AWS PrivateLink経由でTiDB Cloud StarterまたはEssentialに接続します。
このドキュメントでは、AWS PrivateLink を介してTiDB Cloud StarterまたはTiDB Cloud Essentialインスタンスに接続する方法について説明します。
ヒント:
- AWS のプライベート エンドポイント経由でTiDB Cloud Dedicatedクラスターに接続する方法については、 AWS PrivateLink を介してTiDB Cloud Dedicatedクラスタに接続しますを参照してください。
- Azure のプライベート エンドポイントを介してTiDB Cloud Dedicatedクラスターに接続する方法については、 Azureプライベートリンクを介してTiDB Cloud Dedicatedクラスタに接続するD dedicated クラスターに接続する」を参照してください。
- Google Cloud のプライベート エンドポイント経由でTiDB Cloud Dedicatedクラスターに接続する方法については、 Google Cloud Private Service Connect を介してTiDB Cloud Dedicatedクラスタに接続します参照してください。
TiDB Cloudは、 AWS VPC内でホストされているTiDB CloudサービスへのAWSプライベートリンクを介した高度に安全な一方向アクセスをサポートしています。まるでサービスがお客様自身のVPC内にあるかのように動作します。お客様のVPC内にプライベートエンドポイントが公開され、権限があればそのエンドポイントを介してTiDB Cloudサービスへの接続を作成できます。
AWS PrivateLink を利用したエンドポイント接続は、安全かつプライベートであり、お客様のデータをパブリックインターネットに公開することはありません。さらに、エンドポイント接続は CIDR オーバーラップをサポートしており、ネットワーク管理が容易です。
プライベートエンドポイントのアーキテクチャは以下のとおりです。
プライベートエンドポイントおよびエンドポイントサービスのより詳細な定義については、以下のAWSドキュメントを参照してください。
制限
- 現在、 TiDB CloudはエンドポイントサービスがAWSでホストされている場合にのみAWS PrivateLink接続をサポートしています。サービスが他のクラウドプロバイダーでホストされている場合、AWS PrivateLink接続は利用できません。
- リージョンをまたいだプライベートエンドポイント接続はサポートされていません。
前提条件
AWS VPC 設定で DNS ホスト名と DNS 解決の両方が有効になっていることを確認してください。 AWS マネジメントコンソールで VPC を作成すると、デフォルトでは無効になります。
エンドポイントモデルを選択する
TiDB Cloudプランに応じて、適切なプライベートエンドポイントモデルを選択してください。
- TiDB Cloud Starter インスタンス、または2026年7月1日より前に作成された TiDB Cloud Essential インスタンスの場合は、エンドポイント共有モデル を使用します。このモデルでは、同じAWSリージョンおよびVPC内の複数の TiDB Cloud Starter または TiDB Cloud Essential インスタンスで、1つのプライベートエンドポイントを共有できます。
- 2026年7月1日以降に作成された TiDB Cloud Essential インスタンスの場合は、エンドポイント占有モデル を使用します。このモデルでは、各 TiDB Cloud Essential インスタンスが専用のスタンドアロンプライベートエンドポイントを使用します。このモデルでは接続時に アカウントプレフィックス を含める必要がありませんが、各 TiDB Cloud Essential インスタンスごとに設定手順を繰り返す必要があります。
AWSでプライベートエンドポイントを設定する(エンドポイント共有モデル)
共有モデルを使用して TiDB Cloud Starter または TiDB Cloud Essential インスタンスにプライベートエンドポイント経由で接続するには、以下の手順に従ってください。
- TiDB Cloud Starter または Essential インスタンスを選択する
- AWSインターフェースエンドポイントを作成する
- TiDB Cloudでプライベートエンドポイントを認証する(オプション)
- TiDB Cloud Starter または Essential インスタンスに接続する
ステップ1. TiDB Cloud StarterまたはEssentialインスタンスを選択します {#step-1-choose-a-tidb-instance}
私のTiDBページで、対象のTiDB Cloud StarterまたはTiDB Cloud Essentialインスタンスの名前をクリックすると、その概要ページに移動します。
右上隅の「接続」をクリックしてください。接続ダイアログが表示されます。
「接続タイプ」ドロップダウンリストで、 「プライベートエンドポイント」を選択します。
サービス名、アベイラビリティゾーンID 、リージョンIDをメモしておいてください。
注記:
AWSリージョン内の各VPCにつき、作成する必要があるプライベートエンドポイントは1つだけです。このエンドポイントは、同じAWSリージョン内の同じVPCにあるすべてのTiDB Cloud StarterまたはTiDB Cloud Essentialインスタンスで使用できますが、VPC間で共有することはできません。
