プライベートエンドポイント経由でTiDB Cloud Serverless に接続する

このドキュメントでは、プライベートエンドポイント経由でTiDB Cloud Serverless クラスターに接続する方法について説明します。

ヒント：
AWS のプライベートエンドポイント経由でTiDB Cloud Dedicated クラスタに接続する方法については、 AWS のプライベートエンドポイント経由でTiDB Cloud Dedicated に接続する参照してください。Google Cloud のプライベートエンドポイント経由でTiDB Cloud Dedicated クラスタに接続する方法については、プライベートサービス経由でTiDB Cloud Dedicatedに接続する Google Cloudに接続するを参照してください。

TiDB Cloud は、 AWS プライベートリンクを介して AWS VPC でホストされているTiDB Cloudサービスへの、非常に安全な一方向アクセスをサポートします。これは、サービスが自分の VPC 内にある場合と同じです。プライベートエンドポイントが VPC で公開され、アクセス許可を持つエンドポイントを介してTiDB Cloudサービスへの接続を作成できます。

AWS PrivateLink を利用することで、エンドポイント接続は安全かつプライベートになり、データがパブリックインターネットに公開されることはありません。さらに、エンドポイント接続は CIDR オーバーラップをサポートし、ネットワーク管理が容易になります。

プライベートエンドポイントのアーキテクチャは次のとおりです。

Private endpoint architecture

プライベートエンドポイントとエンドポイントサービスの詳細な定義については、次の AWS ドキュメントを参照してください。

制限

現在、 TiDB Cloud は、エンドポイントサービスが AWS でホストされている場合にのみ、 TiDB Cloud Serverless へのプライベートエンドポイント接続をサポートしています。サービスが Google Cloud でホストされている場合、プライベートエンドポイントは適用されません。
リージョン間のプライベートエンドポイント接続はサポートされていません。

AWSでプライベートエンドポイントを設定する

プライベートエンドポイント経由でTiDB Cloud Serverless クラスターに接続するには、次の手順に従います。

TiDBクラスタを選択する
AWSインターフェースエンドポイントを作成する
TiDBクラスターに接続する

ステップ1. TiDBクラスターを選択する

クラスターページで、ターゲットのTiDB Cloud Serverless クラスターの名前をクリックして、概要ページに移動します。
右上隅の「接続」をクリックします。接続ダイアログが表示されます。
[接続タイプ]ドロップダウンリストで、 [プライベートエンドポイント]を選択します。
サービス名、アベイラビリティーゾーン ID 、リージョンIDをメモします。
注記：
AWS リージョンごとにプライベートエンドポイントを 1 つ作成するだけで、同じリージョンにあるすべてのTiDB Cloud Serverless クラスターで共有できます。

ステップ2. AWSインターフェースエンドポイントを作成する

Use AWS Console
Use AWS CLI

AWS マネジメントコンソールを使用して VPC インターフェイスエンドポイントを作成するには、次の手順を実行します。

AWS マネジメントコンソールにサインインし、 https://console.aws.amazon.com/vpc/で Amazon VPC コンソールを開きます。
ナビゲーションペインで[エンドポイント] をクリックし、右上隅の[エンドポイントの作成] をクリックします。
エンドポイントの作成ページが表示されます。
その他のエンドポイントサービスを選択します。
ステップ1で確認したサービス名を入力します。
[サービスの確認]をクリックします。
ドロップダウンリストから VPC を選択します。 [追加設定]を展開し、 [DNS 名を有効にする]チェックボックスをオンにします。
[サブネット]領域で、TiDB クラスターが配置されている可用性ゾーンを選択し、サブネット ID を選択します。
Securityグループ領域でセキュリティグループを適切に選択します。
注記：
選択したセキュリティグループがポート 4000 上の EC2 インスタンスからの受信アクセスを許可していることを確認します。
[エンドポイントの作成]をクリックします。

AWS CLI を使用して VPC インターフェイスエンドポイントを作成するには、次の手順を実行します。

VPC IDとサブネット IDを取得するには、AWS マネジメントコンソールに移動し、関連するセクションでそれらを見つけますステップ1で確認したアベイラビリティーゾーン IDを必ず入力してください。
以下のコマンドをコピーし、関連する引数を取得した情報に置き換えて、ターミナルで実行します。

aws ec2 create-vpc-endpoint --vpc-id ${your_vpc_id} --region ${region_id} --service-name ${service_name} --vpc-endpoint-type Interface --subnet-ids ${your_subnet_id}

ヒント：
コマンドを実行する前に、AWS CLI をインストールして設定しておく必要があります。詳細についてはAWS CLI 設定の基本を参照してください。

その後、プライベート DNS 名を使用してエンドポイントサービスに接続できます。

ステップ3: TiDBクラスターに接続する

インターフェイスエンドポイントを作成したら、 TiDB Cloudコンソールに戻り、次の手順を実行します。

クラスターページで、ターゲットクラスターの名前をクリックして、概要ページに移動します。
右上隅の「接続」をクリックします。接続ダイアログが表示されます。
[接続タイプ]ドロップダウンリストで、 [プライベートエンドポイント]を選択します。
[接続方法]ドロップダウンリストで、希望する接続方法を選択します。対応する接続文字列がダイアログの下部に表示されます。
接続文字列を使用してクラスターに接続します。

ヒント：
クラスターに接続できない場合は、AWS の VPC エンドポイントのセキュリティグループが適切に設定されていないことが原因である可能性があります。解決策についてはこのFAQ参照してください。
VPC エンドポイントを作成するときにエラーprivate-dns-enabled cannot be set because there is already a conflicting DNS domain for gatewayXX-privatelink.XX.prod.aws.tidbcloud.com in the VPC vpc-XXXXX発生した場合は、プライベートエンドポイントがすでに作成されているため、新しいエンドポイントを作成する必要はありません。

トラブルシューティング

プライベート DNS を有効にした後、プライベートエンドポイント経由で TiDB クラスターに接続できません。なぜでしょうか?

AWS マネジメントコンソールで、VPC エンドポイントのセキュリティグループを適切に設定する必要がある場合があります。 [VPC] > [エンドポイント] に移動します。VPC エンドポイントを右クリックし、適切な[セキュリティグループの管理]を選択します。ポート 4000 または顧客定義のポートで EC2 インスタンスからのインバウンドアクセスを許可する、VPC 内の適切なセキュリティグループ。

Manage security groups

プライベート DNS を有効にできません。enableDnsSupport および`enableDnsSupport` VPC 属性が有効になっていないことを示すエラー`enableDnsHostnames`報告されます。

VPC 設定で DNS ホスト名と DNS 解決の両方が有効になっていることを確認してください。AWS マネジメントコンソールで VPC を作成すると、これらはデフォルトで無効になります。