BYOC GCP 私有网络设置
ClickHouse BYOC 在 GCP 上支持两种私有连接选项:VPC 对等连接和 Private Service Connect。流量全程在 GCP 网络内传输,不会经过公共互联网。
前提条件
VPC 对等连接和 Private Service Connect 均需执行的通用步骤。
为 ClickHouse BYOC 启用私有负载均衡器
请联系 ClickHouse Support 以启用私有负载均衡器。
搭建 VPC 对等连接
请先熟悉 GCP VPC peering 功能,并注意 VPC 对等连接的限制 (例如,已对等连接的 VPC 网络之间,子网 IP 范围不能重叠) 。ClickHouse BYOC 使用私有负载均衡器,通过对等连接为 ClickHouse 服务提供网络连通性。
要为 ClickHouse BYOC 创建或删除 VPC 对等连接,请按以下步骤操作:
以下示例步骤适用于简单场景;对于更进阶的场景 (例如与本地网络连通的对等连接) ,可能需要做一些调整。
创建对等连接
在此示例中,我们将为 BYOC VPC 网络与另一个现有 VPC 网络搭建对等连接。
- 在 ClickHouse BYOC 的 Google Cloud 项目中,前往 “VPC Network”。
- 选择 “VPC network peering”。
- 点击 “Create connection”。
- 根据你的需求填写必要字段。下图展示了如何在同一个 GCP 项目内创建对等连接。
GCP VPC 对等连接需要在这两个网络之间建立 2 个连接才能生效 (即,一个从 BYOC 网络到现有 VPC 网络,另一个从现有 VPC 网络到 BYOC 网络) 。因此,你还需要按相反方向再创建 1 个连接。下图展示了第二个对等连接的创建界面:
两个连接都创建完成后,刷新 Google Cloud Console 网页,这 2 个连接的状态应变为 “Active”:
现在,应可从已建立对等连接的 VPC 访问 ClickHouse 服务。
通过对等连接访问 ClickHouse 服务
为了以私有方式访问 ClickHouse,系统会预配私有负载均衡器和私有端点,以便从用户已建立对等连接的 VPC 安全连接。私有端点沿用公网端点的格式,并带有 -private 后缀。例如:
- 公网端点:
h5ju65kv87.mhp0y4dmph.us-east1.gcp.byoc.clickhouse.cloud - 私有端点:
h5ju65kv87-private.mhp0y4dmph.us-east1.gcp.byoc.clickhouse.cloud
搭建 PSC (Private Service Connect)
GCP PSC (Private Service Connect) 可为您的 ClickHouse BYOC 服务提供安全的私有网络连接,无需 VPC 对等连接或互联网网关。
申请设置 PSC 服务
联系 ClickHouse Support,为您的 BYOC 部署申请设置 PSC 服务。此阶段无需提供特定信息——只需说明您希望搭建 PSC 连接即可。
ClickHouse Support 将启用所需的基础设施组件,包括私有负载均衡器和 PSC 服务。
获取 GCP PSC 服务名称和 DNS 名称
ClickHouse Support 将向您提供 PSC 服务名称。您也可以在 ClickHouse Cloud 控制台中的 "Organization" -> "Infrastructure" 下获取;点击基础设施名称即可查看详细信息。
您也可以在 GCP Private Service Connect 控制台的 "Published services" 下找到 PSC 服务名称 (按服务名称筛选,或查找 ClickHouse 服务) 。
在您的网络中创建 PSC 端点
在 ClickHouse Support 完成其侧的 PSC 服务启用后,您需要在客户端应用所在的网络中创建一个 PSC 端点,以连接到 ClickHouse PSC 服务。
- 创建 PSC 端点:
- 前往 GCP Console -> Network Services → Private Service Connect → Connect Endpoint
- 在 "Target" 中选择 "Published service",并在 "Target details" 中输入上一步获取的 PSC 服务名称
- 输入一个有效的端点名称
- 选择您的网络和子网 (即客户端应用发起连接所使用的网络)
- 为该端点选择或创建一个新的 IP 地址,该 IP 地址将在步骤 为端点设置私有 DNS 名称 中使用
- 点击 "Add Endpoint",等待片刻以完成端点创建。
- 端点状态应变为 "Accepted";如果未自动变为该状态,请联系 ClickHouse Support。
- 获取 PSC Connection ID:
- 点击进入端点详情,并获取 "PSC Connection ID",该 ID 将在步骤 将端点的 PSC Connection ID 添加到服务允许列表 中使用
为端点设置私有 DNS 名称
配置 DNS 的方式有多种。请根据您的具体使用场景设置 DNS。
您需要将 获取 GCP PSC 服务名称和 DNS 名称 步骤中获取的 "DNS name" 的所有子域名 (通配符) 指向 GCP PSC 端点 IP 地址。这可确保您 VPC/网络中的服务或组件能够正确解析该地址。
将端点的 PSC Connection ID 添加到服务允许列表
创建好 PSC 端点且其状态为 "Accepted" 后,您需要将该端点的 PSC Connection ID 添加到每个要通过 PSC 访问的 ClickHouse 服务的允许列表中。
联系 ClickHouse Support:
- 向 ClickHouse Support 提供端点的 PSC Connection ID
- 说明哪些 ClickHouse 服务应允许来自此端点的访问
- ClickHouse Support 将把该端点的 Connection ID 添加到服务允许列表中
通过 PSC 连接到 ClickHouse
在端点 Connection ID 被添加到允许列表后,您就可以使用 PSC 端点连接到您的 ClickHouse 服务。
PSC 端点格式与公网端点类似,但会包含一个 p 子域名。例如:
- 公网端点:
h5ju65kv87.mhp0y4dmph.us-east1.gcp.clickhouse-byoc.com - PSC 端点:
h5ju65kv87.p.mhp0y4dmph.us-east1.gcp.clickhouse-byoc.com
