プライベートLink (AWS) の設定
このガイドでは、Zilliz Cloud クラスターから異なる AWS VPC でホストされているサービスへプライベートリンクを設定する手順を示します。
この機能はDedicated クラスターでのみ利用可能です。
プライベートリンクはプロジェクトレベルで設定され、このプロジェクト下で同じクラウドプロバイダーおよびリージョンにデプロイされたすべてのクラスターに対して有効になります。
Zilliz Cloud では、プライベートエンドポイントの作成および利用に対する課金はありません。ただし、クラウドプロバイダーによっては、Zilliz Cloud へのアクセス用に作成した各エンドポイントに対して料金が発生する場合があります。
開始前の準備
以下の点を確認してください:
- サービスと Zilliz Cloud クラスターが異なるリージョンにあり、サービスが AWS プライベートLink を介してクラスターにアクセスする必要がある場合は、チケットを提出してください。当社が対応いたします。
プライベートエンドポイントの作成
Zilliz Cloud では、直感的な Web コンソールを使用してプライベートエンドポイントを追加できます。対象のプロジェクトに移動し、左側のナビゲーションでネットワーク > プライベートエンドポイントをクリックします。+ プライベートエンドポイントをクリックします。
ステップ 1: クラウドプロバイダーとリージョンの選択
AWS リージョンにデプロイされたクラスターのプライベートエンドポイントを作成するには、クラウドプロバイダードロップダウンリストからAWSを選択します。リージョンでは、プライベートにアクセスしたいクラスターが存在するリージョンを選択します。次へをクリックします。
利用可能なクラウドプロバイダーとリージョンの詳細については、クラウドプロバイダーとリージョン をご覧ください。
ステップ 2: エンドポイントの作成
このステップは、UI コンソール経由または CLI 経由のいずれかを使用して、クラウドプロバイダーのコンソール上で完了する必要があります。
-
UI コンソール経由
1UI コンソール経由タブに切り替え、サービス名をコピーします。
2AWS コンソールに移動し、右上隅でお使いのサービスが実行されているリージョンを選択します。次に、左側のナビゲーションでエンドポイントをクリックします。エンドポイントの作成をクリックします。
📘Notes常に、Zilliz Cloud クラスターへのアクセスが必要なサービスが配置されているリージョンを使用してください。
サービスが Zilliz Cloud クラスターをホストしているリージョンと同じリージョンで実行されている場合は、そのリージョンを使用してください。
サービスが Zilliz Cloud クラスターをホストしているリージョンとは異なるリージョンで実行されている場合は、サービスが実行されているリージョンを使用してください。
3エンドポイントの作成ページで、エンドポイントのタイプとしてNLB および GWLB を使用するエンドポイントサービスを選択します。
4AWS コンソールに切り替えます。サービス設定で、Zilliz Cloud Web コンソールからコピーしたサービス名をサービス名フィールドに貼り付けます。次に、サービスの確認をクリックします。
📘Notesサービスが Zilliz Cloud クラスターがホストされているリージョンとは異なるリージョンで動作している場合は、クロスリージョンエンドポイントを有効にするを選択し、Zilliz Cloud クラスターが実行されているリージョンを選択してから、サービスの確認をクリックしてください。
以下の図では、Zilliz Cloud クラスターがヨーロッパ (フランクフルト)で実行されており、サービスが別のリージョンで実行されていることを想定しています。
5サービス名の確認が完了したら、ネットワーク設定、サブネット、セキュリティグループを設定し、作成をクリックします。
6エンドポイントが正常に作成されたら、エンドポイント ID("vpce-" で始まる文字列)をコピーします。
-
CLI 経由
1CLI 経由タブに切り替えます。
2VPC IDを入力します。
VPC を表示するには、Amazon VPC コンソール に移動します。ナビゲーションペインでお客様の VPCを選択します。目的の VPC を見つけてその ID をコピーし、Zilliz Cloud のVPC IDに入力します。
VPC を作成する方法については、VPC の作成 をご覧ください。
3サブネット IDを入力します。
サブネットは VPC の細分化された単位です。作成するプライベートエンドポイントと同じリージョンに存在するサブネットが必要です。サブネットを表示するには、Amazon VPC コンソール に移動します。現在のリージョンをプライベートリンクの作成用に指定されたリージョンに変更します。ナビゲーションペインでサブネットを選択します。目的のサブネットを見つけてその ID をコピーし、Zilliz Cloud のサブネット IDに入力します。
サブネットを作成する方法については、VPC 内のサブネットの作成 をご覧ください。
4コードブロック内のコピーアイコンをクリックし、AWS コンソールに移動します。
上部のナビゲーションで AWS CloudShell を起動します。Zilliz Cloud からコピーした CLI コマンドを CloudShell で実行します。
返されるメッセージは以下のようになります:
{
"VpcEndpoint": {
# Copy this and fill it in "Your VPC Private Link ID"
"VpcEndpointId": "vpce-0ce90d01341533a5c",
"VpcEndpointType": "Interface",
...
