選択します。
    • StorageRead
    • StorageWrite
  5. 宛先を選択します。
    • Log Analytics ワークスペース (クエリと分析に推奨)
    • ストレージ アカウント (長期アーカイブ用)
    • イベント ハブ (外部システムへのストリーミング用)
  6. [保存] をクリックします。

ヒント

診断ログには、NSP 規則とリソース ファイアウォール規則で一致した接続試行が表示されます。 これらのログは、強制モードに移行する前に構成を検証するのに役立ちます。 移行モードでは、各要求が NSP ルールによって許可されたか、リソース ファイアウォールにフォールバックしたかがログに示されます。

NSP アクセス モードについて

NSP では、 移行モード と強制モードの 2 つのアクセス モード がサポートされています。 Azure Databricksは、ほとんどのユース ケースで無期限に切り替えモードにすることをお勧めします。

移行モード (推奨):

  • 最初に NSP ルールを評価し、NSP ルールが一致しない場合はリソース ファイアウォール規則にフォールバックします
  • 既存のネットワーク構成と共に NSP を使用できます
  • サービス エンドポイント、クラシック コンピューティング構成、パブリック ネットワーク トラフィック パターンと互換性があります

強制モード (ほとんどのお客様には推奨されません):

  • リソース ファイアウォール規則をバイパスし、NSP 規則に一致しないすべてのトラフィックをブロックします。 強制モードは、Azure Databricksだけでなく、リソース ファイアウォール経由で許可されているその他のサービスにも影響します。これらのサービスは、作業を続行するために NSP にオンボードされている必要があります。
  • サービス エンドポイントを使用して任意のAzure Databricks ワークスペースからストレージに接続する場合は、移行モードのままです。

Warnung

移行モードを維持して既存のネットワークセットアップとの互換性を維持しながら、ルール管理を簡素化します。 ネットワーク セキュリティ境界の制限事項を参照してください。

次のステップ

  • プライベート エンドポイントの構成: パブリック エンドポイントのないAzure リソースへのプライベート接続については、「 Azure リソースへのプライベート接続の構成」を参照してください。
  • ネットワーク ポリシーの管理: ネットワーク ポリシーを実装して、サーバーレス コンピューティング環境に追加のセキュリティ制御とアクセス制限を提供します。 サーバーレス エグレス制御 を参照してください。.
  • データ転送コストを理解する: サーバーレス環境との間でのデータの移動に関連するコストについて説明します。 Databricks のサーバーレス ネットワーク コストの概要を参照してください。
  • Last updated on