Connections
Private Link
Private Linkは、VPC環境において他のVPCにデプロイされたサービスにプライベートネットワーク経由で安全かつ安定的にアクセスするのに役立ち、ネットワークアーキテクチャを大幅に簡素化し、パブリックネットワーク経由でサービスにアクセスすることに伴うセキュリティリスクを回避します。
VeloDB CloudウェアハウスはVeloDB VPC内で作成・実行され、ユーザーのVPC内のアプリケーションシステムやクライアントは、Private Link経由でVPC間でVeloDB Cloudウェアハウスにアクセスできます。Private Linkには2つの部分があります:エンドポイントサービスとエンドポイントです。
ユーザーが自身のプライベートネットワーク内でVeloDBにアクセスする必要がある場合、VeloDB Cloudがエンドポイントサービスを作成・管理し、ユーザーがエンドポイントを作成・管理します。
ユーザーがVeloDBを使用して自身のプライベートネットワークにアクセスする必要がある場合、エンドポイントサービスを作成してVeloDB Cloudに登録する必要があります。その後、VeloDB Cloudがエンドポイントを作成してユーザーのエンドポイントサービスに接続します。
Access VeloDB from Your VPC
レポート、プロファイリング、ログ分析などのデータアプリケーションが、プライベートネットワーク内からVeloDB Cloudウェアハウスにアクセスできるようにする接続を作成します。
注意 VeloDB Cloudサービス側では追加料金はかかりませんが、ユーザーはエンドポイントインスタンスとトラフィック料金をクラウドプラットフォームに支払う必要があります。
AWS
- 対象のウェアハウスに切り替え、ナビゲーションバーのConnectionsをクリックし、Private LinkタブでConnect Your VPC to VeloDBのSet up Connectionをクリックしてエンドポイントを作成します。
- ページにはエンドポイント作成に必要なEndpoint Service情報が表示されます。Set up one or more endpointsをクリックして、クラウドプラットフォームのPrivate Link製品コンソールに移動し、エンドポイントを作成できます。
- クラウドプラットフォームのPrivate Link製品コンソールで、現在のリージョンがウェアハウスのエンドポイントサービスと同じであることを確認し(クラウドプラットフォームのPrivate Link製品による制限)、Create endpointをクリックします。
注意 VeloDB Cloudのエンドポイントサービスへのアクセスが許可されたプリンシパルでAWSにサインインする必要があります。これにより、エンドポイント作成時にサービス名検証を正常に通過できます。
- ウィザードのプロンプトに従って、以下のようにフォームに記入します:
| パラメータ | 説明 |
|---|---|
| Name tag | オプション。キーが'Name'で、指定した値を持つタグを作成します。 |
| Service category | 必須。サービスカテゴリを選択します。VeloDB CloudウェアハウスのエンドポイントサービスはEndpoint services that use NLBs and GWLBsに属するので、クリックして選択します。 |
| Service name | 必須。エンドポイント作成に必要なEndpoint Service情報が表示されるページで、VeloDB CloudウェアハウスのエンドポイントサービスのService Nameをワンクリックでコピーし、入力ボックスに記入してVerify serviceをクリックします。 |
| VPC | 必須。エンドポイントを作成するVPCを選択します。 |
| Subnets | 必須。VeloDB Cloudウェアハウスのエンドポイントサービスが配置されているのと同じAvailability Zoneを選択し(クラウドベンダーのPrivate Link製品による制限)、その下の適切なサブネットIDを選択します。 |
| Security groups | 必須。事前設定されたセキュリティグループを選択します。セキュリティルールでは、VeloDB Cloudウェアハウスが使用するプロトコルとポート、およびアプリケーション/クライアントがVeloDB Cloudウェアハウスに接続する送信元のIPアドレスを許可する必要があります。 |
| Tags | オプション。リソースに関連付けられたタグを追加できます。 |
- エンドポイントが作成されると、そのステータスは"Pending"から"Available"に変わり、エンドポイントがウェアハウスのエンドポイントサービスとの接続に成功したことを示します。
- VeloDB CloudウェアハウスのConnectionsページを更新すると、エンドポイントリストにエンドポイントの接続情報が表示されます。
注意 Find DNS NameをクリックしてAWS Private Link製品コンソールのEndpoint Detailsページを開き、エンドポイントのDNS Nameを見つけて、それを使用してVeloDB Cloudウェアハウスにアクセスする必要があります。
- アプリケーション/クライアントは、MySQLプロトコルまたはHTTPプロトコルでエンドポイントのDNS名を通じてVeloDB Cloudウェアハウスにアクセスできます。具体的な接続方法については、Connection Examplesのポップアップバブルを参照してください。
注意
