安全的集群连接

启用安全集群连接后，客户vpc在数据平面没有开放端口，且Databricks Runtime集群节点没有公共IP地址。

Databricks在谷歌云上的安全集群连接由两个特性实现:

• 默认情况下，集群节点上没有公共IP地址:有一个工作空间级别设置，它定义了要在谷歌Cloud帐户中为工作空间创建的GKE集群类型。默认值为私人GKE集群，即集群节点没有公网IP地址。

• 安全集群连接中继:创建集群时，新集群会主动连接到控制平面安全集群连接中继。中继使用与web应用程序和REST API的主入口不同的IP地址上的端口443 (HTTPS)。当控制平面运行notebook或启动新的Databricks Runtime作业时，请求通过该隧道发送到集群。使用此中继，从Databricks控制平面向Databricks Runtime集群发送命令所需的公共IP地址减少了一个。

即使使用默认配置(私有GKE集群)并且在您的区域中启用了安全集群连接中继，您的帐户中仍有一个用于GKE集群控制的公共IP地址，也称为GKEkube-master，帮助启动和管理Databricks Runtime集群。的kube-master是谷歌云默认GKE部署的一部分。IP地址在您的谷歌云帐户内，不在数据平面VPC内。该IP地址由GKE管理，它有一个允许流量的防火墙规则只有从数据库控制平面。