为 Changefeed 设置私有端点
本文档介绍如何在你的 TiDB Cloud Dedicated 集群中创建 changefeed 的私有端点,使你能够通过私有连接安全地将数据流式传输到自托管的 Kafka 或 MySQL。
限制
在同一个 VPC 内,AWS 的每个 Private Endpoint Service、Google Cloud 的 Service Attachment 或 Azure 的 Private Link Service 最多可以有 5 个私有端点。如果超过此限制,请在创建新端点前移除未使用的私有端点。
前提条件
- 检查创建私有端点的权限
- 配置你的网络连接
权限
只有在你的组织中拥有以下任意角色的用户才能为 changefeed 创建私有端点:
Organization OwnerProject OwnerProject Data Access Read-Write
关于 TiDB Cloud 中的角色详情,请参见 用户角色。
网络
私有端点利用云服务商的 Private Link 或 Private Service Connect 技术,使你 VPC 中的资源能够通过私有 IP 地址连接到其他 VPC 的服务,就像这些服务直接托管在你的 VPC 内一样。
如果你的 changefeed 下游服务托管在 AWS 上,请收集以下信息:
- 下游服务的 Private Endpoint Service 名称
- 下游服务部署的可用区(AZs)
如果下游服务没有可用的 Private Endpoint Service,请按照 步骤 2. 将 Kafka 集群暴露为 Private Link Service 设置负载均衡器和 Private Link Service。
如果你的 changefeed 下游服务托管在 Google Cloud 上,请收集下游服务的 Service Attachment 信息。
如果下游服务没有可用的 Service Attachment,请按照 步骤 2. 将 Kafka-proxy 暴露为 Private Service Connect Service 获取 Service Attachment 信息。
如果你的 changefeed 下游服务托管在 Azure 上,请收集下游服务的 Private Link Service 别名。
如果下游服务没有可用的 Private Endpoint Service,请按照 步骤 2. 将 Kafka 集群暴露为 Private Link Service 设置负载均衡器和 Private Link Service。
步骤 1. 打开集群的 Networking 页面
登录 TiDB Cloud 控制台。
在 Clusters 页面,点击目标集群名称进入其概览页面。
在左侧导航栏,点击 Settings > Networking。
步骤 2. 配置 changefeed 的私有端点
根据你的集群部署的云服务商,配置步骤有所不同。
在 Networking 页面,点击 Create Private Endpoint,位于 AWS Private Endpoint for Changefeed 区域。
在 Create Private Endpoint for Changefeed 对话框中,输入私有端点的名称。
按照提示授权 TiDB Cloud 的 AWS Principal 创建端点。
输入你在 网络 部分收集的 Endpoint Service Name。
选择 Number of AZs。确保 AZ 数量和 AZ ID 与你的 Kafka 部署一致。
如果该私有端点用于 Apache Kafka,请启用 Advertised Listener for Kafka 选项。
使用 TiDB Managed 域名或 Custom 域名配置 Kafka 的 advertised listener。
- 若使用 TiDB Managed 域名作为 advertised listener,在 Domain Pattern 字段输入唯一字符串,然后点击 Generate。TiDB 会为每个可用区生成带有子域名的 broker 地址。
- 若使用你自己的 Custom 域名作为 advertised listener,将域名类型切换为 Custom,在 Custom Domain 字段输入根域名,点击 Check,然后为每个可用区指定 broker 子域名。
点击 Create 验证配置并创建私有端点。
在 Networking 页面,点击 Create Private Endpoint,位于 Google Cloud Private Endpoint for Changefeed 区域。
在 Create Private Endpoint for Changefeed 对话框中,输入私有端点的名称。
按照提示授权 TiDB Cloud 的 Google Cloud project 预先批准端点创建,或在收到端点连接请求时手动批准。
输入你在 网络 部分收集的 Service Attachment。
如果该私有端点用于 Apache Kafka,请启用 Advertised Listener for Kafka 选项。
使用 TiDB Managed 域名或 Custom 域名配置 Kafka 的 advertised listener。
- 若使用 TiDB Managed 域名作为 advertised listener,在 Domain Pattern 字段输入唯一字符串,然后点击 Generate。TiDB 会为每个可用区生成带有子域名的 broker 地址。
- 若使用你自己的 Custom 域名作为 advertised listener,将域名类型切换为 Custom,在 Custom Domain 字段输入根域名,点击 Check,然后为每个可用区指定 broker 子域名。
点击 Create 验证配置并创建私有端点。
在 Networking 页面,点击 Create Private Endpoint,位于 Azure Private Endpoint for Changefeed 区域。
在 Create Private Endpoint for Changefeed 对话框中,输入私有端点的名称。
按照提示授权 TiDB Cloud 的 Azure 订阅,或允许任何拥有你别名的人在创建 changefeed 前访问你的 Private Link 服务。关于 Private Link 服务可见性的更多信息,请参见 Azure 文档中的 Control service exposure。
输入你在 网络 部分收集的 Alias of Private Link Service。
如果该私有端点用于 Apache Kafka,请启用 Advertised Listener for Kafka 选项。
使用 TiDB Managed 域名或 Custom 域名配置 Kafka 的 advertised listener。
- 若使用 TiDB Managed 域名作为 advertised listener,在 Domain Pattern 字段输入唯一字符串,然后点击 Generate。TiDB 会为每个可用区生成带有子域名的 broker 地址。
- 若使用你自己的 Custom 域名作为 advertised listener,将域名类型切换为 Custom,在 Custom Domain 字段输入根域名,点击 Check,然后为每个可用区指定 broker 子域名。
点击 Create 验证配置并创建私有端点。