AWS PrivateLink経由でTiDB Cloud StarterまたはEssentialに接続します。

このドキュメントでは、AWS PrivateLink を介してTiDB Cloud StarterまたはTiDB Cloud Essentialクラスターに接続する方法について説明します。

ヒント：

• AWS のプライベート エンドポイントを介してTiDB Cloud Dedicatedクラスターに接続する方法については、 AWS PrivateLink を介してTiDB Cloud Dedicatedクラスタに接続します。参照してください。
• Azure のプライベート エンドポイントを介してTiDB Cloud Dedicatedクラスターに接続する方法については、 Azureプライベートリンクを介してTiDB Cloud Dedicatedクラスタに接続する参照してください。
• Google Cloud のプライベート エンドポイントを介してTiDB Cloud Dedicatedクラスターに接続する方法については、 Google Cloud Private Service Connect を介してTiDB Cloud Dedicatedクラスタに接続します。参照してください。

TiDB Cloud は、AWS VPC でホストされているTiDB CloudサービスへのAWSプライベートリンクに安全な一方向アクセスをサポートしており、まるでサービスがお客様自身の VPC 内にあるかのように動作します。プライベートエンドポイントがお客様の VPC 内に公開され、権限があればそのエンドポイントを介してTiDB Cloudサービスへの接続を作成できます。

AWS PrivateLink を利用したエンドポイント接続は、安全かつプライベートであり、お客様のデータをパブリックインターネットに公開することはありません。さらに、エンドポイント接続は CIDR オーバーラップをサポートしており、ネットワーク管理が容易です。

プライベートエンドポイントのアーキテクチャは以下のとおりです。

プライベートエンドポイントおよびエンドポイントサービスのより詳細な定義については、以下のAWSドキュメントを参照してください。

• AWS PrivateLinkとは何ですか？
• AWS PrivateLinkの概念

制限

• 現在、 TiDB CloudはエンドポイントサービスがAWSでホストされている場合にのみAWS PrivateLink接続をサポートしています。サービスが他のクラウドプロバイダーでホストされている場合、AWS PrivateLink接続は利用できません。
• リージョンをまたいだプライベートエンドポイント接続はサポートされていません。

前提条件

AWS VPC 設定で DNS ホスト名と DNS 解決の両方が有効になっていることを確認してください。これらは、 AWS マネジメントコンソールで VPC を作成するときにデフォルトで無効になっています。

AWSでプライベートエンドポイントを設定する

プライベートエンドポイント経由でTiDB Cloud StarterまたはTiDB Cloud Essentialクラスタに接続するには、以下の手順に従ってください。

1. TiDBクラスタを選択してください
2. AWSインターフェースエンドポイントを作成する
3. TiDB Cloudでプライベートエンドポイントを認証します。
4. TiDBクラスターに接続します

ステップ1. TiDBクラスタを選択する

1. クラスターページ目で、対象のTiDB Cloud StarterまたはTiDB Cloud Essentialクラスタの名前をクリックして、概要ページに移動します。

2. 右上隅の「接続」をクリックしてください。接続ダイアログが表示されます。

3. 「接続タイプ」ドロップダウンリストで、 「プライベートエンドポイント」を選択します。

4. サービス名、アベイラビリティゾーンID 、リージョンIDをメモしておいてください。

   注記：

   各AWSリージョンにつき、プライベートエンドポイントを1つ作成するだけで済みます。このエンドポイントは、同じリージョンにあるすべてのTiDB Cloud StarterまたはTiDB Cloud Essentialクラスターで共有できます。

ステップ2. AWSインターフェースエンドポイントを作成する

aws ec2 create-vpc-endpoint --vpc-id ${your_vpc_id} --region ${region_id} --service-name ${service_name} --vpc-endpoint-type Interface --subnet-ids ${your_subnet_id}

そうすれば、プライベートDNS名を使ってエンドポイントサービスに接続できます。

ステップ3. TiDB Cloudでプライベートエンドポイントを認証します

AWSインターフェースエンドポイントを作成したら、それをクラスターの許可リストに追加する必要があります。

1. クラスターページ目で、対象のTiDB Cloud StarterまたはTiDB Cloud Essentialクラスタの名前をクリックして、概要ページに移動します。

2. 左側のナビゲーションペインで、 [設定] > [ネットワーク]をクリックします。

3. プライベートエンドポイントのセクションまでスクロールダウンし、承認済みネットワークの表を探してください。

4. ファイアウォールルールを追加するには、 「ルールの追加」をクリックします。

   • エンドポイントサービス名： ステップ1で取得したサービス名を貼り付けてください。

   • ファイアウォールルール名：この接続を識別するための名前を入力してください。

   • VPCエンドポイントID ：AWSマネジメントコンソールから取得した22文字のVPCエンドポイントID（ vpce-で始まる）を貼り付けてください。

   ヒント：

   クラウドリージョンからのすべてのプライベートエンドポイント接続を許可するには（テストまたはオープンアクセスのため）、 [VPCエンドポイントID]フィールドにアスタリスク( * )を1つ入力します。

5. 「送信」をクリックしてください。

ステップ4. TiDBクラスターに接続します

インターフェースエンドポイントを作成したら、 TiDB Cloudコンソールに戻り、以下の手順を実行してください。

1. クラスターページ目で、対象クラスターの名前をクリックすると、その概要ページに移動します。
2. 右上隅の「接続」をクリックしてください。接続ダイアログが表示されます。
3. 「接続タイプ」ドロップダウンリストで、 「プライベートエンドポイント」を選択します。
4. 「接続方法」ドロップダウンリストから、希望する接続方法を選択してください。対応する接続​​文字列がダイアログの下部に表示されます。
5. 接続文字列を使用してクラスターに接続してください。

ヒント：

クラスターに接続できない場合は、AWS の VPC エンドポイントのセキュリティ グループが正しく設定されていないことが原因である可能性があります。解決策については、 このFAQ参照してください。

VPCエンドポイントを作成する際にエラーprivate-dns-enabled cannot be set because there is already a conflicting DNS domain for gatewayXX-privatelink.XX.prod.aws.tidbcloud.com in the VPC vpc-XXXXXが発生した場合は、既にプライベートエンドポイントが作成されているため、新しいエンドポイントを作成する必要がないことを意味します。

トラブルシューティング

プライベートDNSを有効にした後、プライベートエンドポイント経由でTiDBクラスタに接続できなくなりました。原因は何でしょうか？

AWS マネジメント コンソールで、 VPC エンドポイントのセキュリティ グループを適切に設定する必要がある場合があります。VPC >エンドポイントに移動します。VPC エンドポイントを右クリックし、適切なセキュリティ グループの管理を選択します。VPC 内に、EC2 インスタンスからのポート 4000 またはお客様定義のポートへの受信アクセスを許可する適切なセキュリティ グループを設定します。