1. Home
  2. Cloud
  3. ネットワークの管理

重要

このページの日本語コンテンツは古くなっている可能性があります。最新の英語版コンテンツをご覧になるには、こちらをクリックしてください。

ネットワークの概要

Confluent Cloud は、パブリックインターネット接続ソリューションとプライベートネットワークソリューションをサポートしています。Confluent Cloud 専用クラスターには、セキュアインターネットエンドポイント、Private Link 接続、VPC/VNet ピアリング、または AWS Transit Gateway を介してアクセスできます。すべてのベーシッククラスターとスタンダードクラスターには、セキュアインターネットエンドポイントを介してアクセスできます。ネットワーク構成にかかわらず、Confluent Cloud へのすべての接続は TLS で暗号化され、API キーを使用した認証が必要になります。

VPC/VNet ピアリング、Private Link、または AWS Transit Gateway を使用することにはトレードオフがあります。クラスターにパブリックインターネットからアクセスすることができません。これによって、潜在的なセキュリティの脅威の一部が排除されますが、一方で、すべてのクライアントアプリケーションと開発者が必要とする Confluent Cloud へのアクセス権を確保できるように、ピアリングまたはリンクされたネットワークを管理することが必要になります。

  • VPC/VNet ピアリングを使用する場合、クラスターにインターネットエンドポイントは作成されません。ピアリングされた VPC からのみクラスターにアクセスできます。
  • プライベートネットワーク(VPC ピアリング、VNet ピアリング、またはプライベートリンク)を使用する場合は、オンプレミスデータセンターから Confluent Cloud に直接接続することはできません。これを行うには、まず、ユーザー所有の共有サービス VPC または VNet にルーティングし、それを VPC/VNet ピアリング(プロキシを指定)またはプライベートリンクを使用して Confluent Cloud に接続する必要があります。Confluent Cloud でのこの構成については、Confluent の販売担当者にお問い合わせください。
  • Private Link を使用する場合、クラスターにインターネットエンドポイントは作成されません。Confluent Cloud に登録したアカウントのプライベートエンドポイントからのみクラスターにアクセスできます。
  • AWS Transit Gateway を使用する場合、クラスターにインターネットエンドポイントは作成されません。リンクされた AWS Transit Gateway ネットワークからのみクラスターにアクセスできます。
  • VPC ピアリング、AWS PrivateLink、または AWS Transit Gateway をクラスターにプロビジョニングした後に、インターネットエンドポイントを使用するようにクラスターをアップデートすることはできません。
  • セキュアインターネットエンドポイントをクラスターにプロビジョニングした後に、VPC/VNet ピアリング、Private Link、または AWS Transit Gateway を使用するようにクラスターを変更することはできません。
  • セキュアインターネットエンドポイントの IP アドレスは静的ではありません

インターネットエンドポイントを装備した Confluent Cloud クラスターは、DoS 攻撃、DDoS 攻撃、SYN フラッド攻撃などのネットワークレベルの攻撃を防ぐプロキシレイヤーによって保護されます。VPC ピアリング、AWS PrivateLink、または AWS Transit Gateway を使用する Confluent Cloud クラスターには、パブリックインターネットからアクセスできません。

Confluent Cloud では、あらゆるクラスター構成へのあらゆる接続に TLS 1.2 を使用することを保証しているので、転送中のトラフィックは暗号化されます。Confluent Cloud Kafka クラスターまたは他のサービスへのアクセスは、有効な API キーとシークレットを持つクライアントに制限されます。TLS 以外のプロトコルも、認証を行わない接続も許可されません。Confluent Cloud の保護に関する詳細については、『Confluent Cloud Security Controls』ホワイトペーパーを参照してください。

ちなみに

Confluent Cloud のネットワーキングの詳細については、こちらのポッドキャスト をお聞きください。クラウドネットワーキングと VPC ピアリングについて詳しく説明しています。

サポートされているパブリックネットワークソリューション

Confluent Cloud は、パブリックインターネットを介して組織間で共有できる "Data in Motion"(動き続けるデータ)サービスを提供します。Confluent Cloud のサービスには、ベーシック、スタンダード、専用など、あらゆる クラスタータイプ を対象としたパブリックインターネット接続が含まれます。