ステップ2. AWSインターフェースエンドポイントを作成する
AWS マネジメントコンソールを使用して VPC インターフェイス エンドポイントを作成するには、次の手順を実行します。
AWS マネジメントコンソールコンソールにサインインし、 https://console.aws.amazon.com/vpc/で Amazon VPC コンソールを開きます。
ナビゲーションペインの「エンドポイント」をクリックし、右上隅の「エンドポイントの作成」をクリックします。
エンドポイント作成ページが表示されます。
NLBとGWLBを使用するエンドポイントサービスを選択します。
ステップ1で見つけたサービス名を入力します。
「サービスを確認する」をクリックしてください。
ドロップダウンリストからVPCを選択します。 「追加設定」を展開し、 「DNS名を有効にする」チェックボックスをオンにします。
サブネット領域で、 TiDB Cloud StarterまたはEssentialインスタンスが配置されているアベイラビリティゾーンを選択し、サブネットIDを選択します。
セキュリティグループ領域で、適切なセキュリティグループを選択してください。
注記:
選択したセキュリティグループが、EC2インスタンスからのポート4000への受信アクセスを許可していることを確認してください。
「エンドポイントの作成」をクリックします。
AWS CLI を使用して VPC インターフェイス エンドポイントを作成するには、次の手順を実行します。
- VPC IDとサブネットIDを取得するには、AWSマネジメントコンソールに移動し、該当するセクションでそれらを見つけてください。ステップ1で見つけたアベイラビリティゾーンIDを必ず入力してください。
- 以下のコマンドをコピーし、該当する引数をあなたが取得した情報に置き換えてから、ターミナルで実行してください。
aws ec2 create-vpc-endpoint --vpc-id ${your_vpc_id} --region ${region_id} --service-name ${service_name} --vpc-endpoint-type Interface --subnet-ids ${your_subnet_id}
ヒント:
コマンドを実行する前に、AWS CLI をインストールして設定する必要があります。詳細については、 AWS CLI設定の基本参照してください。
そうすれば、プライベートDNS名を使ってエンドポイントサービスに接続できます。
ステップ3.TiDB Cloudでプライベートエンドポイントを認証する(オプション)
注記:
この手順は任意です。特定のプライベートエンドポイント接続へのアクセスを制限する場合にのみ、承認済みネットワークを設定する必要があります。ルールが設定されていない場合、すべてのプライベートエンドポイント接続がデフォルトで許可されます。
AWSインターフェースエンドポイントを作成した後、対象のTiDB Cloud StarterまたはTiDB Cloud Essentialインスタンスに対して認証を行い、アクセスを制限できます。
私のTiDBページで、対象のTiDB Cloud StarterまたはTiDB Cloud Essentialインスタンスの名前をクリックすると、その概要ページに移動します。
左側のナビゲーションペインで、 [設定] > [ネットワーク]をクリックします。
プライベートエンドポイントのセクションまでスクロールダウンし、承認済みネットワークの表を探してください。
ファイアウォールルールを追加するには、 「ルールの追加」をクリックします。
エンドポイント サービス名:ステップ1から取得したサービス名を貼り付けます。
ファイアウォールルール名:この接続を識別するための名前を入力してください。
VPCエンドポイントID :AWSマネジメントコンソールから取得した22文字のVPCエンドポイントIDを貼り付けてください(
vpce-で始まります)。
ヒント:
- 「承認済みネットワーク」テーブルを空のままにした場合、デフォルトで全てのプライベートエンドポイント接続が許可されます。
- クラウドリージョンからのすべてのプライベートエンドポイント接続を許可するには(テストまたはオープンアクセスのため)、 [VPCエンドポイントID]フィールドにアスタリスク(
*)を1つ入力します。
「送信」をクリックしてください。
ステップ4. TiDB Cloud StarterまたはEssentialインスタンスに接続します {#step-4-connect-to-your-tidb}
インターフェースエンドポイントを作成したら、 TiDB Cloudコンソールに戻り、以下の手順を実行してください。
- 私のTiDBページで、対象のTiDB Cloud StarterまたはEssentialインスタンスの名前をクリックすると、その概要ページに移動します。
- 右上隅の「接続」をクリックしてください。接続ダイアログが表示されます。
- 「接続タイプ」ドロップダウンリストで、 「プライベートエンドポイント」を選択します。
- 「接続方法」ドロップダウンリストから、希望する接続方法を選択してください。対応する接続文字列がダイアログの下部に表示されます。
- 接続文字列を使用して、 TiDB Cloud StarterまたはEssentialインスタンスに接続します。
ヒント:
TiDB Cloud StarterまたはEssentialインスタンスに接続できない場合、AWSのVPCエンドポイントのセキュリティグループが正しく設定されていないことが原因である可能性があります。解決策については、このFAQご覧ください。
