Подключение к ClickHouse

На этой странице описаны различные варианты подключения к вашим сервисам ClickHouse в BYOC. В зависимости от требований к безопасности и сети вы можете выбрать публичные балансировщики нагрузки, частные балансировщики нагрузки или конечные точки PrivateLink/Private Service Connect.

Публичный балансировщик нагрузки предоставляет доступ к вашим сервисам ClickHouse из Интернета. Такая конфигурация используется по умолчанию при использовании выделенного VPC под управлением ClickHouse.

Доступ : Доступен из общедоступного Интернета

: Доступен из общедоступного Интернета Сценарий использования : Подходит для приложений и пользователей, которым нужно подключаться из разных локаций или сетей

: Подходит для приложений и пользователей, которым нужно подключаться из разных локаций или сетей Безопасность: Защищён шифрованием TLS и фильтрацией по IP-адресам (рекомендуется)

Чтобы подключиться к вашему сервису ClickHouse через публичную конечную точку:

Получите конечную точку сервиса в консоли ClickHouse Cloud. Конечная точка отображается в разделе «Connect» вашего сервиса.

Например:

sb9jmrq2ne.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com

Фильтрация по IP (IP Access List) настоятельно рекомендуется при использовании публичного балансировщика нагрузки для ограничения доступа, разрешая его только с авторизованных IP-адресов или диапазонов CIDR.

Подробную информацию о фильтрации по IP см. в документации по IP Access List.

Частный балансировщик нагрузки обеспечивает внутренний доступ к вашим сервисам ClickHouse, причём он доступен только из подключённых сетей (например, пиринговых VPC). Такая конфигурация используется по умолчанию при использовании VPC, управляемой клиентом.

Доступ : Доступен только из вашей частной сетевой инфраструктуры

: Доступен только из вашей частной сетевой инфраструктуры Сценарий использования : Идеален для приложений, работающих в той же облачной среде или подключённых через VPC peering

: Идеален для приложений, работающих в той же облачной среде или подключённых через VPC peering Безопасность: Трафик остаётся внутри вашей частной сети, без выхода в общедоступный интернет

Чтобы подключиться через приватный endpoint:

Включите приватный балансировщик нагрузки (если он еще не включен). Свяжитесь со службой поддержки ClickHouse, если вам нужно включить приватный балансировщик нагрузки для вашего Развертывания. Убедитесь в наличии сетевой подключаемости: Для VPC peering: завершите настройку VPC peering (см. Private Networking Setup)

Для других приватных сетей: убедитесь, что маршрутизация настроена для доступа к BYOC VPC Получите ваш приватный endpoint: Приватный endpoint доступен в консоли ClickHouse Cloud в разделе «Connect» вашего сервиса. Приватный endpoint имеет тот же формат, что и публичный endpoint, но с суффиксом -private , добавленным к части идентификатора сервиса. Например: Публичный endpoint : sb9jmrq2ne.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com

: Приватный endpoint: sb9jmrq2ne-private.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com

Хотя частные балансировщики нагрузки ограничивают доступ только внутренними сетями, вы по‑прежнему можете настроить фильтрацию по IP для еще более точного контроля над тем, каким источникам внутри вашей частной сети разрешено подключаться. Фильтрация по IP для частных балансировщиков нагрузки использует тот же механизм конфигурации, что и для публичных балансировщиков нагрузки: задайте разрешенные IP-адреса или диапазоны CIDR, и ClickHouse Cloud будет корректно применять эти правила к каждому типу конечных точек. Платформа автоматически различает публичные и частные диапазоны CIDR и назначает их соответствующим конечным точкам балансировщика нагрузки. См. документацию по спискам IP-доступа.

Для развертываний на AWS группа безопасности частного балансировщика нагрузки определяет, какие сети могут получать доступ к конечной точке. По умолчанию разрешен только трафик из BYOC VPC.

Подробнее см. раздел Настройка группы безопасности частного балансировщика нагрузки.

AWS PrivateLink и GCP Private Service Connect предоставляют наиболее безопасный вариант подключения, позволяя получать приватный доступ к сервисам ClickHouse без использования пиринговых подключений VPC или интернет-шлюзов.

Доступ : Частное сетевое подключение через управляемый сервис облачного провайдера

: Частное сетевое подключение через управляемый сервис облачного провайдера Сетевая изоляция : Трафик никогда не проходит через публичный интернет

: Трафик никогда не проходит через публичный интернет Сценарий использования : Корпоративные развертывания, требующие максимальной безопасности и сетевой изоляции

: Корпоративные развертывания, требующие максимальной безопасности и сетевой изоляции Преимущества : Не требуется VPC-пиринг Упрощенная сетевая архитектура Повышенная безопасность и соответствие нормативным требованиям

:

Завершите настройку PrivateLink или Private Service Connect (см. Private Networking Setup). После завершения настройки вы можете подключаться к своему сервису ClickHouse, используя формат endpoint, специфичный для PrivateLink. Endpoint PrivateLink включает поддомен vpce , указывающий, что трафик маршрутизируется через VPC endpoint. Разрешение DNS в вашей VPC автоматически направляет трафик через endpoint PrivateLink.

Формат endpoint PrivateLink похож на публичный endpoint, но включает поддомен vpce между поддоменом сервиса и поддоменом инфраструктуры BYOC. Например:

Публичный endpoint : h5ju65kv87.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com

: Endpoint PrivateLink: h5ju65kv87.vpce.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com

Чтобы использовать PrivateLink или Private Service Connect, Endpoint ID вашего клиентского подключения должен быть явно разрешён для каждого сервиса ClickHouse. Свяжитесь со службой поддержки ClickHouse и предоставьте свои Endpoint ID, чтобы их можно было добавить в список разрешённых идентификаторов для сервиса.

Подробные инструкции по настройке см. в руководстве по настройке частной сети.

Метод подключения Уровень безопасности Сетевые требования Сценарий использования Public Load Balancer Средний (с фильтрацией по IP) Доступ в интернет Приложения/пользователи из различных местоположений Private Load Balancer Высокий VPC-пиринг или частная сеть Приложения в той же облачной среде PrivateLink/Private Service Connect Максимальный Управляемый сервис облачного провайдера Корпоративные развертывания, требующие максимальной изоляции

Если у вас возникают проблемы с подключением: