Перейти к основному содержимому
Перейти к основному содержимому

Пользовательская настройка AWS

VPC, управляемая клиентом (BYO-VPC), для AWS

Если вы предпочитаете использовать существующую VPC для развертывания ClickHouse BYOC вместо того, чтобы ClickHouse Cloud развернул новую VPC, выполните следующие действия. Такой подход обеспечивает больший контроль над конфигурацией сети и позволяет интегрировать ClickHouse BYOC в существующую сетевую инфраструктуру.

Настройте существующую VPC

  1. Добавьте к VPC тег clickhouse-byoc="true".
  2. Выделите как минимум 3 приватные подсети в 3 разных зонах доступности, которые будет использовать ClickHouse Cloud.
  3. Убедитесь, что для каждой подсети задан CIDR-блок не менее /23 (например, 10.0.0.0/23), чтобы обеспечить достаточное количество IP-адресов для развертывания ClickHouse.
  4. Добавьте к каждой подсети теги kubernetes.io/role/internal-elb=1 и clickhouse-byoc="true" для корректной настройки балансировщика нагрузки.
Подсеть VPC BYOC
Теги подсети VPC BYOC

Настройте шлюзовую конечную точку S3

Если в вашем VPC еще не настроена шлюзовая конечная точка S3, вам потребуется создать ее, чтобы обеспечить безопасное закрытое соединение между вашим VPC и Amazon S3. Эта конечная точка позволяет сервисам ClickHouse получать доступ к S3, минуя публичный интернет. Пример конфигурации см. на снимке экрана ниже.

Шлюзовая конечная точка S3 BYOC

Обеспечьте сетевую связность

Исходящий доступ в интернет Ваш VPC должен как минимум разрешать исходящий доступ в интернет, чтобы компоненты ClickHouse BYOC могли взаимодействовать с контрольной плоскостью Tailscale. Tailscale используется для обеспечения безопасного сетевого взаимодействия по модели нулевого доверия при выполнении операций внутреннего администрирования. Первичная регистрация и настройка в Tailscale требуют подключения к общедоступному интернету, которое может быть обеспечено либо напрямую, либо через шлюз NAT. Это подключение необходимо для сохранения как конфиденциальности, так и безопасности вашего развертывания BYOC.

Разрешение DNS Убедитесь, что в вашем VPC корректно работает разрешение DNS и что он не блокирует, не нарушает работу и не переопределяет стандартные DNS-имена. ClickHouse BYOC использует DNS для разрешения имен серверов управления Tailscale, а также конечных точек сервисов ClickHouse. Если DNS недоступен или настроен неправильно, службы BYOC могут не подключаться или работать некорректно.

Настройте учетную запись AWS

Чтобы ClickHouse Cloud мог развернуть ресурсы в вашей существующей VPC, необходимо предоставить требуемые права доступа IAM в вашей учетной записи AWS. Для этого запустите начальный стек CloudFormation или модуль Terraform — аналогично стандартному процессу подключения.

  1. Разверните шаблон CloudFormation или модуль Terraform, чтобы создать требуемую роль IAM.
  2. Установите для параметра IncludeVPCWritePermissions значение false, чтобы ClickHouse Cloud не получил права доступа на изменение вашей VPC, управляемой клиентом.
  3. В результате в вашей учетной записи AWS будет создана роль ClickHouseManagementRole, предоставляющая ClickHouse Cloud только минимально необходимые права доступа для подготовки и управления вашим развертыванием BYOC.
Примечание

Хотя вы управляете своей VPC, ClickHouse Cloud по-прежнему требуются права доступа IAM для создания и управления кластером Kubernetes, ролями IAM для сервисных учетных записей, S3 бакетами и другими важными ресурсами в вашей учетной записи AWS.

Свяжитесь со службой поддержки ClickHouse

После выполнения описанных выше шагов настройки создайте обращение в поддержку, указав следующую информацию:

  • Идентификатор вашей учетной записи AWS
  • Регион AWS, в котором вы хотите развернуть сервис
  • Идентификатор вашего VPC
  • Идентификаторы приватных подсетей, которые вы выделили для ClickHouse
  • Зоны доступности, в которых находятся эти подсети

Наша команда проверит вашу конфигурацию и завершит подготовку инфраструктуры со своей стороны.

IAM-роли, управляемые клиентом

Для организаций с повышенными требованиями к безопасности или строгими политиками соответствия нормативным требованиям вы можете предоставить собственные IAM-роли вместо того, чтобы ClickHouse Cloud создавал их автоматически. Такой подход дает вам полный контроль над разрешениями IAM и позволяет применять политики безопасности вашей организации.

Ссылки

IAM-роли, управляемые клиентом, в настоящее время доступны в рамках закрытого предварительного доступа. Если вам нужна эта возможность, обратитесь в службу поддержки ClickHouse, чтобы обсудить ваши конкретные требования и сроки.

Когда эта функция станет доступна, она позволит вам:

  • Предоставлять предварительно настроенные IAM-роли, которые будет использовать ClickHouse Cloud
  • Удалять права на запись из разрешений, связанных с IAM, для ClickHouseManagementRole, используемой для межаккаунтного доступа
  • Сохранять полный контроль над разрешениями ролей и отношениями доверия

Сведения об IAM-ролях, которые ClickHouse Cloud создает по умолчанию, см. в разделе BYOC Privilege Reference.