https://docs.confluent.io/cloud/current/connectors/networking/aws-eap-rds.html
以下は、Confluent ドキュメント「Egress PrivateLink Endpoints Setup Guide: RDS on AWS for Confluent Cloud」の内容を日本語に和訳し、Markdown形式でまとめたものです。
このドキュメントは、Confluent Cloud のフルマネージドコネクタが AWS PrivateLink を使用して Amazon RDS にアクセスできるようにするための Egress PrivateLink エンドポイントの設定手順について説明しています。なお、RDS は動的 IP や複数 AZ にまたがる配置となることが多いため、本手順はテスト用途向けであり、本番環境では RDS Proxy の使用が推奨されています。(Confluent Documentation)
Confluent Cloud において、以下のいずれかの設定が必要です。(Confluent Documentation)
- Dedicated クラスター:Confluent Cloud ネットワークが設定され、接続タイプが PrivateLink Access であること。
- Enterprise クラスター:ネットワークゲートウェイがセットアップされていること。
- AWS 側で "Enforce inbound rules on PrivateLink traffic" の設定を無効にすること。(Confluent Documentation)
-
RDS インスタンスのエンドポイント、ポート、配置ゾーン(AZ)を AWS 管理コンソールのインスタンス画面で確認します。(Confluent Documentation)
-
アクセス可能なマシンから以下のコマンドでプライベート IP アドレスを取得します:
-
Windows:
nslookup <rds-endpoint>
-
Linux/MacOS:
dig <rds-endpoint>
-
AWS EC2 ダッシュボードの「Load Balancing → Target Groups」で以下を設定します:(Confluent Documentation)
- ターゲットタイプ:IP addresses
- プロトコル:TCP
- ポート:例)Postgres は 5432
- VPC:RDS が配置されているもの
- ヘルスチェック:TCP
- RDS のプライベート IP アドレスをターゲットとして登録
「Load Balancing → Load Balancers」で以下の設定に従って Network Load Balancer を作成します:(Confluent Documentation)
- スキーム:Internal
- IP タイプ:IPv4
- VPC、およびサブネットを指定
- セキュリティ設定で "Enforce inbound rules on PrivateLink traffic" を無効化
- リスナー設定(TCP + RDS ポート)とターゲットグループの紐付け
VPC コンソールの「Endpoint services」で以下の設定を行います:(Confluent Documentation)
- エンドポイントサービスタイプ:Network Load Balancer
- 作成した NLB を指定
- オプションとして「Acceptance required」を有効化
- サービス名(PrivateLink 用)をメモしておく
Confluent Cloud コンソールから Confluent の ARN を取得し、AWS コンソール内のエンドポイントサービスの「Allow principals」欄にその ARN を追加します。(Confluent Documentation)
Confluent Cloud のネットワーク管理ページで以下の手順を実行します:(Confluent Documentation)
- 該当ネットワーク(接続タイプが PrivateLink Access)を選択。
- [Egress connections] タブ → [Create endpoint] をクリック。
- サービス名として前ステップで取得したエンドポイントサービス名を指定。
- 名前や高可用性の設定を行い、エンドポイントを作成。
- ステータスが「Pending accept」となったら、AWS 側でリクエストを承認する必要があります。
AWS コンソールの「Endpoint connections」タブで対象エンドポイントを選択し、「Actions」 → 「Accept」してリクエストを承認します。ステータスは「Ready」に変わります。(Confluent Documentation)
エンドポイントが「Ready」になったら、Confluent Cloud の DNS タブから以下を設定可能です:(Confluent Documentation)
- アクセスポイント:作成した Egress PrivateLink Endpoint
- ドメイン:対象サービスの FQDN 例)
<service>.<region>.amazonaws.com - 保存後、DNS レコードが作成されます
- DNS レコードが Ready 状態になったらコネクタを作成可能。
- DNS レコードを使わない場合は、VPC エンドポイントの DNS 名をホスト名として指定します。(Confluent Documentation)
- ゾーンの不一致が原因の場合:NLB のクロスゾーン負荷分散を有効にすることで改善することがあります。(Confluent Documentation)
- "Enforce inbound rules on PrivateLink traffic" の設定が有効のままの場合:セキュリティ設定から該当オプションを無効化してください。(Confluent Documentation)
1. RDS インスタンスの詳細取得(エンドポイント、ポート、AZ、プライベート IP)
2. AWS でターゲットグループを作成(RDS の IP とポート)
3. Network Load Balancer(内部向け)を作成
4. VPC エンドポイントサービスを作成し、NLB を紐付け
5. Confluent の ARN を AWS エンドポイントサービスに許可
6. Confluent Cloud で Egress PrivateLink Endpoint を作成
7. AWS 側で接続リクエストを承認
8. (任意)DNS レコードを作成して FQDN 経由でアクセス設定
9. コネクタを構成・起動