AWS 上でカスタマー管理型 VPC を構成する
Zilliz Cloud の Bring-Your-Own-Cloud (BYOC) ソリューションを使用すると、ご自身の Virtual プライベート Cloud (VPC) 内にプロジェクトを設定できます。カスタマー管理型 VPC 内で実行される Zilliz Cloud プロジェクトにより、ネットワーク構成をより細かく制御できるようになり、組織に求められる特定のクラウドセキュリティおよびガバナンス基準を満たすことが可能になります。
このページでは、これらの要件を満たすカスタマー管理型 VPC で Zilliz Cloud BYOC プロジェクトをホストするために必要な最小要件を一覧で示します。
Zilliz BYOC は現在一般提供されています。アクセスおよび実装の詳細については、Zilliz Cloud の営業担当者までお問い合わせください。
VPC の要件
Zilliz Cloud プロジェクトをホストするには、VPC がこのセクションに記載された要件を満たしている必要があります。既存の VPC を BYOC プロジェクトに使用する場合は、VPC がこれらの要件を満たしていることを確認してください。
要件
VPC リージョン
以下の表は、Zilliz Cloud BYOC ソリューションがサポートする AWS クラウドリージョンの一覧です。Zilliz Cloud コンソールにお使いのクラウドリージョンが表示されない場合は、support@zilliz.com までお問い合わせください。
AWS リージョン | ロケーション |
|---|---|
us-west-2 | Oregon |
eu-central-1 | Frankfurt |
VPC IP アドレス範囲
Zilliz Cloud では、VPC の IPv4 CIDR 設定で /16 のネットマスクを使用することを推奨しています。これにより、CIDR ブロックから 1 つのパブリックサブネットと 3 つのプライベートサブネットを作成できます。
Zilliz Cloud は現在、IPv4 CIDR ブロックのみをサポートしています。
サブネット
Zilliz Cloud プロジェクトには、1 つのパブリックサブネットと 3 つのプライベートサブネットが必要です。各プライベートサブネットは異なるアベイラビリティーゾーンに配置する必要があります。
パブリックサブネットは NAT ゲートウェイをホストし、ネットマスクは /24 です。各プライベートサブネットのネットマスクは /18 であり、EKS クラスター内での Application Load Balancer (ALB) Ingress ルーティングの使用を許可するため、kubernetes.io/role/internal-elb=1 というタグを付与する必要があります。
EKS クラスター内のポッドに対して ALB がアプリケーショントラフィックおよび HTTP トラフィックをどのようにルーティングするかについては、この記事 を参照してください。
DNS サポート
VPC では、DNS ホスト名と DNS 解決を有効にする必要があります。
NAT ゲートウェイ
Zilliz Cloud は、プライベートサブネット内のリソースがインターネットに到達できるように、パブリックサブネットに単一の NAT ゲートウェイを設定します。ただし、外部サービスからプライベートサブネット内のリソースへ接続を開始することはできません。
セキュリティグループ
インバウンドルールではポート 443 を開放する必要があります。セキュリティグループの作成方法については、手順 2: セキュリティグループの作成 を参照してください。
VPC エンドポイント
VPC エンドポイントはオプションであり、BYOC クラスター用にプライベートエンドポイントを構成する必要がある場合に使用されます。セキュリティグループの作成方法については、手順 3: (オプション) VPC エンドポイントの作成 を参照してください。
手順
AWS コンソールを使用して VPC および関連リソースを作成できます。 alternatively、Zilliz Cloud が提供する Terraform スクリプトを使用して、AWS 上の Zilliz Cloud プロジェクト用のインフラストラクチャをブートストラップすることもできます。詳細については、Terraform Provider を参照してください。
手順 1: VPC およびリソースの作成
AWS コンソールで、VPC の要件 に記載されている VPC および関連リソースを作成できます。
AWS の VPC ダッシュボードに移動します。
右上隅のリージョンドロップダウンでクラウドリージョンを確認します。これを Zilliz Cloud プロジェクトと同じリージョンに変更します。
VPC の作成 ボタンをクリックします。
VPC 設定 で、以下のスナップショットに示すように設定します。
-
VPC など をクリックします。名前タグの自動生成 で、プロジェクトの名前を入力します。
-
IPv4 CIDR ブロック で、ネットマスクが /16 であることを確認します。
-
アベイラビリティーゾーン (AZ) 数 で、3 をクリックします。AZ のカスタマイズ を展開して、利用可能なアベイラビリティーゾーンを確認できます。
-
パブリックサブネット数 で、3 をクリックします。これらのサブネットは、このエディターで NAT ゲートウェイを有効にするために必要です。
-
プライベートサブネット数 で、3 をクリックします。これらのサブネットは Zilliz Cloud BYOC プロジェクトに必要です。
-
サブネット CIDR ブロックのカスタマイズ を展開し、各パブリックサブネットのネットワークマスクが /24(例:10.0.0.0/24、10.0.16.0/24、10.0.32.0/24)であり、各プライベートサブネットのネットワークマスクが /18(例:10.0.64.0/18、10.0.128.0/18、10.0.192.0/18)であることを確認します。
