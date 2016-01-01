连接 ClickHouse

本页介绍在 BYOC 环境中连接 ClickHouse 服务的多种方式。可以根据安全性和网络需求，在公网负载均衡器、私有负载均衡器或 PrivateLink/Private Service Connect 终端节点之间进行选择。

公共负载均衡器为您的 ClickHouse 服务提供公网访问入口。在使用由 ClickHouse 管理的专用 VPC 时，这是默认配置。

访问 ：可从公网访问

：可从公网访问 使用场景 ：适用于需要从不同位置或网络进行连接的应用和用户

：适用于需要从不同位置或网络进行连接的应用和用户 安全性：通过 TLS 加密和基于 IP 的过滤进行防护（推荐）

要使用公共端点连接到您的 ClickHouse 服务：

从 ClickHouse Cloud 控制台中获取您的服务端点。该端点显示在服务的 "Connect" 部分。

例如：

sb9jmrq2ne.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com

在使用公共负载均衡器时，强烈建议启用 IP 过滤（IP Access List），以将访问限制在已授权的 IP 地址或 CIDR 范围内。

有关 IP 过滤的详细信息，请参阅 IP 访问列表文档。

私有负载均衡器为您的 ClickHouse 服务提供内网访问，仅能从已连接网络（例如对等 VPC）内部访问。在使用客户自管的 VPC 时，这是默认配置。

访问 ：仅能从私有网络基础设施内部访问

：仅能从私有网络基础设施内部访问 使用场景 ：适用于运行在同一云环境中或通过 VPC 对等连接的应用程序

：适用于运行在同一云环境中或通过 VPC 对等连接的应用程序 安全性：流量始终留在私有网络内部，不暴露于公共互联网

要使用私有端点进行连接：

启用私有负载均衡器（如果尚未启用）。如果需要为你的部署启用私有负载均衡器，请联系 ClickHouse 支持团队。 确保网络连通性： 对于 VPC 对等连接：完成 VPC 对等连接设置（参见 Private Networking Setup）

对于其他私有网络：确保已配置路由以访问 BYOC VPC 获取你的私有端点：

私有端点可以在 ClickHouse Cloud 控制台中你的服务的 “Connect” 部分找到。私有端点与公共端点的格式相同，但在服务 ID 部分添加 -private 后缀。例如： 公共端点 ： sb9jmrq2ne.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com

： 私有端点： sb9jmrq2ne-private.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com

尽管私有负载均衡器只允许来自内部网络的访问，您仍然可以配置 IP 过滤，以更精细地控制私有网络中哪些源可以连接。私有负载均衡器的 IP 过滤使用与公共负载均衡器相同的配置机制：定义允许的 IP 地址或 CIDR 范围，ClickHouse Cloud 会将这些规则正确应用到每种端点类型。平台会自动区分公共和私有 CIDR 范围，并将它们分配给相应的负载均衡端点。请参阅 IP 访问列表文档。

对于 AWS 上的部署，私有负载均衡器的安全组用于控制哪些网络可以访问该端点。默认情况下，只允许来自 BYOC VPC 内部的流量。

有关详细信息，请参阅 Private Load Balancer Security Group 配置。

AWS PrivateLink 和 GCP Private Service Connect 提供了最安全的连接选项，使您无需使用 VPC 对等连接或 Internet 网关，即可通过私有网络访问 ClickHouse 服务。

访问 ：通过云服务商提供的托管服务实现私有连接

：通过云服务商提供的托管服务实现私有连接 网络隔离 ：流量不会经过公共互联网

：流量不会经过公共互联网 使用场景 ：需要最高级别安全性和网络隔离的企业级部署

：需要最高级别安全性和网络隔离的企业级部署 优势 ： 无需 VPC 对等连接 网络架构更加简化 提升安全性和合规能力

：

完成 PrivateLink 或 Private Service Connect 的设置（参见 Private Networking Setup）。配置完成后，您可以使用特定于 PrivateLink 的 endpoint 格式连接到 ClickHouse 服务。PrivateLink endpoint 包含一个 vpce 子域名，用于表明其通过 VPC endpoint 进行路由。您在 VPC 中的 DNS 解析会自动将流量路由到该 PrivateLink endpoint。

PrivateLink endpoint 的格式与公共 endpoint 类似，但在服务子域和 BYOC 基础设施子域之间增加了一个 vpce 子域名。例如：

公共 endpoint ： h5ju65kv87.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com

： PrivateLink endpoint： h5ju65kv87.vpce.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com

要使用 PrivateLink 或 Private Service Connect，必须在每个 ClickHouse 服务中显式允许客户端连接的 Endpoint ID。请联系 ClickHouse Support，并提供您的 Endpoint ID，以便将其添加到服务允许列表中。

有关详细的设置步骤，请参阅 私有网络设置指南。

连接方式 安全等级 网络要求 使用场景 公共负载均衡器（Public Load Balancer） 中（配合 IP 过滤） 需要公网访问 来自不同位置的应用或用户 私有负载均衡器（Private Load Balancer） 高 VPC 对等连接或私有网络 位于同一云环境中的应用 PrivateLink/Private Service Connect 最高 云服务商托管服务 需要最高隔离级别的企业级部署

