メインコンテンツまでスキップ
メインコンテンツまでスキップ

AWS PrivateLink for ClickPipes

AWS PrivateLinkを使用して、VPC、AWSサービス、オンプレミスシステム、およびClickHouse Cloud間の安全な接続を確立し、トラフィックをパブリックインターネットにさらさないことができます。

このドキュメントでは、AWS PrivateLink VPCエンドポイントを設定するためのClickPipesのリバースプライベートエンドポイント機能について説明します。

ClickPipesのリバースプライベートエンドポイントは、以下のAWS PrivateLinkアプローチのいずれかで構成できます。

それぞれのAWS PrivateLink共有の設定方法については、上記のリンクを参照してください。

VPCリソース

あなたのVPCリソースは、PrivateLinkを使用してClickPipesにアクセスできます。 リソース構成は、特定のホストまたはRDSクラスターARNにターゲットを設定できます。 クロスリージョンはサポートされていません。

これは、RDSクラスターからデータを取り込むPostgres CDCに推奨される選択肢です。

詳しい情報については、はじめにガイドを参照してください。

参考

VPCリソースはClickPipesアカウントと共有する必要があります。リソース共有設定に 072088201116 を許可された主体として追加してください。 詳細については、リソースを共有するためのAWSガイドを参照してください。 リソースの共有

MSKマルチVPC接続

MSKマルチVPCは、AWS MSKのビルトイン機能で、複数のVPCを単一のMSKクラスターに接続できます。 プライベートDNSサポートは標準で提供されており、追加の構成は必要ありません。 クロスリージョンはサポートされていません。

ClickPipesにとっては、MSK向けの推奨オプションです。 詳しい情報については、はじめにガイドを参照してください。

参考

MSKクラスターのポリシーを更新し、MSKクラスターに許可された主体として 072088201116 を追加してください。 詳細については、クラスター ポリシーをアタッチするためのAWSガイドを参照してください。クラスター ポリシーのアタッチ

ClickPipes用のMSKセットアップガイドを参照して、接続の設定方法を学んでください。

VPCエンドポイントサービス

VPCサービスは、ClickPipesとデータソースを共有するための別のアプローチです。 データソースの前にNLB(Network Load Balancer)を設定し、NLBを使用するようにVPCエンドポイントサービスを構成する必要があります。

VPCエンドポイントサービスは、プライベートDNSで構成でき、ClickPipes VPCでアクセス可能です。

これは以下の用途に推奨されます:

  • プライベートDNSサポートが必要なオンプレミスのKafkaセットアップ
  • Postgres CDCのクロスリージョン接続
  • MSKクラスターのクロスリージョン接続。サポートが必要な場合は、ClickHouseサポートチームにお問い合わせください。

詳しい情報については、はじめにガイドを参照してください。

参考

ClickPipesアカウントID 072088201116 をVPCエンドポイントサービスの許可された主体として追加してください。 詳細については、パーミッションを管理するためのAWSガイドを参照してください。パーミッションの管理

参考

ClickPipes用のクロスリージョンアクセス が構成可能です。VPCエンドポイントサービスの許可されたリージョンにあなたのClickPipeリージョンを追加してください。

リバースプライベートエンドポイントを持つClickPipeの作成

  1. ClickHouse Cloud Service用のSQLコンソールにアクセスします。
  1. 左側のメニューで Data Sources ボタンを選択し、「ClickPipeの設定」をクリックします。
  1. データソースとしてKafkaまたはPostgresを選択します。
  1. Reverse private endpoint オプションを選択します。
  1. 既存のリバースプライベートエンドポイントを選択するか、新しいものを作成します。
参考

RDSに対してクロスリージョンアクセスが必要な場合は、VPCエンドポイントサービスを作成する必要があります。 このガイドは、設定の開始点として役立ちます。(/knowledgebase/aws-privatelink-setup-for-clickpipes)

同じリージョンへのアクセスの場合、VPCリソースの作成が推奨されます。

  1. 選択したエンドポイントタイプの必須パラメータを提供します。
  • VPCリソースの場合、構成共有ARNと構成IDを提供します。
  • MSKマルチVPCの場合、クラスターARNと作成されたエンドポイントで使用される認証方法を提供します。
  • VPCエンドポイントサービスの場合、サービス名を提供します。

  1. Createをクリックし、リバースプライベートエンドポイントが準備できるのを待ちます。

    新しいエンドポイントを作成している場合、エンドポイントの設定には時間がかかります。 エンドポイントが準備でき次第、ページは自動的にリフレッシュされます。 VPCエンドポイントサービスでは、AWSコンソールで接続要求を受け入れる必要がある場合があります。

  1. エンドポイントが準備できたら、DNS名を使用してデータソースに接続できます。

    エンドポイントのリストで、利用可能なエンドポイントのDNS名を見ることができます。 それは、ClickPipesのプロビジョニングされた内部DNS名またはPrivateLinkサービスによって提供されたプライベートDNS名のいずれかです。 DNS名は完全なネットワークアドレスではありません。 データソースに応じたポートを追加してください。

    MSK接続文字列は、AWSコンソールでアクセスできます。

    DNS名の完全なリストを見るには、クラウドサービス設定でアクセスしてください。

既存のリバースプライベートエンドポイントの管理

ClickHouse Cloudサービス設定で、既存のリバースプライベートエンドポイントを管理できます。

  1. サイドバーで Settings ボタンを見つけ、クリックします。
  1. ClickPipe reverse private endpoints セクションで Reverse private endpoints をクリックします。

リバースプライベートエンドポイントの詳細情報がフライアウトに表示されます。

ここからエンドポイントを削除できます。これにより、このエンドポイントを使用する全てのClickPipesに影響を与えます。

次のAWSリージョンがAWS PrivateLinkでサポートされています。

  • us-east-1 - us-east-1リージョンで実行されているClickHouseサービス用
  • eu-central-1 - EUリージョンで実行されているClickHouseサービス用
  • us-east-2 - その他のすべての場所で実行されているClickHouseサービス用

この制限は、クロスリージョン接続をサポートするため、PrivateLink VPCエンドポイントサービスタイプには適用されません。

制限事項

ClickHouse Cloudで作成されたClickPipes用のAWS PrivateLinkエンドポイントは、ClickHouse Cloudサービスと同じAWSリージョンで作成されることが保証されていません。

現在、VPCエンドポイントサービスのみがクロスリージョン接続をサポートしています。

プライベートエンドポイントは特定のClickHouseサービスにリンクされており、サービス間で転送することはできません。 単一のClickHouseサービスに対して複数のClickPipesが同じエンドポイントを再利用することができます。