-
NAT ゲートウェイ で、1 つの AZ 内 をクリックします。
-
DNS オプション で、両方のオプションが選択されていることを確認します。
-
追加タグ で、新しいタグを追加 をクリックします。キー を
Vendorに、値 をzilliz-byocに設定します。
VPC の作成 をクリックします。
VPC が作成されたら、詳細を下にスクロールして VPC を表示 をクリックします。
詳細 セクションで VPC ID をコピーし、Zilliz Cloud に貼り付けます。
リソースマップ セクションで、各プライベートサブネットの末尾にある外部リンクアイコンをクリックして、その詳細を表示します。
サブネットの詳細 ページで、サブネット ID をコピーします。
次に、タグの管理 をクリックします。表示されたページで、新しいタグを追加 をクリックし、新しいタグリストエントリの キー を kubernetes.io/role/internal-elb に、値 を 1 に設定します。次に、保存 をクリックします。
手順 2: セキュリティグループの作成
VPC 内のセキュリティグループは、インバウンドおよびアウトバウンドトラフィックを制御することで AWS リソースを保護し、EC2 インスタンス用の仮想ファイアウォールとして機能します。セキュリティグループは次のように作成できます。
AWS の VPC ダッシュボードに移動します。
左側のナビゲーションペインで セキュリティ > セキュリティグループ を探し、右ペインの右上隅にある セキュリティグループの作成 をクリックします。
セキュリティグループ名 と 説明 を設定し、VPC ドロップダウンリストから以前作成した VPC を選択します。
インバウンドルール セクションで ルールの追加 をクリックし、インバウンドルールを作成します。
送信元 で 任意の場所 -IPv4 を選択するか、送信元 ドロップダウンの右側にあるテキストボックスにアクセスを許可する CIDR ブロックを入力します。
レコードを追加し、タイプ で HTTPS を、送信先 で 任意の場所 -IPv4 を選択するか、送信先 ドロップダウンの右側にあるテキストボックスにアクセスを許可する CIDR ブロックを入力します。
タグ セクションで、以下のスクリーンショットに示すようにキーと値のペアを追加します。
セキュリティグループの作成 をクリックして、セキュリティグループを保存します。
セキュリティグループ ID をコピーし、Zilliz Cloud に貼り付けます。
手順 3: (オプション) VPC エンドポイントの作成
VPC エンドポイントは、安全なクラスター接続のリレーを保証し、Zilliz Cloud REST API へのプライベート呼び出しを可能にします。AWS 管理コンソールで VPC エンドポイントを管理する方法については、AWS 管理コンソールの AWS 記事「VPC エンドポイントの作成」 を参照するか、以下の手順に従ってください。
このセクションで作成する VPC エンドポイントは、AWS プライベートLink を設定するために使用されます。VPC エンドポイントの準備が整ったら、ホストゾーンを作成し、いくつかの DNS レコードを追加する必要があります。詳細については、プライベートLink の設定 (AWS) を参照してください。
AWS の VPC ダッシュボード に移動します。
左側のナビゲーションペインで プライベートLink および Lattice > エンドポイント を探し、右ペインの右上隅にある エンドポイントの作成 をクリックします。
名前タグ を設定するか、空白のままにして AWS に自動生成させます。タイプ として、NLB および GWLB を使用するエンドポイントサービス を選択します。
サービス設定 で、サービス名 にお使いのリージョンの Zilliz Cloud VPC エンドポイントを入力し、サービスの確認 をクリックします。
以下の表は、現在利用可能なクラウドリージョンの一覧です。お使いのクラウドリージョンが表に記載されていない場合は、support@zilliz.com までお問い合わせください。
AWS リージョン | ロケーション | Zilliz Cloud VPC エンドポイント |
|---|---|---|
us-west-2 | Oregon |
|
eu-central-1 | Frankfurt |
|
ネットワーク設定 で、上記で作成した VPC を選択し、DNS 名の有効化 を選択します。
サブネット で、VPC と一緒に作成したプライベートサブネット を選択します。
セキュリティグループ で、上記で作成したセキュリティグループ を選択します。
エンドポイントの作成 をクリックして、上記の設定を保存します。
エンドポイント リストで作成した VPC エンドポイント ID をクリックして、その詳細を表示します。
プライベート DNS 名 の値が *.aws-{region}.byoc.cloud.zilliz.com と類似しているか確認します。
-
そうであれば、エンドポイント ID をコピーし、Zilliz Cloud コンソールに貼り付けます。
-
そうでない場合は、設定を確認して必要に応じて変更します。
手順 4: VPC 情報を Zilliz Cloud に送信する
AWS 上で上記の手順を完了したら、Zilliz Cloud に戻り、ネットワーク設定 に VPC ID、サブネット ID、セキュリティグループ ID、およびオプションの VPC エンドポイント ID を入力して、次へ をクリックし、プロジェクトデプロイメントプロセス全体の概要を表示します。すべてが期待通りに構成されている場合は、デプロイ をクリックしてプロセスを開始します。
