Set up a プライベート Link (Azure)
このガイドでは、Zilliz Cloud クラスターから、異なる Microsoft Azure VPC でホストされているサービスへのプライベートリンクを設定する手順を示します。
この機能はDedicatedクラスターでのみ利用可能です。
プライベートリンクはプロジェクトレベルで設定され、このプロジェクト下の同じクラウドプロバイダーおよびリージョンにデプロイされたすべてのクラスターに対して有効になります。
Zilliz Cloud はプライベートリンクに対して課金しません。ただし、クラウドプロバイダーは Zilliz Cloud にアクセスするために作成する各エンドポイントに対して課金する場合があります。
開始前に
以下の条件が満たされていることを確認してください。
- このガイドで作成されるプライベートエンドポイントはグローバルにアクセス可能であることに注意してください。ターゲットの Zilliz Cloud クラスターとは異なるリージョンにあるサービスでも、クラスターに接続できます。
プライベートエンドポイントの作成
Zilliz Cloud は、プライベートエンドポイントを追加するための直感的な Web コンソールを提供しています。ターゲットプロジェクトに移動し、左側のナビゲーションでネットワーク > プライベートエンドポイントをクリックします。+ プライベートエンドポイントをクリックします。
ステップ 1: クラウドプロバイダーとリージョンの選択
Azure リージョンにデプロイされたクラスターのプライベートエンドポイントを作成するには、クラウドプロバイダードロップダウンリストからAzureを選択します。リージョンで、 privately アクセスしたいクラスターが存在するリージョンを選択します。次へをクリックします。
利用可能なクラウドプロバイダーとリージョンの詳細については、クラウドプロバイダーとリージョン を参照してください。
ステップ 2: エンドポイントサービスの確立
Microsoft Azure サブスクリプションページ からコピーしたサブスクリプション ID を入力します。以下に例を示します。
ステップ 3: エンドポイントの作成
このステップはクラウドプロバイダーのコンソールで完了する必要があります。
プライベート Link Center に移動し、+ 作成をクリックします。
作成するプライベートエンドポイントの基本情報を入力します。
次へ:リソース > をクリックし、リソース ID またはエイリアスによって Azure リソースに接続を選択します。次に、Zilliz Cloud コンソールからコピーしたものをリソース ID またはエイリアスに貼り付けます。
仮想ネットワークとサブネットで適切な値を選択し、このタブの他の設定はデフォルトのままにします。
レビュー + 作成タブに到達するまで次へをクリックします。検証に合格したら、作成をクリックしてプライベートエンドポイントを作成します。
デプロイが成功すると、以下のように表示されます。
リソースに移動をクリックし、作成されたプライベートエンドポイントの概要ページを表示します。
概要ページの右上隅にあるJSON ビューをクリックします。接続ステータスが保留中として表示されていることに注意してください。
リソース JSONパネルで、name と properties.resourceGuid の値をコピーします。エンドポイント ID は、これら 2 つの値をピリオド(.)で結合したものになります。
例えば、キー name の値が zilliz で、キー properties.resourceGuid の値が d73e9b55-7b9c-4f8d-8f0a-40e737f1ccbf の場合、プライベートエンドポイント ID は zilliz.d73e9b55-7b9c-4f8d-8f0a-40e737f1ccbf になります。
ステップ 4: エンドポイントの承認
Azure コンソールから取得したエンドポイント ID を、Zilliz Cloud のエンドポイント IDボックスに貼り付けます。作成をクリックします。
プライベートリンクの取得
送信した前述の属性を確認および承認した後、Zilliz Cloud はこのエンドポイント用にプライベートリンクを割り当てます。このプロセスには約 5 分かかります。
プライベートリンクの準備が整うと、Zilliz Cloud のプライベートリンクページで確認できます。
DNS の設定
Zilliz Cloud によって割り当てられたプライベートリンク経由でクラスターにアクセスする前に、DNS を設定する必要があります。
ステップ 1: Azure ポータルでプライベート DNS ゾーンの作成
作成されたプライベートエンドポイントの概要ページで、設定 > DNS 設定を選択し、プライベートエンドポイントと共に作成されたネットワークインターフェースのIP アドレスをコピーします。
上記のスクリーンショットの例の値は10.0.0.4です。
プライベート DNS ゾーンの作成 に移動し、+ 作成をクリックしてプロセスを開始します。
基本タブで、上記で使用したサブスクリプションとリソースグループを選択し、Zilliz Cloud コンソールからコピーしたプライベートリンク URI をインスタンスの詳細 > 名前に貼り付けます。次に、レビュー + 作成をクリックします。
検証に合格したら、作成をクリックしてプロセスを開始します。
デプロイが成功すると、以下のように表示されます。
リソースに移動をクリックし、作成されたプライベート DNS ゾーンの概要ページを表示します。
ステップ 2: プライベート DNS ゾーンを仮想ネットワークにリンクする
作成されたプライベート DNS ゾーンの概要ページで、左側のナビゲーションペインから設定 > DNS 管理を選択します。
+ 追加をクリックします。仮想ネットワークリンクの追加ダイアログボックスで、リンク名を入力し、上記で使用したサブスクリプションと仮想ネットワークを選択します。設定セクションで、自動登録を有効にするも選択します。
すべての設定が期待通りになったら、OKをクリックして続行します。デプロイが成功すると、作成された仮想ネットワークリンクのリンクステータスが完了に変更されます。
左側のナビゲーションペインで概要をクリックし、プライベート DNS ゾーンの概要ページに戻ります。
+ レコードセットをクリックします。レコードセットの追加ダイアログボックスで、名前にクラスター ID に -privatelink を付加した値を入力し、種類でA - アドレスレコードを選択し、TTLを10 分に設定します。一覧表示された IP アドレスがメモしたものであるか確認します。
OKをクリックしてレコードセットを保存します。
Azure ポータルの作成されたプライベートエンドポイントの概要ページに戻ると、プライベートエンドポイントの接続ステータスが保留中から承認済みに変わっていることがわかります。
これで、Azure 仮想ネットワーク内のリソースは Zilliz Cloud クラスターにプライベートにアクセスできるようになります。
クラスターへのインターネットアクセスの管理
プライベートエンドポイントを構成した後、プロジェクトへのインターネットアクセスを制限するために、クラスターのパブリックエンドポイントを無効化することを選択できます。パブリックエンドポイントを無効化すると、ユーザーはプライベートリンクを使用してのみクラスターに接続できるようになります。
パブリックエンドポイントを無効化するには:
ターゲットクラスターのクラスターの詳細ページに移動します。
接続セクションに移動します。
クラスターのパブリックエンドポイントの横にある設定アイコンをクリックします。
情報を読み、パブリックエンドポイントの無効化ダイアログボックスで無効化をクリックします。
プライベートエンドポイントはデータプレーンアクセスのみに影響します。コントロールプレーンは引き続きパブリックインターネット経由でアクセスできます。
パブリックエンドポイントを再度有効にした後、パブリックエンドポイントにアクセスできるようになるまで、ローカル DNS キャッシュの有効期限が切れるのを待つ必要がある場合があります。
よくある質問
既存のクラスター用にプライベートエンドポイントを作成できますか?
はい。プライベートエンドポイントを作成すると、同じリージョンおよびプロジェクトに存在するすべての既存および将来の Dedicated (Enterprise) クラスターに有効になります。必要なことは、異なるクラスターごとに異なる DNS レコードを追加することだけです。