Перейти к основному содержимому
Перейти к основному содержимому

Настройка частной сети BYOC в AWS

ClickHouse BYOC в AWS поддерживает два варианта частного подключения: VPC Peering и AWS PrivateLink.

Предварительные требования

Общие шаги, необходимые как для VPC-пиринга, так и для PrivateLink.

Чтобы включить частный балансировщик нагрузки для ClickHouse BYOC

Обратитесь в ClickHouse Support, чтобы включить частный балансировщик нагрузки.

Настройка VPC-пиринга

Чтобы создать или удалить VPC-пиринг для ClickHouse BYOC, выполните следующие действия:

Создание пирингового соединения

  1. Перейдите в VPC Dashboard в аккаунте ClickHouse BYOC.
  2. Выберите Peering Connections.
  3. Нажмите Create Peering Connection.
  4. В поле VPC Requester укажите идентификатор VPC ClickHouse.
  5. В поле VPC Accepter укажите идентификатор целевой VPC. (При необходимости выберите другой аккаунт)
  6. Нажмите Create Peering Connection.
BYOC Создание пирингового соединения

Примите запрос на пиринговое соединение

Перейдите в аккаунт пиринга; на странице (VPC -> Peering connections -> Actions -> Accept request) клиент может одобрить этот запрос на VPC-пиринг.

BYOC Принятие пирингового соединения

Добавьте маршрут назначения в таблицы маршрутизации VPC ClickHouse

В аккаунте ClickHouse BYOC:

  1. Выберите Route Tables в VPC Dashboard.
  2. Найдите идентификатор VPC ClickHouse. Измените каждую таблицу маршрутизации, привязанную к частным подсетям.
  3. Нажмите кнопку Edit на вкладке Routes.
  4. Нажмите Add another route.
  5. Введите диапазон CIDR целевой VPC в поле Destination.
  6. Выберите “Peering Connection” и идентификатор пирингового соединения в поле Target.
BYOC Добавление таблицы маршрутизации

Добавьте маршрут назначения в таблицы маршрутизации целевой VPC

В аккаунте AWS, участвующем в пиринге:

  1. Выберите Route Tables в VPC Dashboard.
  2. Найдите идентификатор целевой VPC.
  3. Нажмите кнопку Edit на вкладке Routes.
  4. Нажмите Add another route.
  5. Введите диапазон CIDR VPC ClickHouse в поле Destination.
  6. Выберите “Peering Connection” и идентификатор пирингового соединения в поле Target.
BYOC Добавление таблицы маршрутизации

Измените группу безопасности, чтобы разрешить доступ из пиринговой VPC

В аккаунте ClickHouse BYOC необходимо обновить настройки группы безопасности, чтобы разрешить трафик из вашей пиринговой VPC. Обратитесь в ClickHouse Support, чтобы запросить добавление Inbound rules, включающих диапазоны CIDR вашей пиринговой VPC.

Теперь сервис ClickHouse должен быть доступен из пиринговой VPC.

Для частного доступа к ClickHouse подготавливаются частный балансировщик нагрузки и конечная точка для безопасного подключения из пиринговой VPC пользователя. Частная конечная точка соответствует формату публичной конечной точки, но с суффиксом -private. Например:

  • Публичная конечная точка: h5ju65kv87.mhp0y4dmph.us-west-2.aws.byoc.clickhouse.cloud
  • Частная конечная точка: h5ju65kv87-private.mhp0y4dmph.us-west-2.aws.byoc.clickhouse.cloud

При необходимости, после подтверждения, что пиринг работает, вы можете запросить удаление публичного балансировщика нагрузки для ClickHouse BYOC.

AWS PrivateLink обеспечивает безопасное частное подключение к вашим сервисам ClickHouse BYOC без необходимости настраивать VPC-пиринг или интернет-шлюзы. Трафик полностью проходит внутри сети AWS и никогда не выходит в публичный интернет.

Свяжитесь с ClickHouse Support, чтобы запросить настройку PrivateLink для вашего развертывания BYOC. На этом этапе никакая дополнительная информация не требуется — просто сообщите, что хотите настроить подключение через PrivateLink.

ClickHouse Support включит необходимые компоненты инфраструктуры, включая частный балансировщик нагрузки и сервисную конечную точку PrivateLink.