VPCエンドポイントを作成する際に、
private-dns-enabled cannot be set because there is already a conflicting DNS domain for gatewayXX-privatelink.XX.prod.aws.tidbcloud.com in the VPC vpc-XXXXXというエラーが発生した場合は、そのVPC内に既にプライベートエンドポイントが存在します。同じプライベートDNS名で別のエンドポイントを作成する必要はありません。
AWSでプライベートエンドポイントを設定する(エンドポイント占有モデル)
注記:
現在、エンドポイント占有モデルは、一部のAWSリージョンにおいて、2026年7月1日以降に作成された TiDB Cloud Essential インスタンスでのみ利用できます。お使いのインスタンスで利用できない場合は、代わりに エンドポイント共有モデル を使用できます。
エンドポイント占有モデルでは、各 TiDB Cloud Essential インスタンスが専用のスタンドアロンプライベートエンドポイントを使用します。このモデルでは接続時に アカウントプレフィックス を含める必要がありませんが、各 TiDB Cloud Essential インスタンスごとに設定手順を繰り返す必要があります。
占有モデルを使用して TiDB Cloud Essential インスタンスにプライベートエンドポイント経由で接続するには、次の手順を実行します。
- TiDB Cloud Essential インスタンスを選択する
- AWSインターフェースエンドポイントを作成する
- プライベートエンドポイント接続を作成する
- プライベートDNSを有効にする
- TiDB Cloud Essential インスタンスに接続する
複数のインスタンスがある場合、AWS PrivateLink を使用して接続する各インスタンスごとに、これらの手順を繰り返す必要があります。
ステップ1. TiDB Cloud Essential インスタンスを選択する
- TiDB Cloudコンソールの My TiDB ページで、対象の TiDB Cloud Essential インスタンスの名前をクリックして、その概要ページに移動します。
- 右上隅の Connect をクリックします。接続ダイアログが表示されます。
- Connection Type ドロップダウンリストで Private Endpoint を選択し、 Create Private Endpoint Connection をクリックします。
注記:
すでにプライベートエンドポイント接続を作成している場合、アクティブなエンドポイントが接続ダイアログに表示されます。追加のプライベートエンドポイント接続を作成するには、左側のナビゲーションペインで Settings > Networking をクリックして Networking ページに移動します。
ステップ2. AWSインターフェースエンドポイントを作成する
注記:
各 TiDB Cloud Essential インスタンスについて、対応するエンドポイントサービスはインスタンス作成後3〜4分で自動的に作成されます。
接続ダイアログに TiDB Private Link Service is ready メッセージが表示された場合、対応するエンドポイントサービスの準備ができています。エンドポイントを作成するために、以下の情報を指定できます。
接続ダイアログで How to Generate VPC Endpoint ID をクリックし、 Your VPC ID フィールドと Your Subnet IDs フィールドに入力します。これらのIDは AWS Management Console で確認できます。複数のサブネットがある場合は、IDをスペースで区切って入力します。
Generate Command をクリックして、次のエンドポイント作成コマンドを取得します。
aws ec2 create-vpc-endpoint --vpc-id ${your_vpc_id} --region ${your_region} --service-name ${your_endpoint_service_name} --vpc-endpoint-type Interface --subnet-ids ${your_application_subnet_ids}
その後、AWS CLI または AWS Management Console を使用してAWSインターフェースエンドポイントを作成できます。
AWS CLI を使用してVPCインターフェースエンドポイントを作成するには、次の手順を実行します。
- 生成されたコマンドをコピーし、ターミナルで実行します。
- 作成したVPCエンドポイントIDを記録します。
ヒント:
コマンドを実行する前に、AWS CLI をインストールして設定しておく必要があります。詳細は AWS CLI configuration basics を参照してください。
サービスが3つを超えるアベイラビリティゾーン(AZ)にまたがる場合、VPCエンドポイントサービスがサブネットのAZをサポートしていないことを示すエラーメッセージが表示されます。この問題は、選択したリージョンに、TiDB Cloud Essential インスタンスが配置されているAZに加えて余分なAZがある場合に発生します。この場合は、PingCAP Technical Support にお問い合わせください。
