Important
この機能は パブリック プレビュー段階です。
Azure Databricksサーバーレス コンピューティングは、マネージド ネットワーク インフラストラクチャを介してクラウド リソースに接続します。 ファイアウォールがクラウド リソースを保護する場合は、サーバーレス コンピューティングからのトラフィックを許可する必要があります。 構成方法は、リソースの種類によって異なります。
-
ワークスペースのリージョン内の Azure ストレージ アカウント: ストレージ アカウントを ネットワーク セキュリティ境界 (NSP) に関連付け、
AzureDatabricksServerlessサービス タグを許可します。
- その他のリソース: Azure Databricksによって発行された送信 IP アドレスを許可リストします。
Note
リソースへの専用のプライベート接続が必要な場合は、IP アドレスを許可リストに追加する代わりに、アウトバウンド Private Link 接続を使用してリソースにアクセスします。 VNet 内のリソースへのプライベート接続を構成するを参照してください。
Azure ストレージ アカウントのAzure ネットワーク セキュリティ境界を構成する
Azure ネットワーク セキュリティ境界 (NSP) は、サービスとしてのプラットフォーム (PaaS) リソースの論理的な分離境界を作成する組み込みのAzure機能です。 ストレージ アカウントを NSP に関連付けると、個々の IP アドレスまたはサブネット ID の複雑なリストを維持するのではなく、簡素化されたルール セットを使用してネットワーク トラフィックを一元的に管理できます。 このセクションでは、Azure ポータルを使用して、Azure ストレージ アカウントへのサーバーレス コンピューティング アクセスを制御するように NSP を構成する方法について説明します。
NSP では、サーバーレス SQL ウェアハウス、ジョブ、ノートブック、Lakeflow Spark 宣言パイプライン、およびエンドポイントを提供するモデルからのアクセスがサポートされています。
Important
2026年6月9日までに、Azure Databricks のサーバーレス サブネット ID を許可リストに含む既存の Azure ストレージ アカウントは、ネットワーク セキュリティ境界に参加させ、AzureDatabricksServerless サービス タグを許可リストに含める必要があります。
主な利点
Azure Databricks サーバーレス送信トラフィックに NSP を使用すると、運用オーバーヘッドを大幅に削減しながら、セキュリティ体制が向上します。
| Benefit | 説明 |
|---|---|
| コスト削減 | サービス エンドポイント経由で送信されるトラフィックは Azure バックボーンにとどまり、データ処理料金は発生しません。 |
| 管理の簡素化 | Azure Databricksでは、リージョン サービス タグを使用して、AzureDatabricksServerless.EastUS2 など、特定のリージョンへのアクセスを制限することをお勧めします。 すべての通信は、Azureバックボーン経由でルーティングされます。 多くのリージョンのワークスペースにアクセスが必要な場合は、複数のリージョン サービス タグを使用できます。 サポートされている Azure リージョンの完全な一覧については、 Azure Databricks リージョンを参照してください。 |
| 一元化されたセキュリティ管理 | 1 つの NSP プロファイル内で、ストレージ、キー コンテナー、データベースなど、複数のリソースの種類にわたってセキュリティ ポリシーを管理します。 |
サポートされているAzure サービス
AzureDatabricksServerless サービス タグは、ワークスペースのリージョンのAzure Storage (ADLS Gen2 を含む) を対象とする NSP 受信規則でのみサポートされます。
Requirements
操作を始める前に、以下の要件を満たしておく必要があります。
- Azure Databricks のアカウント管理者である必要があります。
- 構成する Azure リソースに対する共同作成者または所有者のアクセス許可が必要です。
- Azure サブスクリプションにネットワーク セキュリティ境界リソースを作成するアクセス許可が必要です。
- 最適なパフォーマンスを実現し、リージョン間のデータ転送料金を回避するには、Azure Databricks ワークスペースとAzure リソースが同じAzure リージョンにある必要があります。
手順 1: ネットワーク セキュリティ境界を作成し、プロファイル ID をメモする
境界を作成し、そのプロファイル ID をメモするには、次の操作を行います。
Azure portal にサインインする
上部の検索ボックスに「 ネットワーク セキュリティ境界 」と入力し、結果から選択します。
[+ 作成] をクリックします。
[基本] タブで、次の情報を入力します。
- サブスクリプション: Azure サブスクリプションを選択します。
- リソース グループ: 既存のリソース グループを選択するか、作成します。
-
名前: NSP の名前を入力します (例:
databricks-nsp)。 - リージョン: NSP のリージョンを選択します。 リージョンは、Azure Databricks ワークスペース リージョンと、Azure ストレージ アカウントのリージョンと一致している必要があります。
-
プロファイル名: プロファイル名を入力します (例:
databricks-profile)。
[確認と作成]、[作成] の順にクリックします。
NSP が作成されたら、Azure ポータルで NSP に移動します。
左側のサイドバーで、[ 設定]>[プロファイル]に移動します。
