プライベート Service Connect (GCP) の設定
このガイドでは、異なる GCP VPC にホストされているサービスから Zilliz Cloud クラスターへのプライベートリンクを設定する手順を説明します。
この機能は Dedicated クラスターでのみ利用可能です。
プライベートリンクはプロジェクトレベルで設定され、このプロジェクト内の同じクラウドプロバイダーおよびリージョンにデプロイされたすべてのクラスターに有効です。
Zilliz Cloud はプライベートリンクに対して料金を請求しません。ただし、クラウドプロバイダーは、Zilliz Cloud にアクセスするために作成した各エンドポイントに対して料金を請求する可能性があります。
開始前に
以下の条件が満たされていることを確認してください:
- サービスと Zilliz Cloud クラスターが異なるリージョンにあり、サービスが プライベート Service Connect エンドポイントを介してクラスターにアクセスする必要がある場合は、エンドポイントの作成時にグローバルアクセスを有効にする必要があります。
プライベートエンドポイントの作成
Zilliz Cloud は、プライベートエンドポイントを追加するための直感的な Web コンソールを提供しています。対象のプロジェクトに移動し、左側のナビゲーションから ネットワーク > プライベートエンドポイント をクリックします。+ プライベートエンドポイント をクリックします。
クラウドプロバイダーとリージョンの選択
GCP リージョンにデプロイされたクラスターのプライベートエンドポイントを作成するには、クラウドプロバイダー ドロップダウンリストから GCP を選択します。リージョン では、プライベートにアクセスしたいクラスターが配置されているリージョンを選択します。次へ をクリックします。
利用可能なクラウドプロバイダーとリージョンの詳細については、クラウドプロバイダーとリージョン を参照してください。
エンドポイントの作成
エンドポイントは、Google Cloud Dashboard(UIコンソール経由)または gCloud CLI(CLI経由)のいずれかで作成できます。以下の手順に従う前に、すでに VPC を作成し、その VPC 内で Zilliz Cloud に接続する必要があるサービスを実行していることを確認してください。
UIコンソール経由
Zilliz Cloud コンソールで コピーして移動 をクリックして、GCP 上の プライベート Service Connect リストを開き、以下の手順に従ってエンドポイントを作成します:
開いた プライベート Service Connect ページで、+ エンドポイントに接続 をクリックします。
ターゲット では、公開済みサービス を選択します。
ターゲットサービス には、Zilliz Cloud コンソールからコピーしたものを貼り付けます。
エンドポイント名 には、エンドポイントに使用する名前を入力します。
エンドポイントの ネットワーク を選択します。Zilliz Cloud クラスターに接続する必要があるサービスは、指定された VPC 内で実行されている必要があります。
エンドポイントの サブネットワーク を選択します。
エンドポイントの IP アドレス を選択するか、新しいものを作成します。
サービスと対象の Zilliz Cloud クラスターが異なるリージョンにあり、サービスが プライベート Service Connect エンドポイントを介してクラスターにアクセスする必要がある場合は、エンドポイントの グローバルアクセスを有効にする を選択します。
ドロップダウンリストから 名前空間 を選択するか、新しい名前空間を作成します。
エンドポイントを追加 をクリックします。
エンドポイント名をコピーして、Zilliz Cloud コンソールに戻ります。
CLI経由
CLI経由 タブに切り替えます。
プロジェクトID を入力します。
Google Cloud プロジェクト ID を取得するには、
-
Google Cloud Dashboard を開きます。
-
必要なプロジェクトの ID を見つけてコピーします。
-
この ID を Zilliz Cloud の Google Cloud プロジェクトID に入力します。
VPC名 を入力します。
VPC エンドポイントを作成する前に、GCP コンソール上に VPC が必要です。VPC を表示するには、以下のように行います:
-
Google Cloud VPC Dashboard を開きます。
-
ナビゲーションペインで VPCネットワーク を選択します。
-
必要な VPC を見つけて、その名前をコピーします。
-
この名前を Zilliz Cloud の VPC名 に入力します。
VPC ネットワークの作成については、VPC ネットワークの作成と管理 を参照してください。
サブネット名 を入力します。
サブネットは VPC の細分化です。作成するプライベートリンクと同じリージョンに存在するサブネットが必要です。サブネットを表示するには、以下のように行います:
-
VPC ネットワークリスト を開きます。
-
ナビゲーションペインで VPCネットワーク を選択します。
-
必要な VPC の名前をクリックします。
-
必要なサブネットを見つけて、その名前をコピーします。
-
この名前を Zilliz Cloud の サブネット名 に入力します。
プライベート Service Connect エンドポイント プレフィックス を入力します。
