Перейти к основному содержимому
Перейти к основному содержимому

Настройка частной сети

ClickHouse BYOC поддерживает различные варианты частного сетевого взаимодействия для повышения безопасности и обеспечения прямого подключения ваших сервисов. В этом руководстве рассматриваются рекомендуемые подходы к безопасному подключению развертываний ClickHouse Cloud в вашей собственной учетной записи AWS или GCP к другим сетям или сервисам, таким как внутренние приложения или аналитические инструменты. Мы рассматриваем варианты, такие как VPC Peering, AWS PrivateLink и GCP Private Service Connect, и описываем основные шаги и ключевые особенности для каждого из них.

Если вам требуется частное сетевое подключение к вашему развертыванию ClickHouse BYOC, выполните шаги из этого руководства или обратитесь в службу поддержки ClickHouse за помощью в более сложных сценариях.

Настройка VPC Peering (AWS)

Чтобы создать или удалить VPC peering для ClickHouse BYOC, выполните следующие шаги:

Включите частный балансировщик нагрузки для ClickHouse BYOC

Свяжитесь со службой поддержки ClickHouse, чтобы включить Private Load Balancer.

Создайте peering-подключение

  1. Перейдите в VPC Dashboard в аккаунте ClickHouse BYOC.
  2. Выберите Peering Connections.
  3. Нажмите Create Peering Connection.
  4. Установите VPC Requester в значение ClickHouse VPC ID.
  5. Установите VPC Accepter в значение целевого VPC ID (при необходимости выберите другой аккаунт).
  6. Нажмите Create Peering Connection.
BYOC Создание Peering Connection

Примите запрос на peering-подключение

В аккаунте, с которым настраивается peering, на странице (VPC -> Peering connections -> Actions -> Accept request) клиент может одобрить этот запрос VPC peering.

BYOC Принятие Peering Connection

Добавьте пункт назначения в таблицы маршрутизации ClickHouse VPC

В аккаунте ClickHouse BYOC:

  1. Выберите Route Tables в VPC Dashboard.
  2. Найдите ClickHouse VPC ID. Отредактируйте каждую таблицу маршрутизации, связанную с приватными подсетями.
  3. Нажмите кнопку Edit на вкладке Routes.
  4. Нажмите Add another route.
  5. Введите CIDR-диапазон целевого VPC в поле Destination.
  6. Выберите “Peering Connection” и ID peering-подключения в поле Target.
BYOC Добавление таблицы маршрутизации

Добавьте пункт назначения в таблицы маршрутизации целевого VPC

В AWS-аккаунте, с которым настроен peering:

  1. Выберите Route Tables в VPC Dashboard.
  2. Найдите целевой VPC ID.
  3. Нажмите кнопку Edit на вкладке Routes.
  4. Нажмите Add another route.
  5. Введите CIDR-диапазон ClickHouse VPC в поле Destination.
  6. Выберите “Peering Connection” и ID peering-подключения в поле Target.
BYOC Добавление таблицы маршрутизации

Измените security group, чтобы разрешить доступ из peered VPC

В аккаунте ClickHouse BYOC необходимо обновить настройки Security Group, чтобы разрешить трафик из вашей peered VPC. Свяжитесь со службой поддержки ClickHouse, чтобы запросить добавление входящих правил (inbound rules), включающих CIDR-диапазоны вашей peered VPC.

Сервис ClickHouse теперь должен быть доступен из peered VPC.

Для приватного доступа к ClickHouse создаются частный балансировщик нагрузки и endpoint для безопасного подключения из peered VPC пользователя. Частный endpoint следует формату публичного endpoint с суффиксом -private. Например:

  • Публичный endpoint: h5ju65kv87.mhp0y4dmph.us-west-2.aws.byoc.clickhouse.cloud
  • Частный endpoint: h5ju65kv87-private.mhp0y4dmph.us-west-2.aws.byoc.clickhouse.cloud

Дополнительно, после проверки работоспособности peering вы можете запросить удаление публичного балансировщика нагрузки для ClickHouse BYOC.

AWS PrivateLink обеспечивает безопасное, частное подключение к вашим BYOC-сервисам ClickHouse без необходимости использования пиринга VPC или интернет-шлюзов. Трафик полностью проходит внутри сети AWS и никогда не выходит в публичный интернет.

Свяжитесь с ClickHouse Support, чтобы запросить настройку PrivateLink для вашего BYOC-развертывания. На этом этапе не требуется никакая специальная информация — просто укажите, что вы хотите настроить подключение через PrivateLink.

ClickHouse Support настроит необходимые инфраструктурные компоненты, включая приватный балансировщик нагрузки и конечную точку сервиса PrivateLink.

