Настройка частной сети BYOC в GCP
ClickHouse BYOC в GCP поддерживает два варианта частного подключения: VPC Peering и Private Service Connect. Трафик полностью остается в сети GCP и никогда не проходит через общедоступный интернет.
Предварительные требования
Общие шаги, необходимые и для VPC-пиринга, и для Private Service Connect.
Включение частного балансировщика нагрузки для ClickHouse BYOC
Обратитесь в службу поддержки ClickHouse, чтобы включить частный балансировщик нагрузки.
Настроить VPC-пиринг
Ознакомьтесь с возможностью VPC-пиринга в GCP и обратите внимание на ограничения VPC-пиринга (например, диапазоны IP-адресов подсетей не должны пересекаться в VPC-сетях, связанных пирингом). ClickHouse BYOC использует частный балансировщик нагрузки, чтобы обеспечить сетевую связность с сервисами ClickHouse через пиринг.
Чтобы создать или удалить VPC-пиринг для ClickHouse BYOC, выполните следующие шаги:
Эти шаги приведены для простого сценария. Для более сложных сценариев, таких как пиринг с локальной инфраструктурой, могут потребоваться дополнительные изменения.
Создать пиринговое подключение
В этом примере мы настраиваем пиринг между сетью BYOC VPC и другой существующей сетью VPC.
- Перейдите в раздел "VPC Network" в проекте Google Cloud для ClickHouse BYOC.
- Выберите "VPC network peering".
- Нажмите "Create connection".
- Заполните необходимые поля в соответствии с вашими требованиями. Ниже приведен снимок экрана создания пиринга в рамках одного проекта GCP.
Для работы GCP VPC-пиринга требуются 2 подключения между этими двумя сетями (то есть подключение от сети BYOC к существующей сети VPC и подключение от существующей сети VPC к сети BYOC). Поэтому аналогичным образом нужно создать еще 1 подключение в обратном направлении; ниже приведен снимок экрана создания второго пирингового подключения:
После создания обоих подключений их статус должен стать "Active" после обновления страницы Google Cloud Console:
Теперь сервис ClickHouse должен быть доступен из VPC, связанной пирингом.
Доступ к сервису ClickHouse через пиринговое подключение
Для частного доступа к ClickHouse подготавливаются частный балансировщик нагрузки и частная конечная точка для безопасного подключения из VPC пользователя, связанной пирингом. Формат частной конечной точки соответствует формату публичной конечной точки с суффиксом -private. Например:
- Публичная конечная точка:
h5ju65kv87.mhp0y4dmph.us-east1.gcp.byoc.clickhouse.cloud - Частная конечная точка:
h5ju65kv87-private.mhp0y4dmph.us-east1.gcp.byoc.clickhouse.cloud
Настроить PSC (Private Service Connect)
GCP PSC (Private Service Connect) обеспечивает безопасный частный доступ к вашим сервисам ClickHouse BYOC без необходимости использовать VPC-пиринг или интернет-шлюзы.
Запросите настройку сервиса PSC
Свяжитесь с службой поддержки ClickHouse, чтобы запросить настройку сервиса PSC для вашего развертывания BYOC. На этом этапе не требуется никакой дополнительной информации — просто укажите, что хотите настроить подключение через PSC.
Служба поддержки ClickHouse включит необходимые компоненты инфраструктуры, включая частный балансировщик нагрузки и сервис PSC.
Получите имя сервиса GCP PSC и DNS-имя
Служба поддержки ClickHouse предоставит вам имя сервиса PSC. Его также можно посмотреть в консоли ClickHouse Cloud: в разделе "Organization" -> "Infrastructure" нажмите на имя инфраструктуры, чтобы открыть сведения.
Имя сервиса PSC также можно найти в консоли GCP Private Service Connect в разделе "Published services" (отфильтруйте по имени сервиса или найдите сервисы ClickHouse).
Создайте конечную точку PSC в своей сети
После того как Служба поддержки ClickHouse включит сервис PSC со своей стороны, вам нужно создать конечную точку PSC в сети клиентского приложения, чтобы подключиться к сервису ClickHouse PSC.
- Создайте конечную точку PSC:
- Перейдите в консоль GCP -> Network Services → Private Service Connect → Connect Endpoint
- Выберите "Published service" в поле "Target" и введите имя сервиса PSC, полученное на предыдущем шаге, в поле "Target details"
- Введите допустимое имя конечной точки
- Выберите сеть и подсети (это сеть, из которой будет подключаться клиентское приложение)
- Выберите или создайте новый IP-адрес для конечной точки; он понадобится на шаге Задайте частное DNS-имя для конечной точки
- Нажмите "Add Endpoint" и подождите, пока конечная точка будет создана
- Статус конечной точки должен измениться на "Accepted"; если этого не произошло автоматически, свяжитесь со службой поддержки ClickHouse
- Получите PSC Connection ID:
- Откройте сведения о конечной точке и получите "PSC Connection ID", который будет использоваться на шаге Добавьте PSC Connection ID конечной точки в список разрешений сервиса
Задайте частное DNS-имя для конечной точки
Существует несколько способов настройки DNS. Настройте DNS в соответствии с вашим конкретным сценарием использования.
Вам нужно направить все поддомены (wildcard) из "DNS name", полученного на шаге Получите имя сервиса GCP PSC и DNS-имя, на IP-адрес конечной точки GCP PSC. Это гарантирует, что сервисы и компоненты в вашей VPC/сети смогут корректно разрешать это имя.
Добавьте PSC Connection ID конечной точки в список разрешений сервиса
После того как конечная точка PSC будет создана и ее статус станет "Accepted", вам нужно добавить PSC Connection ID этой конечной точки в список разрешений для каждого сервиса ClickHouse, к которому вы хотите получить доступ через PSC.
Свяжитесь со службой поддержки ClickHouse:
- Передайте PSC Connection ID конечной точки в службу поддержки ClickHouse
- Укажите, каким сервисам ClickHouse нужно разрешить доступ с этой конечной точки
- Служба поддержки ClickHouse добавит PSC Connection ID конечной точки в список разрешений сервиса
Подключитесь к ClickHouse через PSC
После того как Endpoint Connection IDs будут добавлены в список разрешений, вы сможете подключиться к сервису ClickHouse через конечную точку PSC.
Формат конечной точки PSC аналогичен публичной конечной точке, но включает поддомен p. Например:
- Публичная конечная точка:
h5ju65kv87.mhp0y4dmph.us-east1.gcp.clickhouse-byoc.com - Конечная точка PSC:
h5ju65kv87.p.mhp0y4dmph.us-east1.gcp.clickhouse-byoc.com