VeloDB Cloudには2つの独立したアカウントシステムがあります:1つはこのトピックで説明されているウェアハウスへの接続に使用されます。もう1つはRegistration and Loginトピックで説明されているコンソールへのログインに使用されます。
初回接続時は、Settingsページで初期化またはリセットできるadminユーザー名とそのパスワードを使用してください。
Azure
- 対象のウェアハウスに切り替え、ナビゲーションバーのConnectionsをクリックし、Private LinkタブでAccess VeloDB from Your VPCのNew Connectionをクリックしてエンドポイントを作成します。まず、VeloDB Cloudウェアハウスのエンドポイントサービスにアクセスするためのサブスクリプションを承認する必要があります。
- エンドポイントサービスへのアクセスのサブスクリプションを承認した後、ページにはエンドポイント作成に必要なEndpoint Service情報が表示されます。Go to Createをクリックして、クラウドプラットフォームのPrivate Link製品コンソールに移動し、エンドポイントを作成できます。
- クラウドプラットフォームのPrivate Link製品コンソールのCreate a private endpointページのBasicsタブで、現在のリージョンがVeloDB Cloudウェアハウスのエンドポイントサービスと同じであることを確認する必要があります(クラウドプラットフォームのPrivate Link製品による制限)。ウィザードのプロンプトに従って以下のようにフォームに記入し、Next: Resourceをクリックします。
| パラメータ | カテゴリ | 説明 |
|---|---|---|
| Subscription | Project details | 必須。VeloDB Cloudウェアハウスのエンドポイントサービスにアクセスするサブスクリプションを選択します。Azureサブスクリプションのすべてのリソースは一緒に請求されます。 |
| Resource group | Project details | 必須。作成するプライベートエンドポイントのリソースグループを選択します。適切なものがない場合は、新しく作成できます。リソースグループは、同じライフサイクル、権限、ポリシーを共有するリソースのコレクションです。 |
| Name | Instance details | 必須。作成するプライベートエンドポイントのインスタンス名。カスタマイズできます。 |
| Network Interface Name | Instance details | 必須。作成するプライベートエンドポイントのネットワークインターフェース名。インスタンス名を入力すると自動生成され、修正できます。 |
| Region | Instance details | 必須。作成するプライベートエンドポイントのリージョンを選択します。注意:VeloDB Cloudウェアハウスのエンドポイントサービスと同じリージョンを選択する必要があります(クラウドプラットフォームのPrivate Link製品による制限)。 |
- Create a private endpointページのResourceタブで、接続方法Connect to an Azure resourceでリソースIDまたはエイリアスを選択し、以下のようにフォームに記入してNext: Virtual Networkをクリックします。
| パラメータ | 説明 |
|---|---|
| Resource ID or alias | 必須。他者のリソースに接続する際、接続要求を開始するために、そのリソースのリソースIDまたはエイリアスを提供してもらう必要があります。現在のシナリオでは、エンドポイント作成に必要なEndpoint Service情報が表示されるページで、VeloDB CloudウェアハウスのエンドポイントサービスのService Alias値をワンクリックでコピーし、入力ボックスに記入できます。 |
| Request message | オプション。このメッセージはリソース所有者(VeloDB Cloudを指す)に送信され、接続管理プロセスを支援します。プライベートまたは機密情報を含めないでください。 |
- Create a private endpointページのVirtual Networkタブで、作成するプライベートエンドポイントの仮想ネットワークとサブネットを選択します。ウィザードのプロンプトに従って以下のようにフォームに記入し、Next: DNSをクリックします。
| パラメータ | カテゴリ | 説明 |
|---|---|---|
| Virtual network | Networking | 必須。現在選択されているサブスクリプションと場所の仮想ネットワークのみが一覧表示されます。作成するプライベートエンドポイントの仮想ネットワークを選択します。適切なものがない場合は、クラウドプラットフォームのVirtual network製品コンソールで新しく作成できます。 |
| Subnet | Networking | 必須。現在選択されている仮想ネットワークのサブネットのみが一覧表示されます。作成するプライベートエンドポイントのサブネットを選択します。適切なものがない場合は、クラウドプラットフォームのVirtual network製品コンソールで新しく作成できます。 |
| Network policy for private endpoints | Networking | オプション。作成するプライベートエンドポイントのネットワークポリシー。デフォルトは無効で、編集できます。 |
