注
サーバーレス ワークスペースは プライベート プレビュー段階です。
このページでは、サーバーレス ワークスペースの作成、管理、セキュリティ保護に関する重要なベスト プラクティスを示します。 これらのガイドラインは、ユース ケース、コスト管理、セキュリティ、プラットフォームの要件に焦点を当てています。
サーバーレス ワークスペースとは
サーバーレス ワークスペースは、サーバーレス コンピューティングのみをサポートする軽量で迅速にデプロイできる環境です。 これらは、アカウント コンソール、API、または Terraform を使用してプロビジョニングできます。 サーバーレス ワークスペースの作成を参照してください。
注
サーバーレス ワークスペースでは、顧客所有のクラウド ストレージ バケットを使用するクラシック コンピューティングが有効になっているワークスペースと比較して、ワークスペースのルート ストレージに常に既定のストレージが使用されます。
サーバーレス ワークスペースの一般的なユース ケース
分析駆動型ワークスペース: 従来のコンピューティング リソースを必要とせずに、AI/BI ダッシュボード、Genie、Databricks Apps、サーバーレス SQL ウェアハウス、またはノートブックを使用するデータ分析または視覚化ワークフローに最適です。
完全なサーバーレス ワークロード: サーバーレス コンピューティングのみに依存する組織では、サーバーレス ワークスペースを既定の環境として使用することで、クラシック コンピューティングのオーバーヘッドを排除できます。
構成可能な環境: サーバーレス ワークスペースは簡単に作成および破棄できるため、内部トレーニング、新しい Azure Databricks 機能のテスト、新しいチームのオンボードなどの有効期間の短いユース ケースに適しています。
クラウドアクセス許可なしでワークスペースをデプロイする: 従来のワークスペースをプロビジョニングするために必要なクラウドアクセス許可がない Databricks アカウント管理者は、サーバーレス ワークスペースをデプロイできます。 管理者は、外部クラウド インフラストラクチャに依存せずにワークスペースを管理できます。
一般的なベスト プラクティス
サーバーレス コンピューティングのベスト プラクティスを確認する: 詳細なガイダンスについては、 サーバーレス コンピューティングのベスト プラクティス を参照してください。
予算の設定: サーバーレス ワークスペース内のコストの可視性を維持するには、予算を設定します。 個々のサーバーレス ワークスペースと特定のタグの予算を定義できます。 「予算の作成と監視」を参照してください。 ワークロード コストをきめ細かく属性付けするには、サーバーレス予算ポリシーを設定します。 サーバーレス予算ポリシーでの属性の使用に関する説明を参照してください。
- サーバーレス コンピューティングの制限事項を確認する: ワークロードをサーバーレス ワークスペースに移行する前に、現在のサーバーレス コンピューティングの制限事項を確認して、ユース ケースとの互換性を確保します。 「サーバーレス コンピューティングの制限事項」を参照してください。
既定のストレージのベスト プラクティス
簡略化されたデータ管理に既定のストレージを使用する: サーバーレス ワークスペースでは、既定のストレージに基づくカタログの作成がサポートされます。既定のストレージを操作する場合、個別のストレージ資格情報や外部の場所は必要ありません。 これは、Azure Databricks 管理者がクラウド インフラストラクチャをプロビジョニングまたは管理できない環境に最適です。
Azure Databricks のお客様間の差分共有に既定のストレージを使用する: 差分共有を使用して Azure Databricks アカウント間でデータを共有する場合は、基になるストレージ レイヤーとして既定のストレージを使用できます。 これにより、カスタム ネットワーク アクセス ポリシーを使用してカスタマー マネージド ストレージを構成する必要がなくなります。
既定のストレージ制限を確認する: データを既定のストレージに移行する前に、現在の制限事項を確認してユース ケースとの互換性を確保してください。 既定のストレージ制限を参照してください。
セキュリティのベスト プラクティス
一般的なセキュリティのベスト プラクティスを確認する: プラットフォーム全体のセキュリティのベスト プラクティスの概要については、 Azure Databricks Security & Trust Center のセキュリティのベスト プラクティスに関するページを参照してください。
ワークスペース アクセスのイングレス制御を実装する: IP アクセス リストを使用して、サーバーレス ワークスペースへのアクセスを特定の IP アドレスに制限します。 IP アクセス リストの管理を参照してください。
ネットワーク ポリシーを使用してエグレス制御を実装する: サーバーレス ワークスペースにより、カスタマー マネージド ネットワークの必要がなくなります。 代わりに、Azure Databricks ネットワーク ポリシーを使用してコンピューティング エグレスを一元的に制御できます。 サーバーレスエグレス制御のネットワーク ポリシーの管理を参照してください。
プライベート ネットワーク内のリソースに接続する方法については、「 VNet 内のリソースへのプライベート接続を構成する」を参照してください。
- サーバーレス ワークスペースのカスタマー マネージド キー (CMK) を構成する: ワークスペースの作成時または作成後に、カスタマー マネージド キーを指定してマネージド サービス データを暗号化できます。 このキーは、マネージド サービスに加えて、既定のストレージでサポートされるワークスペース固有のカタログおよびワークスペース ルート ストレージ内のデータも暗号化します。 サーバーレス ワークスペースには、マネージド サービス キーのみが適用されます。 「管理サービス用にカスタマー マネージド キーを有効にする」を参照してください。