Перейти к основному содержимому
Перейти к основному содержимому

Подключение к ClickHouse

На этой странице описаны различные варианты подключения к вашим сервисам ClickHouse в BYOC. В зависимости от требований к безопасности и сети вы можете выбрать публичные балансировщики нагрузки, частные балансировщики нагрузки или конечные точки PrivateLink/Private Service Connect.

Публичный балансировщик нагрузки

Публичный балансировщик нагрузки предоставляет доступ к вашим сервисам ClickHouse из Интернета. Такая конфигурация используется по умолчанию при использовании выделенного VPC под управлением ClickHouse.

Обзор

  • Доступ: Доступен из общедоступного Интернета
  • Сценарий использования: Подходит для приложений и пользователей, которым нужно подключаться из разных локаций или сетей
  • Безопасность: Защищён шифрованием TLS и фильтрацией по IP-адресам (рекомендуется)

Подключение через публичный балансировщик нагрузки

Чтобы подключиться к вашему сервису ClickHouse через публичную конечную точку:

  1. Получите конечную точку сервиса в консоли ClickHouse Cloud. Конечная точка отображается в разделе «Connect» вашего сервиса.
Подключение BYOC

Например:

sb9jmrq2ne.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com

Фильтрация по IP

Фильтрация по IP (IP Access List) настоятельно рекомендуется при использовании публичного балансировщика нагрузки для ограничения доступа, разрешая его только с авторизованных IP-адресов или диапазонов CIDR.

Подробную информацию о фильтрации по IP см. в документации по IP Access List.

Частный балансировщик нагрузки

Частный балансировщик нагрузки обеспечивает внутренний доступ к вашим сервисам ClickHouse, причём он доступен только из подключённых сетей (например, пиринговых VPC). Такая конфигурация используется по умолчанию при использовании VPC, управляемой клиентом.

Обзор

  • Доступ: Доступен только из вашей частной сетевой инфраструктуры
  • Сценарий использования: Идеален для приложений, работающих в той же облачной среде или подключённых через VPC peering
  • Безопасность: Трафик остаётся внутри вашей частной сети, без выхода в общедоступный интернет

Подключение через приватный балансировщик нагрузки

Чтобы подключиться через приватный endpoint:

  1. Включите приватный балансировщик нагрузки (если он еще не включен). Свяжитесь со службой поддержки ClickHouse, если вам нужно включить приватный балансировщик нагрузки для вашего Развертывания.
  2. Убедитесь в наличии сетевой подключаемости:
    • Для VPC peering: завершите настройку VPC peering (см. Private Networking Setup)
    • Для других приватных сетей: убедитесь, что маршрутизация настроена для доступа к BYOC VPC
  3. Получите ваш приватный endpoint: Приватный endpoint доступен в консоли ClickHouse Cloud в разделе «Connect» вашего сервиса. Приватный endpoint имеет тот же формат, что и публичный endpoint, но с суффиксом -private, добавленным к части идентификатора сервиса. Например:
    • Публичный endpoint: sb9jmrq2ne.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com
    • Приватный endpoint: sb9jmrq2ne-private.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com

Фильтрация по IP

Хотя частные балансировщики нагрузки ограничивают доступ только внутренними сетями, вы по‑прежнему можете настроить фильтрацию по IP для еще более точного контроля над тем, каким источникам внутри вашей частной сети разрешено подключаться. Фильтрация по IP для частных балансировщиков нагрузки использует тот же механизм конфигурации, что и для публичных балансировщиков нагрузки: задайте разрешенные IP-адреса или диапазоны CIDR, и ClickHouse Cloud будет корректно применять эти правила к каждому типу конечных точек. Платформа автоматически различает публичные и частные диапазоны CIDR и назначает их соответствующим конечным точкам балансировщика нагрузки. См. документацию по спискам IP-доступа.

Настройка группы безопасности

Для развертываний на AWS группа безопасности частного балансировщика нагрузки определяет, какие сети могут получать доступ к конечной точке. По умолчанию разрешен только трафик из BYOC VPC.

Подробнее см. раздел Настройка группы безопасности частного балансировщика нагрузки.

AWS PrivateLink и GCP Private Service Connect предоставляют наиболее безопасный вариант подключения, позволяя получать приватный доступ к сервисам ClickHouse без использования пиринговых подключений VPC или интернет-шлюзов.

  • Доступ: Частное сетевое подключение через управляемый сервис облачного провайдера
  • Сетевая изоляция: Трафик никогда не проходит через публичный интернет
  • Сценарий использования: Корпоративные развертывания, требующие максимальной безопасности и сетевой изоляции
  • Преимущества:
    • Не требуется VPC-пиринг
    • Упрощенная сетевая архитектура
    • Повышенная безопасность и соответствие нормативным требованиям

Завершите настройку PrivateLink или Private Service Connect (см. Private Networking Setup). После завершения настройки вы можете подключаться к своему сервису ClickHouse, используя формат endpoint, специфичный для PrivateLink. Endpoint PrivateLink включает поддомен vpce, указывающий, что трафик маршрутизируется через VPC endpoint. Разрешение DNS в вашей VPC автоматически направляет трафик через endpoint PrivateLink.

Формат endpoint PrivateLink похож на публичный endpoint, но включает поддомен vpce между поддоменом сервиса и поддоменом инфраструктуры BYOC. Например:

  • Публичный endpoint: h5ju65kv87.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com
  • Endpoint PrivateLink: h5ju65kv87.vpce.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com

Список разрешённых идентификаторов Endpoint ID

Чтобы использовать PrivateLink или Private Service Connect, Endpoint ID вашего клиентского подключения должен быть явно разрешён для каждого сервиса ClickHouse. Свяжитесь со службой поддержки ClickHouse и предоставьте свои Endpoint ID, чтобы их можно было добавить в список разрешённых идентификаторов для сервиса.

Подробные инструкции по настройке см. в руководстве по настройке частной сети.

Выбор оптимального метода подключения

Метод подключенияУровень безопасностиСетевые требованияСценарий использования
Public Load BalancerСредний (с фильтрацией по IP)Доступ в интернетПриложения/пользователи из различных местоположений
Private Load BalancerВысокийVPC-пиринг или частная сетьПриложения в той же облачной среде
PrivateLink/Private Service ConnectМаксимальныйУправляемый сервис облачного провайдераКорпоративные развертывания, требующие максимальной изоляции

Устранение неполадок с подключением

Если у вас возникают проблемы с подключением:

  1. Проверьте доступность endpoint: Убедитесь, что вы используете корректный endpoint (публичный или приватный)
  2. Проверьте IP-фильтры: Для публичных балансировщиков нагрузки убедитесь, что ваш IP-адрес включён в allowlist
  3. Проверьте сетевую связность: Для приватных подключений убедитесь, что VPC peering или PrivateLink корректно настроены
  4. Проверьте security groups: Для приватных балансировщиков нагрузки убедитесь, что правила security groups разрешают трафик из вашей исходной сети
  5. Проверьте security groups: Для PrivateLink или Private Service Connect убедитесь, что идентификатор endpoint добавлен в allowlist сервиса ClickHouse
  6. Проверьте аутентификацию: Убедитесь, что вы используете корректные учётные данные (имя пользователя и пароль)
  7. Обратитесь в поддержку: Если проблемы не устраняются, свяжитесь со службой поддержки ClickHouse