AWS Management Console を使用してVPCインターフェースエンドポイントを作成するには、次の手順を実行します。
AWS Management Console にサインインし、https://console.aws.amazon.com/vpc/ でAmazon VPCコンソールを開きます。
ナビゲーションペインで Endpoints をクリックし、右上隅の Create Endpoint をクリックします。
Create endpoint ページが表示されます。
Endpoint settings エリアで、必要に応じてネームタグを入力し、 Endpoint services that use NLBs and GWLBs オプションを選択します。
Service settings エリアで、生成されたコマンドの (
--service-name ${your_endpoint_service_name}) からサービス名${your_endpoint_service_name}を入力します。Verify service をクリックします。
Network settings エリアで、ドロップダウンリストからVPCを選択します。
Subnets エリアで、TiDB Cloud Essential インスタンスが配置されているアベイラビリティゾーンを選択します。
ヒント:
サービスが3つを超えるアベイラビリティゾーン(AZ)にまたがる場合、 Subnets エリアでAZを選択できないことがあります。この問題は、選択したリージョンに、TiDB Cloud Essential インスタンスが配置されているAZに加えて余分なAZがある場合に発生します。この場合は、PingCAP Technical Support にお問い合わせください。
Security groups エリアで、適切なセキュリティグループを選択します。
注記:
選択したセキュリティグループが、EC2インスタンスからポート
4000またはカスタマー定義ポートへのインバウンドアクセスを許可していることを確認してください。Create endpoint をクリックします。
ステップ3. プライベートエンドポイント接続を作成する
- TiDB Cloudコンソールに戻ります。
- Create AWS Private Endpoint Connection ページで、VPCエンドポイントIDを入力します。
- Create Private Endpoint Connection をクリックします。
ヒント:
対象の TiDB Cloud Essential インスタンスの Networking ページで、プライベートエンドポイント接続を表示および管理できます。このページにアクセスするには、左側のナビゲーションペインで Settings > Networking をクリックします。
ステップ4. プライベートDNSを有効にする
AWSでプライベートDNSを有効にします。AWS CLI または AWS Management Console のいずれかを使用できます。
AWS CLI を使用してプライベートDNSを有効にするには、 Create Private Endpoint Connection ページから次の aws ec2 modify-vpc-endpoint コマンドをコピーし、AWS CLI で実行します。
aws ec2 modify-vpc-endpoint --vpc-endpoint-id ${your_vpc_endpoint_id} --private-dns-enabled
または、インスタンスの Networking ページでこのコマンドを確認することもできます。プライベートエンドポイントを見つけて、 Action カラムの ... > Enable DNS をクリックします。
AWS Management Console でプライベートDNSを有効にするには、次の手順を実行します。
VPC > Endpoints に移動します。
エンドポイントIDを右クリックし、 Modify private DNS name を選択します。
Enable for this endpoint チェックボックスを選択します。
Save changes をクリックします。
ステップ5. TiDB Cloud Essential インスタンスに接続する
プライベートエンドポイント接続を承認すると、接続ダイアログにリダイレクトされます。
- プライベートエンドポイント接続のステータスが System Checking から Active に変わるまで待ちます(約5分)。
- Connect With ドロップダウンリストで、希望する接続方法を選択します。対応する接続文字列がダイアログの下部に表示されます。
- 接続文字列を使用してインスタンスに接続します。
ヒント:
インスタンスに接続できない場合、原因はAWS内のVPCエンドポイントのセキュリティグループが適切に設定されていないことかもしれません。解決策については this FAQ を参照してください。
トラブルシューティング
プライベートDNSを有効にした後、プライベートエンドポイント経由でTiDB Cloud StarterまたはEssentialインスタンスに接続できません。なぜでしょうか?
AWS マネジメント コンソールで、 VPC エンドポイントのセキュリティ グループを適切に設定する必要がある場合があります。VPC >エンドポイントに移動します。VPC エンドポイントを右クリックし、適切なセキュリティ グループの管理を選択します。VPC 内に、EC2 インスタンスからのポート 4000 またはお客様定義のポートへの受信アクセスを許可する適切なセキュリティ グループを設定します。