Создание конечной точки в вашем VPC

После того как ClickHouse Support включит PrivateLink со своей стороны, вам нужно создать VPC endpoint (конечную точку VPC) в VPC клиентского приложения для подключения к сервису ClickHouse PrivateLink.

  1. Получите имя Endpoint Service:
    • ClickHouse Support предоставит вам имя Endpoint Service
    • Вы также можете найти его в консоли AWS VPC в разделе "Endpoint Services" (отфильтруйте по имени сервиса или найдите сервисы ClickHouse)
Конечная точка сервиса BYOC PrivateLink
  1. Создайте VPC Endpoint:
    • Перейдите в AWS VPC Console → Endpoints → Create Endpoint
    • Выберите "Find service by name" и введите имя Endpoint Service, предоставленное ClickHouse Support
    • Выберите ваш VPC и нужные подсети (рекомендуется по одной на зону доступности)
    • Важно: Включите "Private DNS names" для этой конечной точки — это необходимо для корректной работы DNS-разрешения
    • Выберите или создайте security group для конечной точки
    • Нажмите "Create Endpoint"
Ссылки

Требования к DNS:

  • Включите "Private DNS names" при создании VPC endpoint
  • Убедитесь, что в вашем VPC включены "DNS Hostnames" (VPC Settings → DNS resolution and DNS hostnames)

Эти настройки необходимы для корректной работы DNS для PrivateLink.

  1. Одобрите подключение конечной точки:
    • После создания конечной точки вам нужно одобрить запрос на подключение
    • В консоли VPC перейдите в раздел "Endpoint Connections"
    • Найдите запрос на подключение от ClickHouse и нажмите "Accept", чтобы одобрить его
Одобрение BYOC PrivateLink

Добавьте Endpoint ID в allowlist сервиса

После того как конечная точка VPC создана и подключение одобрено, необходимо добавить Endpoint ID в allowlist для каждого сервиса ClickHouse, к которому вы хотите получать доступ через PrivateLink.

  1. Получите ваш Endpoint ID:

    • В консоли AWS VPC перейдите в раздел Endpoints
    • Выберите только что созданную конечную точку
    • Скопируйте Endpoint ID (он будет выглядеть как vpce-xxxxxxxxxxxxxxxxx)

  2. Свяжитесь с ClickHouse Support:

    • Передайте Endpoint ID(ы) в ClickHouse Support
    • Уточните, какие сервисы ClickHouse должны разрешать доступ с этой конечной точки
    • ClickHouse Support добавит Endpoint ID в allowlist сервиса

После добавления Endpoint ID в allowlist вы можете подключаться к вашему сервису ClickHouse, используя конечную точку PrivateLink.

Формат конечной точки PrivateLink похож на публичную конечную точку, но включает поддомен vpce. Например:

  • Публичная конечная точка: h5ju65kv87.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com
  • Конечная точка PrivateLink: h5ju65kv87.vpce.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com

DNS-разрешение в вашем VPC будет автоматически направлять трафик через конечную точку PrivateLink, когда вы используете формат с поддоменом vpce.

Доступ к сервисам ClickHouse через PrivateLink контролируется на двух уровнях:

  1. Политика авторизации Istio: политики авторизации ClickHouse Cloud на уровне сервиса
  2. Группа безопасности VPC endpoint: группа безопасности, привязанная к вашему VPC endpoint, определяет, какие ресурсы в вашем VPC могут использовать этот endpoint
Примечание

Функция приватного балансировщика нагрузки «Enforce inbound rules on PrivateLink traffic» отключена, поэтому доступ контролируется только политиками авторизации Istio и группой безопасности вашего VPC endpoint.

PrivateLink DNS для BYOC-эндпоинтов (использующих формат *.vpce.{subdomain}) использует встроенную в AWS PrivateLink функцию Private DNS names. Записи Route53 не требуются — разрешение DNS выполняется автоматически, когда:

  • Private DNS names включена для вашего VPC endpoint
  • В вашем VPC включена опция DNS Hostnames

Это гарантирует, что подключения, использующие поддомен vpce, автоматически направляются через PrivateLink endpoint без необходимости дополнительной конфигурации DNS.

VPC Peering (GCP) и Private Service Connect (GCP)

GCP VPC Peering и Private Service Connect обеспечивают аналогичное приватное сетевое подключение для развертываний BYOC в GCP. Эта функция находится в разработке. Если вам требуется VPC Peering или Private Service Connect для вашего развертывания BYOC в GCP, пожалуйста, свяжитесь со службой поддержки ClickHouse, чтобы обсудить доступность и требования к настройке.