プロファイルを作成または選択します (例:
databricks-profile)。プロファイルの リソース ID を コピーします。 プログラムでリソースを関連付けるには、この ID が必要です。
Tip
プロファイル ID を安全な場所に保存します。 Azure ポータルの代わりに Azure CLI または API を使用してリソースを関連付ける場合は、それを使用できる必要があります。
手順 2: 移行モードでストレージ アカウントを NSP に関連付ける
次の手順に従って、サーバーレス コンピューティングからアクセスする各Azure ストレージ アカウントAzure Databricks NSP プロファイルに関連付ける必要があります。
- Azure ポータルでネットワーク セキュリティ境界に移動します。
- 左側のサイドバーで、[設定] の [関連付けられているリソース] に移動します。
- [+ 追加] をクリック>既存のプロファイルにリソースを関連付けます。
- 手順 1 で作成したプロファイル (たとえば、
databricks-profile) を選択します。 - [関連付け] をクリックします。
- リソースの選択ウィンドウで、Azure Data Lake Storage Gen2 アカウントを関連付ける
Microsoft.Storage/storageAccountsでフィルター処理します。 - 一覧からストレージ アカウントを選択します。
- ウィンドウの下部にある [ 関連付け ] をクリックします。
移行モードを確認します。
- NSP で、 設定>関連付けられているリソースに移動します。
- 一覧でストレージ アカウントを見つけます。
- [アクセス モード] 列に [切り替え] が表示されていることを確認します。 遷移は既定のモードです。
Note
移行モードを維持して既存のネットワークセットアップとの互換性を維持しながら、ルール管理を簡素化します。 ネットワーク セキュリティ境界の制限事項を参照してください。
移行モードでは、最初に NSP ルールが評価されます。 受信要求に一致する NSP 規則がない場合、システムはリソースの既存のファイアウォール規則にフォールバックします。
手順 3: Azure Databricks サーバーレス コンピューティングの受信アクセス規則を追加する
Azure Databricks サーバーレス コンピューティングから Azure リソースへのトラフィックを許可するには、NSP プロファイルに受信アクセス規則を作成する必要があります。
- Azure ポータルでネットワーク セキュリティ境界に移動します。
- 左側のサイドバーで、[ 設定]>[プロファイル]に移動します。
- プロファイル (たとえば、
databricks-profile) を選択します。 - [ 設定] で [ 受信アクセス規則] をクリックします。
- [+ 追加] をクリックします。
- ルールを構成します。
-
ルール名: わかりやすい名前 (例:
allow-databricks-serverless) を入力します。 - ソースの種類: サービス タグを選択します。
-
許可されるソース: [AzureDatabricksServerless] を選択します。[your_workspace_region] (たとえば、
AzureDatabricksServerless.EastUS2)。 リージョン タグを使用すると、ワークスペースのリージョン内の Azure Databricks IP へのアクセスが制限されるため、グローバル タグと比較して露出が減少します。
-
ルール名: わかりやすい名前 (例:
- 追加をクリックします。
Tip
Azure Databricksでは、セキュリティを強化するためにリージョン サービス タグ (AzureDatabricksServerless.[your_workspace_region]) を使用することをお勧めします。 グローバル タグ AzureDatabricksServerlessを許可リストすると、すべてのAzure Databricksリージョンからのアクセスが許可されます。 多くのリージョンのワークスペースがストレージにアクセスする必要がある場合は、複数のリージョン サービス タグを使用できます。
手順 4: 構成を確認する
NSP を構成した後、Azure Databricksサーバーレス コンピューティングがストレージにアクセスし、NSP アクティビティを監視できることを確認します。
サーバーレス コンピューティングからのアクセスをテストする
Azure ポータルでAzure リソースに移動します。
[セキュリティとネットワーク>ネットワーク] に移動します。
リソースにネットワーク セキュリティ境界との関連付けが表示されていることを確認します。
状態に [移行モード] が表示されていることを確認します。
プロファイルに関連付けられている受信ルールを表示して、
AzureDatabricksServerlessルールが一覧表示されていることを確認します (リージョンまたはグローバル)。Azure Databricks ワークスペースでテスト クエリを実行して、サーバーレス コンピューティングがリソースにアクセスできることを確認します。 たとえば、ADLS Gen2 ストレージ アカウントへのアクセスをテストするには、次のようにします。
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;クエリが成功した場合、NSP 構成は正常に動作しています。
NSP アクティビティの監視
NSP ルールで許可または拒否される接続試行を監視するには:
Azure ポータルでAzure リソースに移動します。
[監視]>[診断設定] に移動します。
[+ 診断設定の追加] をクリックします。
監視するログ カテゴリを選択します。 Azure Storage アカウントの場合は、次を選択します。
- StorageRead
