こちらのリリースです。
サーバレスエグレスコントロールによるサーバレスの外向きネットワーク接続の管理
サーバレスエグレスコントロールによって、指定されたインターネットの接続先に対する外向きアクセスを制限することができます。サーバレス エグレス コントロールとはをご覧ください。
この機能は、こちらの別のリリースとも関係しています。
ネットワークアクセスイベントシステムテーブルが利用可能に(パブリックプレビュー)
Databricksシステムテーブルにネットワークアクセステーブルが追加されました。このテーブルは、あなたのアカウントでインターネットへのアクセスが拒否された際のイベントを記録します。このテーブルにアクセスするには、管理者が
accessシステムスキーマへのアクセスを有効化する必要があります。ネットワークアクセスイベント システムテーブル リファレンスをご覧ください。
つまり、エグレスコントロールによってアクセスが拒否された際に、そのイベントがネットワークアクセスイベントシステムテーブルに記録されることになります。これによって、コントロールが適切に動作しているかどうかを確認、監視できるようになります。
カタログにアクセスすると、system.access.outbound_networkが表示されます。アクセスできない場合には、有効化されているか、適切な権限があるかを確認してください。
ネットワークポリシーによるサーバレスコンピュートのインターネット接続の制御
ここでは、ノートブック用のサーバレスで確認します。この時点ではインターネットにアクセスできます。
それでは、ネットワークポリシーでエグレス接続を制御してみます。アカウントコンソールにログインし、クラウドリソース > ネットワークにアクセスし、ネットワークポリシーを確認します。フルアクセスになっています。
これを、特定の宛先へのアクセス制限に変更します。例外のアクセス先や、対象製品を限定することができますが、ここではデフォルトのままにしておきます。デフォルトでは、サーバレスSQLウェアハウスとモデルサービングは拒否イベントのログは記録しますが、アクセスは許可します。それ以外の製品ではすべてのインターネットをアクセスを拒否します。
設定が反映されるまで数分待ってから、再度ノートブックを実行すると今度はアクセスが拒否されます。このようにして、サーバレスコンピュートからのインターネットアクセスをコントロールすることができます。
注意
この機能はサーバレス用です。従来のクラシッククラスターからのアクセスコントロールには、PrivateLink構成を使用してください。
ネットワークアクセスイベント システムテーブルによるイベントの監視
そして、このようにしてポリシーを適用している場合、適切にアクセスがガード(拒否)されているのか、アクセス可能にすべきサイトへのアクセスをブロックしていないかを確認することが重要となります。そこで、ネットワークアクセスイベント システムテーブルの出番です。
テーブルにsystem.access.outbound_networkでは、アクセス拒否されたイベントを確認できます。
以下のようなクエリーで集計することも可能です。
SELECT
destination_type, destination,
COUNT(*) AS destination_count
FROM
system.access.outbound_network
GROUP BY
ALL;
ご活用ください!