"DnsEntries": [
{
# Copy this one and use it as "VPCE_DNS" in the next step.
"DnsName": "vpce-0ce90d01341533a5c-ngbqfdnj.vpce-svc-0b62964bfd0edfb74.us-west-2.vpce.amazonaws.com",
"HostedZoneId": "Z1YSA3EXCYUU9Z"
},
{
"DnsName": "vpce-0ce90d01341533a5c-ngbqfdnj-us-west-2a.vpce-svc-0b62964bfd0edfb74.us-west-2.vpce.amazonaws.com",
"HostedZoneId": "Z1YSA3EXCYUU9Z"
}
]
}返されたメッセージで、作成された VPC エンドポイントの VpcEndpointId("vpce-" で始まる)をコピーします。
ステップ 3: エンドポイントの承認
AWS コンソールで取得したエンドポイント ID を Zilliz Cloud のエンドポイントIDボックスに貼り付けます。Createをクリックします。
プライベートリンクの取得
送信した VPC エンドポイントを確認して承認すると、Zilliz Cloud はこのエンドポイント用にプライベートリンクを割り当てます。このプロセスには約 5 分かかります。
プライベートリンクの準備が整うと、Zilliz Cloud のプライベート Linkページで確認できます。
DNS レコードの設定
Zilliz Cloud によって割り当てられたプライベートリンク経由でクラスターにアクセスする前に、DNS ゾーンに CNAME レコードを作成して、プライベートリンクを VPC エンドポイントの DNS 名に解決する必要があります。
-
Amazon Route 53 を使用してホストゾーンを作成する
Amazon Route 53 は Web ベースの DNS サービスです。DNS レコードを追加できるように、ホスト DNS ゾーンを作成します。
1AWS アカウントにログインし、Hosted zones に移動します。
2Create hosted zoneをクリックします。
3ホストゾーン設定セクションで、以下のパラメータを設定します。
Parameter name
Parameter Description
Domain name
対象クラスター用に Zilliz Cloud によって割り当てられた プライベート Link。
Description
ホストゾーンを区別するために使用する説明。
Type
プライベート hosted zoneを選択します。
4ホストゾーンに関連付ける VPC のセクションで、ホストゾーンに関連付けるために VPC ID を追加します。
-
ホストゾーン内にエイリアスレコードを作成する
エイリアスレコードは、エイリアス名を真のまたは正規のドメイン名にマップする DNS レコードの一種です。エイリアスレコードを作成して、Zilliz Cloud によって割り当てられたプライベートリンクを VPC エンドポイントの DNS 名にマップします。その後、プライベートリンクを使用してクラスターにプライベートにアクセスできます。
1作成したホストゾーンで、Create recordをクリックします。
2Create recordページで、エイリアスをオンにし、以下のようにトラフィックのルーティング先を選択します。
-
最初のドロップダウンリストでエイリアス to VPC endpointを選択します。
-
2 番目のドロップダウンリストでクラウドリージョンを選択します。
-
上記で作成したエンドポイントの名前を入力します。
3Create recordsをクリックします。
-
クラスターへのインターネットアクセスの管理
プライベートエンドポイントを設定した後、プロジェクトへのインターネットアクセスを制限するためにクラスターのパブリックエンドポイントを無効化することを選択できます。パブリックエンドポイントを無効化すると、ユーザーはプライベートリンクのみを使用してクラスターに接続できるようになります。
パブリックエンドポイントを無効化するには:
対象クラスターのクラスターの詳細ページに移動します。
Connectセクションに移動します。
クラスターのパブリックエンドポイントの横にある設定アイコンをクリックします。
情報を読み、Disable Public EndpointダイアログボックスでDisableをクリックします。
プライベートエンドポイントはdata planeアクセスのみに影響します。Control planeは引き続きパブリックインターネット経由でアクセスできます。
パブリックエンドポイントを再度有効にした後、パブリックエンドポイントにアクセスできるようになるまで、ローカル DNS キャッシュの有効期限が切れるのを待つ必要がある場合があります。
よくある質問
AWS 上でプライベートリンクに接続する際に常にタイムアウトが報告されるのはなぜですか?
タイムアウトは通常、以下の理由で発生します。
-
プライベート DNS レコードが存在しない。
DNS レコードが存在する場合、以下のようにプライベートリンクを ping できます。
📘Notesping リクエストの出力で VPC エンドポイントの IP アドレスが正しく解決されていれば、DNS レコードは機能しています。
以下が表示される場合は、DNS レコードの設定を行う必要があります。
-
セキュリティグループルールが存在しない、または無効である。
AWS コンソールで、EC2 インスタンスから VPC エンドポイントへのトラフィックに対してセキュリティグループルールを適切に設定する必要があります。VPC 内の適切なセキュリティグループは、プライベートリンクに付加されたポート上で EC2 インスタンスからのインバウンドアクセスを許可する必要があります。
curlコマンドを使用してプライベートリンクの接続性をテストできます。正常な場合、400 レスポンスが返されます。
以下のスクリーンショットのように
curlコマンドがレスポンスなしでハングアップする場合は、VPC エンドポイントの作成のステップ 9 を参照して、適切なセキュリティグループルールを設定する必要があります。
📘Notes2 つのセキュリティグループを設定する必要があります。1 つは EC2 インスタンス用で、プライベートリンクに関連付けられたポートでのトラフィックを許可する必要があり、もう 1 つは VPC エンドポイント用で、EC2 インスタンスの IP アドレスからのトラフィックを許可し、指定されたポート番号を対象とする必要があります。
既存のクラスター用にプライベートエンドポイントを作成できますか?
はい。プライベートエンドポイントを作成すると、同じリージョンおよびプロジェクトに存在するすべての既存および将来の Dedicated (Enterprise) クラスターに効果が及びます。必要なことは、異なるクラスターごとに異なる DNS レコードを追加することだけです。