| Private IP configuration | Private IP configuration | オプション。IPアドレスの動的割り当てまたは静的割り当てを選択できます。上記で設定した仮想ネットワークとサブネットに従って、デフォルトで動的割り当てIPアドレスが選択されます。 |
| Application security group | Application security group | オプション。作成するプライベートエンドポイントのアプリケーションセキュリティグループを選択します。適切なものがない場合は、新しく作成できます。 |
- Create a private endpointページのDNSタブで、デフォルト設定を維持し、Next: Tagsをクリックします。
注意:プライベートエンドポイントでプライベート接続するには、DNSレコードが必要です。Private DNSをサポートするようにリソース設定を構成する必要があります。
- Create a private endpointページのTagsタブで、デフォルト設定を維持し、Next: Review + createをクリックします。
注意:プライベートエンドポイントを分類し、統合請求を表示したい場合は、作成するプライベートエンドポイントのタグを設定できます。
- Create a private endpointページのReview + createタブで、作成するプライベートエンドポイントの設定を確認できます。期待通りでない設定がある場合は、Previousをクリックして戻って修正できます。問題がなければ、Createをクリックできます。
- エンドポイントが作成されると、そのステータスは"Created"から"OK"に変わり、エンドポイントがVeloDB Cloudウェアハウスのエンドポイントサービスとの接続に成功したことを示します。
- VeloDB CloudウェアハウスのConnectionsページを更新すると、エンドポイントリストにエンドポイントの接続情報が表示されます。
- アプリケーション/クライアントは、MySQLプロトコルまたはHTTPプロトコルでエンドポイントのIPまたはDNS名を通じてVeloDB Cloudウェアハウスにアクセスできます。エンドポイントリストのFind DNS Nameをクリックしてエンドポイントの詳細ページを開き、そのIPまたはDNS名を確認できます。
- 具体的な接続方法については、VeloDB CloudウェアハウスのConnectionsページでConnection Examplesのポップアップバブルにマウスオーバーしてください。
VeloDB Accesses Your VPC
注意 VeloDBがプライベートネットワークにアクセスすることで発生するエンドポイントインスタンスとトラフィック料金は、現在ユーザーに請求されていません。
AWS
- 対象のウェアハウスに切り替え、ナビゲーションバーのConnectionsをクリックし、Private LinkタブでVeloDB Accesses Your VPCのNew Connectionをクリックして、エンドポイントサービスへの接続を作成します。
-
+ Endpoint Serviceをクリックすると、ページにウェアハウスのCurrent RegionとARN of VeloDBが表示されます。Go to Createをクリックして、クラウドプラットフォームのPrivate Link製品コンソールに移動し、エンドポイントサービスを作成できます。
-
AWS Consoleにサインインし、VPC-Endpoint servicesを選択して現在のウェアハウスと同じリージョンに切り替えます。
-
Create endpoint serviceをクリックします。
- Endpoint Service設定ページで、関連パラメータを設定し、Createをクリックします。
- (オプション)利用可能なネットワークロードバランサーがない場合は、まずCreate Network Load Balancerをクリックする必要があります。作成が完了したら、フィルターボタンをクリックして選択します。
- (オプション)利用可能なターゲットグループがない場合は、まずCreate Target Groupをクリックする必要があります。作成が完了したら、右側のリフレッシュボタンをクリックして選択します。
- エンドポイントサービスを作成した後、エンドポイントサービスのAllow principalsタブでARN of VeloDBを追加します。
- Endpoint Service DetailsページからService IDとService Nameをコピーし、VeloDB CloudのEndpoint Service登録ページに記入します。
- 登録が完了したら、次のステップに進み、VeloDB CloudウェアハウスのEndpoint Nameを指定し、Create Nowをクリックします。
- エンドポイントサービスのEndpoint connectionsタブでエンドポイント接続要求を承認します。
- ページを更新し、VeloDB Cloudウェアハウスのエンドポイントのステータスが"pendingAcceptance"から"available"に変わるのを待ちます。これは接続が成功したことを意味します。
Azure
- 対象のウェアハウスに切り替え、ナビゲーションバーのConnectionsをクリックし、Private LinkタブでVeloDB Accesses Your VPCのNew Connectionをクリックして、エンドポイントサービスへの接続を作成します。