- StorageWrite
宛先を選択します。
- Log Analytics ワークスペース (クエリと分析に推奨)
- ストレージ アカウント (長期アーカイブ用)
- イベント ハブ (外部システムへのストリーミング用)
保存 をクリックします。
Tip
診断ログには、NSP 規則とリソース ファイアウォール規則で一致した接続試行が表示されます。 移行モードでは、各要求が NSP ルールによって許可されたか、リソース ファイアウォールにフォールバックしたかがログに示されます。
NSP アクセス モードについて
NSP では、 移行モード と強制モードの 2 つのアクセス モード がサポートされています。 Azure Databricks では、ほとんどのユース ケースで、移行モードを無期限に残することをお勧めします。
移行モード (推奨):
- 最初に NSP ルールを評価し、NSP ルールが一致しない場合はリソース ファイアウォール規則にフォールバックします。
- 既存のネットワーク構成と共に NSP を使用できます。
- サービス エンドポイント、クラシック コンピューティング構成、パブリック ネットワーク トラフィック パターンと互換性があります。
強制モード (ほとんどのお客様には推奨されません):
- リソース ファイアウォール規則をバイパスし、NSP 規則に一致しないすべてのトラフィックをブロックします。 強制モードは、Azure Databricksだけでなく、リソース ファイアウォール経由で許可されているその他のサービスにも影響します。これらのサービスは、作業を続行するために NSP にオンボードされている必要があります。
- サービス エンドポイントを使用して任意のAzure Databricks ワークスペースからストレージに接続する場合は、移行モードのままです。
Warnung
移行モードを維持して既存のネットワークセットアップとの互換性を維持しながら、ルール管理を簡素化します。 ネットワーク セキュリティ境界の制限事項を参照してください。
送信 IP アドレスを使用して他のリソースへのアクセスを構成する
Important
2026 年 2 月中旬以降、Azure Databricksはパブリック エンドポイントで送信 IP を JSON 形式で発行します。これは、これらの IP を取得するためにサポートされている方法です。
パブリック プレビューの安定した IP を使用するか、アカウント コンソールでネットワーク接続構成 (NCC) からコピーした場合は、2026 年 5 月 25 日より前に新しい方法に移行する必要があります。 2026 年 5 月 25 日以降、レガシ IP リストは使用停止になり、不完全な移行によってワークロードが中断される可能性があります。
ワークスペースと同じリージョンAzureストレージ アカウント以外のリソースの場合、サーバーレス コンピューティングではパブリック IP アドレスを使用してリソースに到達します。
サーバーレスがファイアウォールを使用してリソースにアクセスできるようにするには、Azure Databricksによって発行された CIDR ブロックを許可リストに追加する必要があります。 公開された送信 IP アドレスの詳細については、「 サーバーレス コンピューティング ファイアウォールプレビューの送信 IP」を参照してください。
ご利用の環境の送信元 IP アドレスを確認する
-
ip-ranges.jsonをダウンロード. - ワークスペースに適用されるエントリに JSON をフィルター処理します。 次の条件に該当するエントリのみを保持します:
-
serviceはDatabricksです -
typeはoutboundです -
regionワークスペースのリージョンと一致します -
platformはazureに一致します
-
- リソースファイアウォール内の一致するエントリにある
ipv4Prefixes(CIDR ブロック)を許可リストに追加します。
更新を自動化して許可リストを最新の状態に保つ
許可リストの更新を自動化する必要があります。 Azure Databricksこれらの IP は時間の経過と同時に変更されるため、静的な 1 回限りのコピーでは最終的にサーバーレス接続が切断されます。 更新プログラムは 30 日に 1 回の頻度で発行され、新しい IP は発行から 60 日後にアクティブになり、新しいリージョンは定期的に追加されます。 許可リストを最新の状態に保つには:
- 定期的に
ip-ranges.jsonを取得します(たとえば30日ごとに)。 - その
timestampSecondsフィールドを保存したコピーと比較して、変更を検出します。 - 変更された場合は、
platformとregionの IP が変更されたかどうかを確認します。 - ファイアウォールの許可リストを新しい IP で更新します。
- 次の比較のためにファイルを保存します。
Considerations
サーバーレス コンピューティング用のファイアウォールを構成する前に、次の考慮事項を確認してください。
- ファイアウォールの構成は、クラシック コンピューティング リソースからの接続にも影響します。 また、リソース アクセス規則を更新して、クラシック コンピューティング リソースからの接続に IP を許可する必要もあります。
- サーバーレス コンピューティングからの接続をテストする前に、ファイアウォール規則の伝達に時間をかけます。
次のステップ
- VPC 内のリソースへのプライベート接続を構成する: PrivateLink を使用して、サーバーレスコンピューティングから VPC 内のリソースへの安全で分離されたアクセスを確立します。 VNet 内のリソースへのプライベート接続を構成するを参照してください。
- プライベート エンドポイント ルールの管理: ネットワーク接続構成のプライベート エンドポイント規則を表示、更新、および削除します。 プライベート エンドポイントルールの管理について参照してください。