Azure仮想ネットワークにAzure Databricksをデプロイする (VNet インジェクション)

Azure VNet にAzure Databricksをデプロイして、ネットワークのカスタマイズ、Azure サービスとオンプレミスのデータ ソースへのセキュリティで保護された接続、トラフィック検査機能を有効にします。

VNet インジェクションを使用する理由

VNet インジェクションは、独自の VNet Azure Databricksクラシック コンピューティング プレーン リソースをデプロイし、次の機能を有効にします。

  • サービス エンドポイントまたはプライベート エンドポイントを使用したAzure サービスへのプライベート接続
  • ユーザー定義ルートを介したオンプレミス アクセス
  • ネットワーク仮想アプライアンスを使用したトラフィック検査
  • カスタム DNS 構成
  • 追加の NSG 規則を使用したエグレス トラフィック制御
  • 柔軟な CIDR 範囲 (VNet: /16 から /24 まで、サブネット: /26 まで)

アクセス許可の要件

Azureのアクセス許可: ワークスペース作成者は、VNetでネットワーク共同作成者ロールを持っている必要があります。あるいは、カスタムロールMicrosoft.Network/virtualNetworks/subnets/join/action および Microsoft.Network/virtualNetworks/subnets/write アクセス許可を持っている必要があります。

VNet の構成

  1. Azure Databricks ワークスペースをデプロイするように VNet を構成する必要があります。 既存の VNet を使用することも、新しい VNet を作成することもできます。 VNet は、次の要件を満たしている必要があります。
    • Region: VNet は、Azure Databricks ワークスペースと同じリージョンに存在する必要があります。
    • Subscription: VNet は、Azure Databricks ワークスペースと同じサブスクリプション内にある必要があります。
    • アドレス空間: VNet の /16/24 の間の CIDR ブロック。 VNet サイズに基づく最大クラスター ノードのガイダンスについては、 アドレス空間のガイダンスを参照してください。
    • Subnets: VNet には、Azure Databricks ワークスペース専用の 2 つのサブネットが含まれている必要があります。
      • コンテナー サブネット (プライベート サブネットとも呼ばれます)
      • ホスト サブネット (パブリック サブネットとも呼ばれます)
      • 各サブネットでは、少なくとも /26である CIDR ブロックを使用する必要があります。 Databricks では、 /26よりも小さいサブネットは推奨されません。
      • ワークスペース間でサブネットを共有したり、Azure Databricks ワークスペースで使用されるサブネットに他のAzure リソースをデプロイしたりすることはできません。
      • サブネットのサイズは一致することをお勧めします。
    • エグレス トラフィックの送信接続: Databricks では、安定したエグレス IP のために両方のサブネットに対して Azure NAT ゲートウェイ を使用することをお勧めします。 2026 年 3 月 31 日以降、新しい VNet には明示的な送信接続方法が必要です。 セキュリティで保護されたクラスター接続を参照してください。
    • ネットワーク セキュリティ グループの規則: ネットワーク セキュリティ グループの規則を参照してください

セキュリティで保護されたクラスター接続を使用そてワークスペースをデプロイすると、コンテナー サブネットとホスト サブネットの両方でプライベート IP が使用されます。

アドレス空間のガイドライン

Azure Databricks ワークスペースには、コンテナー サブネットとホスト サブネットという 2 つのサブネットが VNet に必要です。 Azureは、各サブネット内で五つのIPを予約します。 Azure Databricksでは、クラスター ノードごとに 2 つの IP アドレスが必要です。ホスト サブネット内のホストの IP アドレスと、コンテナー サブネット内のコンテナーの IP アドレスです。

アドレス空間を計画するときは、次の点を考慮してください。

  • 1 つの VNet 内に複数のワークスペースを作成できます。 ワークスペース間でサブネットを共有できないため、合計 VNet アドレス空間を使用しないサブネットを計画します。
  • VNet のアドレス空間内にあり、その VNet 内の現在または将来のサブネットのアドレス空間と重複しない 2 つの新しいサブネットにアドレス空間を割り当てます。

