BYOC GCP プライベートネットワークのセットアップ
GCP 上の ClickHouse BYOC では、VPC ピアリングと Private Service Connect の 2 つのプライベート接続オプションをサポートしています。トラフィックは GCP ネットワーク内のみを流れ、パブリックインターネットを経由しません。
前提条件
VPC ピアリングと Private Service Connect の両方で必要となる共通の手順です。
ClickHouse BYOC でプライベートロードバランサーを有効にするには
プライベートロードバランサーを有効にするには、ClickHouse Support にお問い合わせください。
VPC ピアリングをセットアップする
まず、GCP VPC ピアリング機能を確認し、VPC ピアリングの制限事項 (たとえば、ピアリングされた VPC ネットワーク間でサブネットの IP 範囲を重複させることはできません) を把握してください。ClickHouse BYOC では、ピアリング経由で ClickHouse サービスへのネットワーク接続を可能にするために、プライベートロードバランサーを使用します。
ClickHouse BYOC の VPC ピアリングを作成または削除するには、以下の手順に従ってください。
以下の手順はシンプルなシナリオを前提とした例です。オンプレミス接続とのピアリングなど、より高度なシナリオでは調整が必要になる場合があります。
ピアリング接続を作成する
この例では、BYOC VPC ネットワークと別の既存の VPC ネットワークの間でピアリングをセットアップします。
- ClickHouse BYOC の Google Cloud プロジェクトで「VPC Network」に移動します。
- 「VPC network peering」を選択します。
- 「Create connection」をクリックします。
- 要件に応じて必要な項目を入力します。以下は、同じ GCP プロジェクト内でピアリングを作成する場合のスクリーンショットです。
GCP VPC ピアリングを機能させるには、2 つのネットワーク間に 2 つの接続が必要です (つまり、BYOC ネットワークから既存の VPC ネットワークへの接続と、既存の VPC ネットワークから BYOC ネットワークへの接続です) 。そのため、同様に逆方向の接続をもう 1 つ作成する必要があります。以下は、2 つ目のピアリング接続を作成する際のスクリーンショットです。
両方の接続を作成したら、Google Cloud Console の Web ページを更新すると、2 つの接続のステータスは「Active」になります。
これで、ClickHouse サービスにピアリングされた VPC からアクセスできるようになります。
ピアリング接続経由で ClickHouse サービスにアクセスする
ClickHouse にプライベートにアクセスするために、ユーザーのピアリング済み VPC から安全に接続できるよう、プライベートロードバランサーとエンドポイントがプロビジョニングされます。プライベートエンドポイントは、パブリックエンドポイントの形式に -private サフィックスを付けたものです。例:
- パブリックエンドポイント:
h5ju65kv87.mhp0y4dmph.us-east1.gcp.byoc.clickhouse.cloud - プライベートエンドポイント:
h5ju65kv87-private.mhp0y4dmph.us-east1.gcp.byoc.clickhouse.cloud
PSC (Private Service Connect) をセットアップする
GCP PSC (Private Service Connect) を使用すると、VPC ピアリングやインターネットゲートウェイを必要とせずに、ClickHouse BYOC サービスへ安全なプライベート接続を確立できます。
PSC サービスのセットアップを依頼する
BYOC デプロイメント向けの PSC サービスのセットアップを依頼するには、ClickHouse Support に連絡してください。この段階では特別な情報は必要ありません。PSC 接続をセットアップしたい旨を伝えるだけで十分です。
ClickHouse Support が、プライベートロードバランサー や PSC Service など,必要なインフラストラクチャコンポーネントを有効化します。
GCP PSC サービス名と DNS 名を取得する
ClickHouse Support から PSC Service 名が提供されます。また、ClickHouse Cloud コンソールの "Organization" -> "Infrastructure" でインフラ名をクリックし、詳細画面から確認することもできます。
PSC サービス名は、GCP Private Service Connect コンソールの "Published services" でも確認できます (サービス名で絞り込むか、ClickHouse のサービスを探してください) 。
ネットワーク内に PSC エンドポイントを作成する
ClickHouse Support 側で PSC サービスが有効化されたら、ClickHouse PSC サービスに接続するため、クライアントアプリケーションのネットワーク内に PSC エンドポイントを作成する必要があります。
- PSC エンドポイントを作成する:
- GCP Console -> Network Services → Private Service Connect → Connect Endpoint に移動します
- "Target" で "Published service" を選択し、前の手順で取得した PSC サービス名を "Target details" に入力します
- 有効なエンドポイント名を入力します
- ネットワークを選択し、サブネットを選択します (これはクライアントアプリケーションの接続元となるネットワークです)
- エンドポイント用の IP アドレスを選択するか、新しく作成します。この IP アドレスは手順 エンドポイントのプライベート DNS 名を設定する で使用します
- "Add Endpoint" をクリックし、エンドポイントが作成されるまでしばらく待ちます
- エンドポイントのステータスは "Accepted" になるはずです。自動的に承認されない場合は ClickHouse Support に連絡してください
- PSC Connection ID を取得する:
- エンドポイントの詳細を開き、手順 エンドポイントの PSC Connection ID をサービスの許可リストに追加する で使用する "PSC Connection ID" を取得します
エンドポイントのプライベート DNS 名を設定する
DNS の設定方法はいくつかあります。ご利用のユースケースに応じて DNS をセットアップしてください。
GCP PSC サービス名と DNS 名を取得する 手順で取得した "DNS name" のすべてのサブドメイン (ワイルドカード) が GCP PSC エンドポイントの IP アドレスを指すように設定する必要があります。これにより、VPC/Network 内のサービスやコンポーネントが正しく名前解決できるようになります。
エンドポイントの PSC Connection ID をサービスの許可リストに追加する
PSC エンドポイントが作成され、ステータスが "Accepted" になったら、PSC 経由でアクセスしたい各 ClickHouse サービスについて、エンドポイントの PSC Connection ID を許可リストに追加する必要があります。
ClickHouse Support に連絡してください:
- エンドポイントの PSC Connection ID を ClickHouse Support に共有します
- このエンドポイントからのアクセスを許可する ClickHouse サービスを指定します
- ClickHouse Support がエンドポイントの PSC Connection ID をサービスの許可リストに追加します
PSC 経由で ClickHouse に接続する
エンドポイントの Connection ID が許可リストに追加されると、PSC エンドポイントを使用して ClickHouse サービスに接続できます。
PSC エンドポイントの形式はパブリックエンドポイントに似ていますが、p サブドメインが含まれます。例:
- パブリックエンドポイント:
h5ju65kv87.mhp0y4dmph.us-east1.gcp.clickhouse-byoc.com - PSC エンドポイント:
h5ju65kv87.p.mhp0y4dmph.us-east1.gcp.clickhouse-byoc.com
