Azure プライベート Link の設定
このガイドでは、Zilliz Cloud クラスターから、異なる Microsoft Azure VPC にホストされているサービスへのプライベートリンクの設定手順を説明します。
この機能は Dedicated クラスターでのみ利用可能です。
プライベートリンクはプロジェクトレベルで設定され、このプロジェクト内の同じクラウドプロバイダーおよびリージョンにデプロイされたすべてのクラスターに有効です。
Zilliz Cloud はプライベートリンクに対して料金を請求しません。ただし、クラウドプロバイダーは、Zilliz Cloud にアクセスするために作成した各エンドポイントに対して料金を請求する場合があります。
開始前の準備
以下の条件が満たされていることを確認してください。
- このガイドで作成するプライベートエンドポイントはグローバルにアクセス可能であることに注意してください。ターゲットの Zilliz Cloud クラスターとは異なるリージョンにあるサービスでも、クラスターに接続できます。
プライベートエンドポイントの作成
Zilliz Cloud では、直感的な Web コンソールでプライベートエンドポイントを追加できます。ターゲットのプロジェクトに移動し、左側のナビゲーションから ネットワーク > プライベートエンドポイント をクリックします。+ プライベートエンドポイント をクリックします。
ステップ 1: クラウドプロバイダーとリージョンの選択
Azure リージョンにデプロイされたクラスターのプライベートエンドポイントを作成するには、クラウドプロバイダー ドロップダウンリストから Azure を選択します。リージョン では、プライベートにアクセスしたいクラスターが配置されているリージョンを選択します。次へ をクリックします。
利用可能なクラウドプロバイダーとリージョンの詳細については、クラウドプロバイダーとリージョン を参照してください。
ステップ 2: エンドポイントサービスの確立
Microsoft Azure サブスクリプションページ からコピーしたサブスクリプション ID を入力します。以下は例です。
ステップ 3: エンドポイントの作成
このステップは、クラウドプロバイダーのコンソールで完了する必要があります。
プライベート Link Center に移動し、+ 作成 をクリックします。
作成するプライベートエンドポイントの基本情報を入力します。
次へ: リソース > をクリックし、リソースIDまたはエイリアスで Azure リソースに接続する を選択します。次に、Zilliz Cloud コンソールからコピーしたものを リソースIDまたはエイリアス に貼り付けます。
仮想ネットワーク と サブネット で適切な値を選択し、このタブの他の設定はデフォルトのままにします。
確認および作成 タブに到達するまで 次へ をクリックします。検証に合格したら、作成 をクリックしてプライベートエンドポイントを作成します。
デプロイが成功すると、以下が表示されます。
リソースに移動 をクリックし、作成したプライベートエンドポイントの概要ページを表示します。
概要 ページの右上隅にある JSONビュー をクリックします。接続ステータス が 保留中 と表示されていることに注意してください。
リソースJSON パネルで、name と properties.resourceGuid の値をコピーします。エンドポイントIDは、これら2つの値をピリオド(.)で結合したものです。
例えば、キー name の値が zilliz で、キー properties.resourceGuid の値が d73e9b55-7b9c-4f8d-8f0a-40e737f1ccbf の場合、プライベートエンドポイントIDは zilliz.d73e9b55-7b9c-4f8d-8f0a-40e737f1ccbf となります。
ステップ 4: エンドポイントの承認
Azure コンソールから取得したエンドポイントIDを、Zilliz Cloud の エンドポイントID ボックスに貼り付けます。作成 をクリックします。
プライベートリンクの取得
送信した属性を確認して承認後、Zilliz Cloud はこのエンドポイントにプライベートリンクを割り当てます。このプロセスには約5分かかります。
プライベートリンクの準備ができたら、Zilliz Cloud の プライベートリンク ページで確認できます。
DNS の設定
Zilliz Cloud が割り当てたプライベートリンク経由でクラスターにアクセスする前に、DNS の設定が必要です。
ステップ 1: Azure ポータルでプライベート DNS ゾーンを作成する
作成したプライベートエンドポイントの 概要 ページで、設定 > DNS設定 を選択し、プライベートエンドポイントと一緒に作成されたネットワークインターフェイスの IPアドレス をコピーします。
上記のスクリーンショットの例の値は 10.0.0.4 です。
プライベート DNS ゾーンの作成 に移動し、+ 作成 をクリックしてプロセスを開始します。
基本 タブで、上記で使用したサブスクリプションとリソースグループを選択し、インスタンスの詳細 > 名前 に Zilliz Cloud コンソールからコピーしたプライベートリンク URI を貼り付けます。次に 確認および作成 をクリックします。
検証に合格したら、作成 をクリックしてプロセスを開始します。
デプロイが成功すると、以下が表示されます。
リソースに移動 をクリックし、作成したプライベート DNS ゾーンの 概要 ページを表示します。
ステップ 2: プライベート DNS ゾーンを仮想ネットワークにリンクする
作成したプライベート DNS ゾーンの概要ページで、左側のナビゲーションペインから 設定 > DNS管理 を選択します。
+ 追加 をクリックします。仮想ネットワークリンクの追加 ダイアログボックスで、リンク名 を入力し、上記で使用した サブスクリプション と 仮想ネットワーク を選択します。設定 セクションでは、自動登録を有効にする も選択します。
すべてが期待どおりに設定されたら、OK をクリックして続行します。デプロイが成功すると、作成された仮想ネットワークリンクのリンクステータスが 完了 に変わります。
左側のナビゲーションペインで 概要 をクリックし、プライベート DNS ゾーンの 概要 ページに戻ります。
+ レコードセット をクリックします。レコードセットの追加 ダイアログボックスで、名前 にクラスターIDの末尾に -privatelink を付加したものを入力し、タイプ で A - アドレスレコード を選択し、TTL を 10 分 に設定します。表示されている IPアドレス がメモしたものであるか確認します。
OK をクリックしてレコードセットを保存します。
Azure ポータルの作成したプライベートエンドポイントの概要ページに戻ると、プライベートエンドポイントの 接続ステータス が 保留中 から 承認済み に変わっていることが確認できます。
これで、Azure 仮想ネットワーク内のリソースが Zilliz Cloud クラスターにプライベートにアクセスできるようになりました。
クラスターへのインターネットアクセスの管理
プライベートエンドポイントを設定した後、プロジェクトへのインターネットアクセスを制限するためにクラスターのパブリックエンドポイントを無効にすることを選択できます。パブリックエンドポイントを無効にすると、ユーザーはプライベートリンクを使用してのみクラスターに接続できます。
パブリックエンドポイントを無効にするには:
ターゲットクラスターの クラスターの詳細 ページに移動します。
接続 セクションに移動します。
クラスターのパブリックエンドポイントの横にある設定アイコンをクリックします。
情報を読み、パブリックエンドポイントの無効化 ダイアログボックスで 無効化 をクリックします。
プライベートエンドポイントはデータプレーンへのアクセスにのみ影響します。コントロールプレーンは引き続きパブリックインターネット経由でアクセスできます。
パブリックエンドポイントを再度有効にした後、パブリックエンドポイントにアクセスできるようになるまで、ローカルの DNS キャッシュが期限切れになるのを待つ必要がある場合があります。
よくある質問
既存のクラスターにプライベートエンドポイントを作成できますか?
はい。プライベートエンドポイントを作成すると、同じリージョンとプロジェクト内にあるすべての既存および将来の Dedicated (Enterprise) クラスターに有効になります。必要なのは、異なるクラスターに対して異なる DNS レコードを追加することだけです。