AWS のパブリック接続のみを使用する Confluent Cloud 専用クラスターの場合、静的なエグレス IP アドレスを使用して外部のリソース(マネージド型コネクターのデータソースやシンクなど)とパブリックインターネット経由で通信できます。詳細については、「静的なエグレス IP アドレスの使用」を参照してください。

サポートされているプライベートネットワークソリューション

Confluent Cloud には、プライベートネットワーク上で組織とプライベートに共有され、セキュリティとプライバシーを目的としたカスタマイズと制御を追加で提供する "Data in Motion"(動き続けるデータ)サービスのサポートが含まれています。Confluent Cloud のプライベートネットワークは Confluent Cloud ネットワークでサポートされていますが、対象となるのは 専用クラスター のみです。

Confluent Cloud ネットワークの概要

Confluent Cloud ネットワークは、ksqlDB クラスターやマネージド型コネクターなどのシングルテナントサービスとともに Confluent Cloud 専用クラスターをホストするシングルテナントのネットワーク環境を抽象化したものです。

Confluent Cloud ネットワークには、以下の機能があります。

  • 1 つ以上の専用クラスター。ただし、作成後にクラスターを別の Confluent Cloud ネットワークに移動することはできません。

  • プライベートネットワーク接続のサポート。AWS PrivateLink、Azure Private Link、VPC ピアリング、VNet ピアリング、または AWS Transit Gateway で Confluent Cloud ネットワークをプロビジョニングできます。

  • Confluent Cloud Console または Confluent Cloud Network REST API を使用してオンデマンドで作成または削除可能。

  • クラウド固有、リージョン指定、3 つのゾーンに分散。

  • Confluent Cloud ネットワークのゾーン選択を AWS および Google Cloud でサポート。

  • 独自の VPC または VNet に存在。つまり、すべての Confluent Cloud ネットワークに独自の VPC または VNet があり、同じ VPC または VNet にある Confluent Cloud ネットワークは 1 つだけです。

  • 1 つの Confluent Cloud 環境に属し、その環境内でのみクラスターとアプリケーションをホスト可能。環境間でネットワークを移動することはできません。

  • Confluent Cloud ネットワークのプロビジョニングには、NetworkAdmin、EnvironmentAdmin、OrganizationAdmin のいずれかの RBAC ロールが必要。

    注釈

    NetworkAdmin ロールと OrganizationAdmin ロールは組織内のすべての環境で Confluent Cloud ネットワークをプロビジョニングするためのアクセス権を付与しますが、EnvironmentAdmin ロールはこれらのネットワークを割り当てられた環境でのみプロビジョニングできます。

  • プライベートリンクの Confluent Cloud ネットワーク:

    • 複数の AWS アカウントまたは Azure サブスクリプションの登録と、登録済みのアカウントまたはサブスクリプションからの PL 接続リクエストの自動承認をサポートします。

  • VPC ピアリングまたは VNet ピアリングされた Confluent Cloud ネットワーク:

    • 複数のピアリング接続をプロビジョニングできます。
    • プライベート IP アドレス空間からの一意の /16 CIDR IP アドレス範囲を必要とします。この Confluent Cloud ネットワークで作成されたクラスターとサービスは、この範囲にある IP アドレスを使用します。

  • AWS Transit Gateway の Confluent Cloud ネットワーク:

    • RFC 1918 プライベートアドレス空間 からの一意の /16 CIDR IP アドレス範囲を必要とします。このネットワークで作成されたクラスターとサービスは、この範囲にある IP アドレスを使用します。
    • 1 つの Transit Gateway アタッチメントを手動でプロビジョニングできます。
    • Transit Gateway アタッチメントのプロビジョニングについては、Confluent サポート にお問い合わせください。

  • Confluent Cloud ネットワークの接続がプロビジョニングされた後で、そのネットワーク内のすべてのクラスターとサービスにアクセス可能。

次の表に、Confluent Cloud のサポート対象プライベートネットワークソリューションをクラウドサービスプロバイダー別にまとめています。各ソリューションの詳細については、リンクをクリックしてそれぞれのドキュメントを参照してください。

クラウドサービスプロバイダー サポート対象ネットワークソリューション
アマゾンウェブサービス(AWS) AWS VPC ピアリング
  AWS PrivateLink
  AWS Transit Gateway
Microsoft Azure Azure VNet ピアリング
  Azure Private Link
Google Cloud Google Cloud VPC ピアリング