1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

西日本リージョンのAzure Databricksでストレージファイアウォールを設定してサーバレスSQLを使う

Posted at

こちらの続編です。

前回の手順で接続自体はできましたが、西日本のストレージアカウントでストレージファイアウォールを設定すると(当たり前ですが)データにアクセスできなくなってしまいました。

弊社のAzureスーパーエキスパートの方の記事に助けられました。

こちらのNCCの設定の流れ:プライベートリンクで解決できました。

マニュアルはこちら。

サーバーレス コンピューティングのプライベート接続の概要

NCC 内にプライベート エンドポイントを追加すると、Azure Databricks によって Azure リソースへのプライベート エンドポイント要求が作成されます。 リソース側で要求が受け入れられると、プライベート エンドポイントは、サーバーレス コンピューティング プレーンからリソースにアクセスするために使用されます。 プライベート エンドポイントはユーザーの Azure Databricks アカウント専用であり、認可されたワークスペースからのみアクセスできます。

Delta Sharingによるテーブルの共有

以前の記事の手順に従って、西日本のテーブルを東日本に共有してください。

NCCの追加

アカウントコンソールにログインし、東日本のAzure DatabricksワークスペースにNCCを追加します。

Screenshot 2024-10-16 at 10.33.28.png

NCCの設定を進める前に、Azure Portalに移動します。

ストレージアカウントのリソースIDの取得

Azureリソース(ここではストレージアカウント)へのプライベートエンドポイント要求を作成するには、要求先のストレージアカウントのリソースIDが必要となります。

こちらにあるように、西日本で使用しているストレージアカウントにアクセスし、Essential(日本語だと要点)JSON ビューをクリックします。リソースIDをコピーしておきます。また、使用しているストレージがBlog StorageなのかADLSなのかも確認しておきます。

Screenshot 2024-10-16 at 10.39.19.png

再度、Databricksアカウントコンソールに移動します。

プライベートエンドポイントルールの追加

NCCにアクセスし、プライベートエンドポイントルールタブを開き、プライベートエンドポイントルールを追加をクリックします。

上でコピーしたストレージアカウントのリソースIDを適用先AzureリソースのIDに貼り付け、使用しているストレージに応じてサブリソース名を入力します。以下の例では、ADLSのdfsを指定しています。

Screenshot 2024-10-16 at 10.49.41.png

追加をクリックすることで、ストレージアカウントへのプライベートエンドポイント要求が作成されます。この時点ではステータスはPENDINGです。承認するために再度Azure Portalに移動します。

Screenshot 2024-10-16 at 10.50.12.png

プライベートエンドポイント要求の承認

Azure PortalのPrivate Linkセンター、あるいは、要求先のストレージアカウントの画面で承認を行うことができます。

Private Linkセンター
Screenshot 2024-10-16 at 10.52.54.png
Screenshot 2024-10-16 at 10.53.13.png

ストレージアカウント
Screenshot 2024-10-16 at 11.02.12.png
Screenshot 2024-10-16 at 10.55.20.png

承認されると、Azure Databricksアカウントコンソールでの表示がESTABLISHEDになります。

Screenshot 2024-10-16 at 11.21.55.png

パブリックネットワークアクセスを禁止するようにストレージアカウントを設定する

このままではパブリックアクセスは許可された状態なので、適切にネットワークの設定を行います。

無効に設定した場合、サーバレスSQLウェアハウスからプライベートエンドポイント経由でストレージにはアクセスできますが、それ以外のクラスターや非サーバレスのウェアハウスからはアクセスできなくなっています。

こちらでも説明されているように、要件に応じてファイアウォールの設定を変更ください。

Screenshot 2024-10-16 at 11.43.45.png

対象のストレージアカウントのファイアウォールについて、「すべてのネットワークから有効」から「選択した仮想ネットワークとIPアドレスから有効」に変更する場合、上記画面の「仮想ネットワーク」のセクションにAzure Databricksワークスペースの2つのサブネット(通称 public-subnet と private-subnet)のIDを追加してサービスエンドポイントを有効化してください。

上記を行わないと、非サーバーレスのクラスターやSQLウェアハウスから対象のストレージアカウントにアクセスできなくなります。

なお、サービスエンドポイントが利用できるのはVNetインジェクションされたAzure Databricksワークスペースである点に留意ください。

動作確認

設定が反映されるまで5分ほど待ち、東日本のサーバレスSQLウェアハウスを再起動して西日本のテーブルにアクセスします。

Screenshot 2024-10-16 at 11.24.47.png

はじめてのDatabricks

はじめてのDatabricks

Databricks無料トライアル

Databricks無料トライアル

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?