Создайте конечную точку в своей VPC

После того как ClickHouse Support включит PrivateLink со своей стороны, вам нужно создать конечную точку VPC в VPC клиентского приложения, чтобы подключиться к сервису ClickHouse PrivateLink.

  1. Получите имя сервиса конечной точки:
    • ClickHouse Support предоставит вам имя сервиса конечной точки
    • Вы также можете найти его в консоли AWS VPC в разделе "Endpoint Services" (отфильтруйте по имени сервиса или найдите сервисы ClickHouse)
Сервисная конечная точка BYOC PrivateLink
  1. Создайте конечную точку VPC:
    • Перейдите в консоль AWS VPC → Endpoints → Create Endpoint
    • Выберите "Find service by name" и введите имя сервиса конечной точки, предоставленное ClickHouse Support
    • Выберите свою VPC и укажите подсети (рекомендуется по одной на каждую зону доступности)
    • Важно: включите "Private DNS names" для конечной точки — это необходимо для корректной работы DNS-разрешения
    • Выберите или создайте группу безопасности для конечной точки
    • Нажмите "Create Endpoint"
Ссылки

Требования к DNS:

  • Включите "Private DNS names" при создании конечной точки VPC
  • Убедитесь, что в вашей VPC включены "DNS Hostnames" (VPC Settings → DNS resolution and DNS hostnames)

Эти настройки необходимы для корректной работы DNS PrivateLink.

  1. Подтвердите подключение конечной точки:
    • После создания конечной точки вам нужно подтвердить запрос на подключение
    • В консоли VPC перейдите в раздел "Endpoint Connections"
    • Найдите запрос на подключение от ClickHouse и нажмите "Accept", чтобы подтвердить его
Подтверждение BYOC PrivateLink

Добавьте ID конечной точки в список разрешений сервиса

После того как конечная точка VPC будет создана и подключение подтверждено, вам нужно добавить ID конечной точки в список разрешений для каждого сервиса ClickHouse, к которому вы хотите получать доступ через PrivateLink.

  1. Получите ID своей конечной точки:

    • В консоли AWS VPC перейдите в раздел Endpoints
    • Выберите только что созданную конечную точку
    • Скопируйте ID конечной точки (он будет выглядеть как vpce-xxxxxxxxxxxxxxxxx)

  2. Свяжитесь с ClickHouse Support:

    • Передайте ID конечных точек в ClickHouse Support
    • Укажите, какие сервисы ClickHouse должны разрешать доступ с этой конечной точки
    • ClickHouse Support добавит ID конечной точки в список разрешений сервиса

После того как ID конечной точки будет добавлен в список разрешений, вы сможете подключиться к своему сервису ClickHouse через конечную точку PrivateLink.

Формат конечной точки PrivateLink похож на формат публичной конечной точки, но включает поддомен vpce. Например:

  • Публичная конечная точка: h5ju65kv87.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com
  • Конечная точка PrivateLink: h5ju65kv87.vpce.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com

DNS-разрешение в вашей VPC будет автоматически направлять трафик через конечную точку PrivateLink, если используется формат с поддоменом vpce.

Доступ к сервисам ClickHouse через PrivateLink регулируется на двух уровнях:

  1. Политика авторизации Istio: политики авторизации ClickHouse Cloud на уровне сервиса
  2. Группа безопасности конечной точки VPC: группа безопасности, привязанная к вашей конечной точке VPC, определяет, какие ресурсы в вашей VPC могут использовать эту конечную точку
Примечание

У частного балансировщика нагрузки отключена функция "Enforce inbound rules on PrivateLink traffic", поэтому доступ регулируется только политиками авторизации Istio и группой безопасности вашей конечной точки VPC.

DNS PrivateLink для конечных точек BYOC (в формате *.vpce.{subdomain}) использует встроенную функцию AWS PrivateLink "Private DNS names". Записи Route53 не требуются — DNS-разрешение происходит автоматически, если:

  • На вашей конечной точке VPC включён параметр "Private DNS names"
  • В вашей VPC включён параметр "DNS Hostnames"

Это гарантирует, что подключения через поддомен vpce автоматически направляются через конечную точку PrivateLink без дополнительной настройки DNS.