利便性のため、プライベート Service Connect Endpoint prefix にエンドポイントプレフィックスを設定する必要があります。これにより、作成する転送ルールはすべてこのプレフィックスを持つようになります。
コードブロックのコピーアイコンをクリックし、Google Cloud Console に移動します。
上部のナビゲーションで Google Cloud Cloud Shell を起動します。Cloud Shell で、Zilliz Cloud からコピーした CLI コマンドを実行します。
エンドポイントが作成されたら、Google Cloud プライベート Service Connect ページ に移動し、作成したエンドポイントの名前をコピーします。
エンドポイントの承認
Google Cloud コンソールから取得したエンドポイント ID とプロジェクト ID を、Zilliz Cloud の エンドポイントID ボックスと プロジェクトID ボックスにそれぞれ貼り付けます。作成 をクリックします。
プライベートリンクの取得
送信した属性を確認して承認すると、Zilliz Cloud はこのエンドポイントにプライベートリンクを割り当てます。このプロセスには約 5 分かかります。
プライベートリンクの準備ができたら、Zilliz Cloud の プライベートリンク ページで確認できます。
ファイアウォールルールと DNS レコードの設定
Zilliz Cloud が割り当てたプライベートリンク経由でクラスターにアクセスする前に、DNS ゾーンに CNAME レコードを作成して、プライベートリンクを VPC エンドポイントの DNS名 に解決する必要があります。
ファイアウォールルールの作成
管理対象クラスターへのプライベートアクセスを許可するには、適切なファイアウォールルールを追加します。以下のスニペットは、TCP ポート 22 経由のトラフィックを許可する方法を示しています。VPC_NAME は VPC の名前に設定する必要があることに注意してください。
VPC_NAME={{vpc-name}};
gcloud compute firewall-rules create psclab-iap-consumer --network $VPC_NAME --allow tcp:22 --source-ranges=35.235.240.0/20 --enable-logging
Cloud DNS を使用してホストゾーンを作成する
GCP コンソールの Cloud DNS に移動し、DNS ゾーンを作成します。
ゾーンタイプ で プライベート を選択します。
ゾーン名 を zilliz-privatelink-zone または適切な値に設定します。
DNS名 をステップ 7 で取得したプライベートリンクに設定します。
有効な DNS 名は in01-xxxxxxxxxxxxxxx.gcp-us-west1.vectordb.zillizcloud.com のような形式です。
ネットワーク で適切な VPCネットワーク を選択します。
CREATE をクリックします。
ホストゾーンにレコードを作成する
上記で作成したゾーンで、RECORD SETS タブの ADD STANDARD をクリックします。
Create record set ページで、デフォルト設定で A レコードを作成します。
IPv4アドレス の SELECT IP ADDRESS をクリックし、エンドポイントの IPアドレス を選択します。
CREATE をクリックします。
クラスターへのインターネットアクセスを管理する
プライベートエンドポイントを設定した後、クラスターのパブリックエンドポイントを無効化してプロジェクトへのインターネットアクセスを制限することを選択できます。パブリックエンドポイントを無効化すると、ユーザーはプライベートリンクを使用してのみクラスターに接続できます。
パブリックエンドポイントを無効化するには:
対象クラスターの クラスターの詳細 ページに移動します。
接続 セクションに移動します。
クラスターのパブリックエンドポイントの横にある設定アイコン をクリックします。
情報を確認し、Disable Public Endpoint ダイアログボックスで Disable をクリックします。
プライベートエンドポイントは データプレーン アクセスにのみ影響します。コントロールプレーン は引き続きパブリックインターネット経由でアクセスできます。
パブリックエンドポイントを再度有効化した後、パブリックエンドポイントにアクセスできるようになるまで、ローカル DNS キャッシュの期限切れを待つ必要がある場合があります。
FAQ
GCP でプライベートリンクを ping すると、なぜ常に Name or service not known と報告されるのですか?
ファイアウォールルールと DNS レコードの設定 を参照して DNS 設定を確認してください。
-
設定が正しい場合、プライベートリンクを ping すると、次のように表示されます。
-
設定が正しくない場合、プライベートリンクを ping すると、次のように表示されることがあります。
既存のクラスターにプライベートエンドポイントを作成できますか?
はい。プライベートエンドポイントを作成すると、同じリージョンとプロジェクト内にあるすべての既存および将来の Dedicated (Enterprise) クラスターに適用されます。必要なのは、異なるクラスターに対して異なる DNS レコードを追加することだけです。