小さい仮想ネットワークを使用するワークスペースは、大きい仮想ネットワークを使用するワークスペースよりも早く IP アドレス (ネットワーク空間) を使い切る可能性があります。 VNet に対して /16 から /24 までの CIDR ブロックを使用し、2 つのサブネット (コンテナー サブネットとホスト サブネット) に対して /26 までの CIDR ブロックを使用します。 サブネットに対して最大 /28 までの CIDR ブロックを作成できますが、Azure Databricksでは、/26 より小さいサブネットは推奨されません。

手順 1: ワークスペースを作成する

Azure ポータルでワークスペースを作成し、VNet にデプロイします。

  1. Azure ポータルで、+ リソースの作成 > Analytics > Azure Databricks を選択するか、Azure Databricksを検索します。

  2. [ ネットワーク ] タブで、VNet を選択します。

    重要

    VNet が表示されない場合は、ワークスペースと VNet が同じAzureリージョンにあることを確認します。

  3. CIDR 範囲が最大 /26 (名前の場合は最大 80 文字) のサブネットを構成します。

    • 既存のサブネット: 正確なサブネット名と一致する IP 範囲を入力します
    • 新しいサブネット: VNet のアドレス空間内に新しい名前と IP 範囲を入力します

    デプロイ後にサブネット CIDR 範囲を変更することはできません。 Azure Databricksは、NSG 規則とサブネット委任を Microsoft.Databricks/workspaces に自動的に構成します。

  4. [ 作成 ] をクリックしてワークスペースをデプロイします。

手順 2: ワークスペースのデプロイを確認する

  1. Azure ポータルに移動し、Azure Databricks ワークスペース リソースに移動します。

  2. [ 概要 ] ページで、次のことを確認します。

    • ワークスペースは正常な状態です (失敗していません)。
    • リソース グループとマネージド リソース グループが一覧表示されます。
    • 仮想ネットワーク ピアリングが無効になっています (これは VNet インジェクションに必要です)。

マネージド リソース グループは変更できず、仮想マシンの作成には使用できません。 管理するリソース グループに仮想マシンを作成します。

手順 3: ネットワーク セキュリティ グループの構成を確認する

  1. Azure ポータルで、VNet に移動します。

  2. [設定]の下の [サブネット] をクリックします。

  3. コンテナー サブネットとホスト サブネットの両方に次の機能があることを確認します。

    • ネットワーク セキュリティ グループが接続されている
    • Microsoft.Databricks/workspaces への委任

  4. ネットワーク セキュリティ グループをクリックし、必要な受信規則と送信規則が構成されていることを確認します。 想定される規則については、「 ネットワーク セキュリティ グループの規則のリファレンス」を参照してください

手順 4: クラスターを作成する

ワークスペースを作成したら、クラシック コンピューティング クラスターを作成して、VNet インジェクションが正常に動作していることを確認します。

  1. Azure Databricks ワークスペースに移動し、Overview ページで Launch Workspace をクリックします。

  2. サイド バーで compute icon[コンピューティング] をクリックします。

  3. [コンピューティング] ページの [クラスターの作成] をクリックします。

  4. クラスター名を入力し、残りの値は既定の状態のままにして、[ クラスターの作成] をクリックします。

クラスターが実行されると、マネージド リソース グループには、新しい仮想マシン、ディスク、IP アドレス、およびネットワーク インターフェイスが含まれます。 ネットワーク インターフェイスは、IP アドレスを持つパブリック サブネットとプライベート サブネットのそれぞれに作成されます。

手順 5: クラスター ネットワーク構成を確認する

  1. Azure Databricks ワークスペースで、Azure ポータルのマネージド リソース グループに移動します。

  2. 次のリソースが存在するかどうかを確認します。

    • クラスター ノードの仮想マシン
    • 仮想マシンに接続されているディスク
    • クラスター ノードの IP アドレス
    • パブリック サブネットとプライベート サブネットの両方のネットワーク インターフェイス

  3. Azure Databricks ワークスペースで、作成したクラスターをクリックします。

  4. Spark UI に移動し、[Executors] タブをクリックします。

  5. ドライバーと Executor のアドレスがプライベート サブネットの範囲内にあることを確認します。 たとえば、プライベート サブネットが 10.179.0.0/18されている場合、ドライバーが 10.179.0.6 され、Executor が 10.179.0.4 され、 10.179.0.5される可能性があります。 IP アドレスが異なる場合があります。

