https://docs.confluent.io/cloud/current/networking/aws-platt.html
以下は、Confluent の公式ドキュメント「Use AWS PrivateLink for Serverless Products on Confluent Cloud」に関する内容を、日本語に和訳し、Markdown形式で整理したものです。
Confluent Cloud は、Enterprise Kafka クラスターや Apache Flink® などのサーバーレス製品に対して、AWS PrivateLink を使ったプライベートな接続方式を提供しています。そのためには、Confluent Cloud 上で PrivateLink Attachment を作成し、以降のステップを進める必要があります。(docs.confluent.io)
-
PrivateLink Attachment(プライベートリンクアタッチメント) VPC から Confluent Cloud 環境のリージョナルサービスへ接続する予約を表すリソースです。Confluent Cloud のコンソールでは「ゲートウェイ」として表示されます。(docs.confluent.io)
-
PrivateLink Attachment Connection(プライベートリンクアタッチメント接続) VPC インターフェースエンドポイントの登録情報を表し、特定の PrivateLink Attachment に紐付けられます。こちらは「アクセスポイント」として表示されます。(docs.confluent.io)
構成は、Confluent Cloud UI、REST API、CLI、Terraform などで実施可能です。(docs.confluent.io)
- Confluent Cloud で PrivateLink Attachment を作成
- AWS で対象のサービスに対する VPC Interface Endpoint を作成(Confluent Cloud コンソールでは1と2が統合されることも)
- Confluent Cloud で PrivateLink Attachment Connection を作成
- DNS 解決の設定を行う(docs.confluent.io)
- 同じリージョンの複数の Confluent Cloud 環境に対し、1つの VPC/オンプレミスネットワークから接続は不可。
- Cross-region(リージョン間)の PrivateLink 接続は非対応。
- Confluent Cloud Console の「トピック管理」や「Flink ワークスペース」など、一部機能は追加設定が必要です。(docs.confluent.io)
-
Confluent Cloud コンソールでは「ゲートウェイ」として
- 環境選択 → [Network management] タブ → [For serverless products] → [+ Add gateway configuration]→ AWS、リージョン、ゲートウェイ名を指定して作成(docs.confluent.io)
-
ステータスは WAITING FOR CONNECTION → 接続完了後 READY に変わります(docs.confluent.io)
CLI や Terraform の例:
# CLI
confluent network private-link attachment create my-pl-attachment --cloud aws --region us-west-2resource "confluent_private_link_attachment" "main" {
cloud = "AWS"
region = "us-west-2"
display_name = "staging-platt"
environment { id = "env-xxxx" }
}-
AWS コンソールで VPC → 対象 VPC を開き、DNS 設定で「Enable DNS resolution」「Enable DNS hostnames」を有効に。
-
VPC → Endpoints → [Create endpoint]
- サービスカテゴリ:PrivateLink Ready partner services
- Service name:Confluent Cloud の Service ID を指定して検証
- Additional settings → 「Enable DNS name」はオフにする
- サブネットとセキュリティグループを指定(TCP 80/443/9092 受け入れ)(docs.confluent.io)
CLI コマンド例も紹介されています。(docs.confluent.io)
-
Confluent Cloud のコンソールで Gateway → [Access points] → [Create access point]
- AWS で作成した VPC Endpoint ID、アクセスポイント名を指定して作成(docs.confluent.io)
-
ステータスは PROVISIONING → エンドポイント受け入れ後に READY に(docs.confluent.io)
CLI や Terraform でも同様に設定可能です。(docs.confluent.io)
-
Confluent Cloud で PrivateLink Attachment Connection のステータスが READY であることを確認。
-
アタッチメントを開くと得られる DNS ドメイン名(例:
<region>.aws.private.confluent.cloud)を控える(docs.confluent.io) -
AWS Route 53 にて「Private Hosted Zone」を作り、以下を指定:
- Domain name:上記 DNS ドメイン
- Type:Private hosted zone
- VPC:VPC Endpoint 作成先の VPC(docs.confluent.io)
-
ホステッドゾーンに対し、次のような DNS レコードを追加:
-
Record Name:
*(ワイルドカード) -
Record Type:CNAME
-
Value:作成した VPC Endpoint の完全修飾 DNS 名
- 例:
vpce-xxxx.vpce-svc-yyyy.us-west-2.vpce.amazonaws.com - ブローカー名は動的なため、ハードコードしないよう注意(docs.confluent.io)
- 例:
-
- Kafka クライアントが
lkc-123.us-west-2.aws.private.confluent.cloudにアクセス - DNS はホステッドゾーンで解決され、VPC Endpoint(例:vpce-1)が返される
- vpce-1 → PrivateLink Attachment → クラスタへ接続される(docs.confluent.io)
- VPC1 → phz-1 → vpce-1
- VPC2 → phz-2 → vpce-2
- それぞれが別のアクセスパスを通じて同一環境へ接続(docs.confluent.io)
- オンプレミス DNS フォワーディングを使い、Route 53 のホステッドゾーンへ解決を委譲
- VPCエンドポイントを経由して Confluent Cloud へ接続(docs.confluent.io)
| ステップ | 内容 |
|---|---|
| 1 | Confluent Cloud にて PrivateLink Attachment(ゲートウェイ)を作成 |
| 2 | AWS に VPC Interface Endpoint を構築 |
| 3 | Confluent Cloud にて PrivateLink Attachment Connection(アクセスポイント)を登録 |
| 4 | Route 53 の Private Hosted Zone を作成し、ワイルドカード DNS レコードを追加 |