- + Endpoint Serviceをクリックすると、ページにウェアハウスのCurrent RegionとSubscription ID of VeloDBが表示されます。Go to Createをクリックして、クラウドプラットフォームのPrivate Link製品コンソールに移動し、エンドポイントサービス(Azure private link serviceを指す)を作成できます。
- Azureアカウントで**Azure portalにサインインします。Private Link製品コンソールのCreate private link serviceページのBasics**タブで、リージョンがVeloDB Cloudウェアハウスと同じであることを確認する必要があります(クラウドプラットフォームのPrivate Link製品による制限)。ウィザードのプロンプトに従って以下のようにフォームに記入し、Next: Outbound settingsをクリックします。
| パラメータ | カテゴリ | 説明 |
|---|---|---|
| Subscription | Project details | 必須。データベースまたはデータレイクのprivate link serviceを作成するサブスクリプションを選択します。Azureサブスクリプションのすべてのリソースは一緒に請求されます。 |
| Resource group | Project details | 必須。作成するprivate link serviceのリソースグループを選択します。適切なものがない場合は、新しく作成できます。リソースグループは、同じライフサイクル、権限、ポリシーを共有するリソースのコレクションです。 |
| Name | Instance details | 必須。作成するprivate link serviceのインスタンス名。カスタマイズできます。 |
| Region | Instance details | 必須。作成・配置するprivate link serviceのAzureリージョンを選択します。注意:VeloDB Cloudウェアハウスと同じリージョンを選択する必要があります(クラウドプラットフォームのPrivate Link製品による制限)。 |
- Create private link serviceページのOutbound settingsタブで、ウィザードのプロンプトに従って以下のようにフォームに記入し、Next: Access Securityをクリックします。
| パラメータ | 説明 |
|---|---|
| Load balancer | 必須。データベースまたはデータレイクの負荷分散を行うprivate link serviceの背後のロードバランサーを選択します。適切なものがない場合は、クラウドプラットフォームのLoad Balancer製品コンソールで新しく作成できます。 |
| Load balancer frontend IP address | 必須。上記で選択したロードバランサーのフロントエンドIPアドレスを選択します。 |
| Source NAT Virtual network | 必須。 |
| Source NAT subnet | 必須。 |
| Enable TCP proxy V2 | 必須。デフォルトのNoのままにします。アプリケーションがTCP proxy v2ヘッダーを期待する場合は、Yesを選択します。 |
| Private IP address settings | デフォルト設定のままにします |
- Create private link serviceページのAccess Securityタブで、private link serviceへのアクセス要求ができる対象としてRestricted by subscriptionを選択し、Subscription ID of VeloDBをprivate link serviceのアクセスホワイトリストに追加して、自動承認でYesを選択します。その後、Next: Tagsをクリックします。
- Create private link serviceページのTagsタブで、デフォルト設定を維持し、Next: Review + createをクリックします。 注意:private link serviceを分類し、統合請求を表示したい場合は、作成するprivate link serviceのタグを設定できます。
- Create private link serviceページのReview + createタブで、作成するprivate link serviceの設定を確認できます。期待通りでない設定がある場合は、Previousをクリックして戻って修正できます。問題がなければ、Createをクリックできます。
- private link serviceが作成されると、そのステータスは"Created"から"OK"に変わり、private link serviceがVeloDB Cloudウェアハウスのプライベートエンドポイントから接続される準備ができたことを示します。
- private link serviceを作成した後、private link serviceのDetailsページからRescource IDとAliasをコピーし、VeloDB CloudのEndpoint Service登録ページに記入します。
- 登録が完了したら、次のステップに進み、VeloDB CloudウェアハウスのEndpoint Nameを指定し、Create Nowをクリックします。
- ページを更新し、VeloDB Cloudウェアハウスのエンドポイントのステータスが"pendingAcceptance"から"Approve"に変わるのを待ちます。これは接続が成功したことを意味します。