安定したエグレス IP アドレス

セキュリティで保護されたクラスター接続と VNet インジェクションを使用するワークスペースの場合、Databricks では安定したエグレス パブリック IP を構成することをお勧めします。 安定した IP により、Salesforce や IP アクセス リストなどのサービスの外部許可 リストが有効になります。

警告

2026 年 3 月 31 日以降、新しい Azure VNet は既定で、送信インターネット アクセスのないプライベート構成になります。 新しい Azure Databricks ワークスペースには、NAT ゲートウェイなどの明示的な送信接続方法が必要です。 既存のワークスペースは影響を受けません。 Microsoftの発表を参照してください。

安定したエグレス IP を構成するには、「 VNet インジェクションを使用したエグレス」を参照してください。

ネットワーク セキュリティ グループ規則

Azure Databricks、Microsoft.Databricks/workspaces サービスへのサブネット委任を通じて、以下に示す NSG 規則を自動プロビジョニングおよび管理します。 これらのルールは、ワークスペースの操作に必要です。 これらの規則は変更または削除しないでください。

一部のルールでは、ソースと宛先の両方として VirtualNetwork が使用されます。 内部ネットワーク ポリシーは、同じ VNet 内のワークスペース間を含め、クラスター間の通信を防ぎます。

Databricks では、ワークスペースごとに一意の NSG を使用することをお勧めします。

重要

同じ VNet またはピアリングされた VNet 内の他のネットワークとサブネットに接続されている NSG に拒否規則を追加します。 受信および送信の両方の接続に拒否規則を適用して、Azure Databricks コンピューティング リソースとの間のトラフィックを制限します。 クラスターが必要なリソースに到達するために必要な最小限のアクセスのみを許可します。

ワークスペースのネットワーク セキュリティ グループ規則

次の表に、ワークスペースのネットワーク セキュリティ グループ規則を示し、 セキュリティで保護されたクラスター接続 (SCC) が無効になっている場合にのみ追加される 2 つの受信セキュリティ グループ規則が含まれています。

向き プロトコル 出典 発信元ポート 宛先 宛先ポート 使用済み
インバウンド 任意 仮想ネットワーク 任意 仮想ネットワーク 任意 既定
インバウンド TCP AzureDatabricks (サービス タグ)
SCC が無効の場合のみ		 任意 仮想ネットワーク 22 パブリック IP
インバウンド TCP AzureDatabricks (サービス タグ)
SCC が無効の場合のみ		 任意 仮想ネットワーク 5557 パブリック IP
アウトバウンド TCP 仮想ネットワーク 任意 AzureDatabricks (サービス タグ) 443、3306、8443-8451 既定
アウトバウンド TCP 仮想ネットワーク 任意 Storage 443 既定
アウトバウンド 任意 仮想ネットワーク 任意 仮想ネットワーク 任意 既定
アウトバウンド TCP 仮想ネットワーク 任意 イベントハブ 9093 既定
アウトバウンド TCP 仮想ネットワーク 任意 SQL 3306 既定

アウトバウンド規則を制限する場合、Databricks では、特定のライブラリのインストールを有効にするためにポート 111 と 2049 を開くようお勧めします。

現在のネットワーク プロビジョニング テンプレートで作成されたワークスペースには、ポート 3306 の Sql サービス タグ規則が必要です。 Azure Databricksは、新しく作成されたワークスペースのこの要件を削除中です。

重要

Azure Databricksは、グローバル Azure パブリック クラウド インフラストラクチャにデプロイされるMicrosoft Azureファースト パーティ サービスです。 コントロール プレーン内のパブリック IP と顧客のコンピューティング プレーン間を含め、サービスのコンポーネント間のすべての通信は、Microsoft Azure ネットワーク バックボーン内に残ります。 Microsoftグローバル ネットワークも参照してください。

VNet 容量の拡張

ワークスペースの VNet にアクティブなクラスター ノードの十分な容量がない場合は、次の 2 つのオプションがあります。

  • VNet 構成の更新: この機能はパブリック プレビュー段階です。 ワークスペースのネットワーク構成を更新するを参照してください。
  • 現在の CIDR 範囲を拡張する: Azure Databricks アカウント チームに問い合わせて、ワークスペース サブネットの CIDR 範囲の引き上げを要求してください。
  • Last updated on