メインコンテンツまでスキップ
バージョン: User Guides (BYOC)

GCP 上の顧客管理 VPC の構成

Zilliz Cloud Bring-Your-Own-Cloud (BYOC) ソリューションにより、独自の Virtual Private Cloud (VPC) 内にプロジェクトを設定できます。顧客管理 VPC で実行される Zilliz Cloud プロジェクトでは、ネットワーク構成をより制御できるため、組織が必要とする特定のクラウドセキュリティおよびガバナンス基準を満たすことができます。

このページでは、これらの要件を満たす顧客管理 VPC に Zilliz Cloud BYOC プロジェクトをホストするための最小要件を列挙します。

📘Notes

Zilliz BYOC は現在、一般提供されています。アクセスおよび実装の詳細については、Zilliz Cloud 営業担当にお問い合わせください。

VPC 要件

BYOC プロジェクトをホストするには、VPC がこのセクションで列挙された要件を満たしている必要があります。既存の VPC を BYOC プロジェクトに使用することを検討している場合は、VPC がこれらの要件を満たしていることを確認してください。

要件

VPC リージョン

以下の表は、Zilliz Cloud BYOC ソリューションがサポートする Google Cloud Platform (GCP) リージョンを示しています。Zilliz Cloud コンソールでクラウドリージョンが見つからない場合は、support@zilliz.com までお問い合わせください。

GCP リージョン

場所

us-west1

オレゴン

VPC IP アドレス範囲

Zilliz Cloud では、VPC の IPv4 CIDR 設定で /18 ネットマスクを使用することを推奨します。これにより、CIDR ブロックからパブリックサブネット1つとプライベートサブネット3つを作成できます。

📘Notes

Zilliz Cloud は現在、IPv4 CIDR ブロックのみをサポートしています。

サブネット

Zilliz Cloud BYOC プロジェクトには、プライマリ IPv4 範囲を持つ1つのプライマリサブネットと、2つのセカンダリ IPv4 範囲に加えて、別個のロードバランシングサブネットが必要です。

Cloud Router および NAT

Google Cloud Router は、VPC と他のネットワーク間の動的ルート交換を可能にするために必要です。また、VPC 上の VM やコンテナポッドが Zilliz Cloud の VPC ネットワークと通信できるように NAT ゲートウェイを追加する必要があります。

ファイアウォールルール

2つのイングレスファイアウォールルールを作成する必要があります:1つは Zilliz Cloud が BYOC プロジェクト内のクラスターに対して正常性チェックを実行するため、もう1つは VPC ネットワーク内の VM インスタンスが互いに通信するためです。

Private Service Connect (PSC) エンドポイント

PSC エンドポイントはオプションであり、BYOC クラスターのプライベートエンドポイントを構成する場合に使用されます。

手順

GCP ダッシュボードで、VPC 要件 で列挙された VPC および関連リソースを作成できます。別の方法として、Zilliz Cloud が提供する Terraform スクリプトを使用して、GCP 上の Zilliz Cloud プロジェクト用インフラストラクチャをブートストラップできます。詳細については、Terraform プロバイダー を参照してください。

ステップ1: VPC ネットワークを作成し、プライマリサブネットを追加

このステップでは、VPC ネットワークを作成し、プライマリサブネットを追加します。プライマリサブネットには、コンテナポッドとサービス用のプライマリ IPv4 範囲および2つのセカンダリ IPv4 範囲が含まれます。

VPC ネットワークを作成し、プライマリサブネットを追加する手順は以下のとおりです:

  1. GCP コンソールで、VPC ネットワーク を検索してクリックします。

  2. VPC ネットワークを作成 をクリックします。

  3. 作成する VPC およびプライマリサブネットの名前を設定します。

    このデモでは、primary-subnet に設定できます。または、命名規則に従ってサブネットに名前を付けてください。

  4. プライマリサブネットのリージョンを選択します。

    リージョンは Zilliz BYOC プロジェクトと同じである必要があります。

  5. プライマリサブネットのプライマリ IPv4 範囲を設定します。

    このデモでは、10.7.0.0/18 に設定できます。または、計画されたネットワークセグメントを使用します。以降のために名前と IPv4 範囲を覚えておくことを推奨します。

  6. コンテナポッド用のセカンダリ IPv4 範囲の名前と IPv4 アドレス範囲を設定します。

    このデモでは、名前を pod-subnet に、範囲を 10.7.64.0/18 に設定できます。または、命名規則とネットワーク計画に従ってください。以降のために名前と IPv4 範囲を覚えておくことを推奨します。

  7. サービス用のセカンダリ IPv4 範囲を追加するには、セカンダリ IPv4 範囲を追加 をクリックし、その名前と範囲を設定します。

    このデモでは、名前を service-subnet に、範囲を 10.7.128.0/18 に設定できます。または、命名規則とネットワーク計画に従ってください。

  8. 残りはデフォルト設定のまま 作成 をクリックします。

ステップ2: ロードバランシングサブネットを追加

このステップでは、リージョナルアプリケーションロードバランサー用に予約されたプロキシ専用サブネットを追加します。

このサブネットを追加する手順は以下のとおりです:

  1. GCP コンソールで、VPC ネットワーク を検索してクリックします。

  2. 前のステップで作成した VPC ネットワークをフィルタリングします。

  3. その名前をクリックして詳細を表示します。

  4. サブネット タブに切り替え、サブネットを追加 をクリックします。

  5. 作成するサブネットの名前を設定します。

    このデモでは、lb-subnet に設定できます。または、命名規則に従ってサブネットに名前を付けてください。

  6. プライマリサブネットのリージョンを選択します。

    リージョンは Zilliz BYOC プロジェクトと同じである必要があります。

  7. 目的リージョナルマネージドプロキシ を選択します。

    このオプションとプロキシ専用サブネットの詳細については、このドキュメント を参照してください。

  8. このサブネットのプライマリ IPv4 範囲を設定します。

    このデモでは、10.7.192.0/18 に設定できます。または、計画されたネットワークセグメントを使用します。

  9. 追加 をクリックします。

ステップ3: Cloud Router および NAT ゲートウェイを設定

VPC と Zilliz Cloud の間のトラフィックに対してネットワークアドレス変換を有効にするために、Cloud Router および NAT ゲートウェイを構成します。

Cloud Router および NAT ゲートウェイを設定する手順は以下のとおりです:

  1. GCP コンソールで、ネットワーク接続 を検索してクリックします。

  2. 左側のナビゲーションペインで Cloud Router を選択します。

  3. ルータを作成 をクリックします。

  4. 作成するルータの名前を設定します。

    このデモでは、your-org-byoc-router に設定します。または、命名規則に従ってください。

  5. 前のステップで作成した VPC ネットワークを選択します。

    このデモでは、your-org-byoc-vpc を選択します。

  6. 作成するルータのリージョンを選択します。

    このデモでは、us-west1 (オレゴン) を選択します。

  7. 作成 をクリックします。

  8. ルータ リストで一覧されているルータの名前をクリックします。

  9. 下にスクロールして Cloud NAT ゲートウェイを追加 をクリックします。

  10. 作成する NAT ゲートウェイの名前を設定します。

    このデモでは、your-org-byoc-nat に設定します。または、命名規則に従ってください。

  11. Cloud NAT IP アドレス手動 を選択します。

    以下のように新しい IP アドレスを作成する必要があります:

    1. IP アドレス 1 のドロップダウンリストから IP アドレスを作成 を選択します。

    2. 表示されるダイアログボックスで、予約する IP アドレスの名前を設定し、予約 をクリックします。

      このデモでは、your-org-byoc-nat-ip に設定します。または、命名規則に従ってください。

  12. NAT ゲートウェイ用に新しい IP アドレスが予約されたら、作成 をクリックします。

ステップ4: ファイアウォールルールを追加

このステップでは、2つのファイアウォールルールを追加します。1つ目のルールは、VPC ネットワーク上で展開された BYOC クラスターに対する正常性チェックを有効にするため、2つ目のルールは、zilliz-byoc というターゲットタグを持つすべての VM 間の通信を有効にするためです。

これらのファイアウォールルールを追加する手順は以下のとおりです:

  1. GCP コンソールで、VPC ネットワーク を検索してクリックします。

  2. 前のステップで作成した VPC ネットワークをフィルタリングします。

  3. VPC ネットワークの名前をクリックして詳細を表示します。

  4. ファイアウォール タブに切り替えます。

  5. ファイアウォールルールを追加 をクリックします。

    • BYOC クラスターに対する正常性チェック用のファイアウォールルール。

      名前

      ingress-rule-for-health-checks

      ターゲット

      ネットワーク内のすべてのインスタンス

      送信元 IPv4 範囲

      130.211.0.0/2235.191.0.0/16

      プロトコルおよびポート

      指定されたプロトコルおよびポート

      TCP

      19530

    • VPC ネットワーク上のタグ付けされた VM 間のローカルトラフィック用のファイアウォールルール

      名前

      ingress-rule-for-local-traffic

      ターゲット

      指定されたターゲットタグ

      ターゲットタグ

      zilliz-byoc

      送信元 IPv4 範囲

      10.7.0.0/18(または、このセクションの手順5を参照して計画されたものを使用してください。)

      プロトコルおよびポート

      すべて許可

ステップ5: (オプション) PSC エンドポイントを作成

VPC と Zilliz Cloud の間の通信をインターネットから外すために、PSC エンドポイントを追加します。

PSC エンドポイントを作成する手順は以下のとおりです:

  1. GCP コンソールで、ネットワークサービス を検索してクリックします。

  2. 左側のナビゲーションペインから Private Service Connect を選択します。

  3. エンドポイントに接続 をクリックします。

  4. ターゲット公開サービス を選択します。

  5. Zilliz Cloud が提供するサービスアタッチメント ID を ターゲットの詳細 に入力します。

    以下の表は、各利用可能なクラウドリージョンに固有のサービスアタッチメント ID を示しています。

    リージョン

    サービスアタッチメント ID

    us-west1

    projects/vdc-prod/regions/us-west1/serviceAttachments/zilliz-byoc-psc-service

  6. エンドポイントサービスの名前を設定します。

  7. 前のステップで作成した VPC ネットワークとそのプライマリサブネットを選択します。

  8. エンドポイントに IP アドレスを割り当てます。

    表示されるダイアログボックスで、以下のようにします:

    1. IP アドレスを作成 をクリックします。

    2. IP アドレスの名前を設定します。

    3. 静的 IP アドレス自動的に割り当て を選択します。

    4. 予約 を作成します。

  9. エンドポイントを追加 をクリックします。