Azure の VNet ピアリングの使用¶

VNet ピアリング接続とは VNet と Confluent Cloud の間のネットワーク接続のことで、これによりプライベート IPv4 アドレスを使用してトラフィックを転送できます。複数の VNet がある場合、まるで同じネットワーク内にあるかのように互いに通信できます。

Azure との VNet ピアリングの詳細については、『仮想ネットワークピアリング』を参照してください。

前提条件¶

Azure に PEERING タイプの Confluent Cloud ネットワークがあること。ネットワークが存在しない場合、以下の手順に従ってください。

Azure での PEERING タイプのネットワークの作成¶

Azure VNet ピアリングで専用クラスターを作成するには、まず必要なクラウドおよびリージョンで Confluent Cloud ネットワークを作成する必要があります。

CIDR ブロックの選択の要件については、以下を確認してください。

CIDR ブロックは、RFC 1918 で説明されている以下のプライベートネットワークのいずれかに存在する必要があります。

10.0.0.0/8
100.64.0.0/10
172.16.0.0/12
192.168.0.0/16
198.18.0.0/15

以下の CIDR ブロックは使用できません。

10.100.0.0/16
10.253.0.0/16
10.254.0.0/16
10.255.0.0/16
172.17.0.0/16
172.20.0.0/16
172.30.0.0/16
172.31.0.0/16

CIDR ブロックを選択する際のその他の注意事項は以下のとおりです。

The RFC 6598 shared address space is supported on Azure.
/16 CIDR ブロックである必要があります。
Confluent Cloud ネットワークがプロビジョンされた後にこのブロックを変更することはできません。
既存の Confluent Cloud CIDR ブロックアドレスとの重複は許可されません。
既存の /16 CIDR ブロックに新しいクラスターを追加する場合は、Confluent サポートにお問い合わせください。

Confluent Cloud Console で、環境の Network management ページに移動します。
これが環境内の最初のネットワークである場合は Create your first network を、環境に既存のネットワークがある場合は + Add Network をクリックします。
クラウドサービスプロバイダーとして Microsoft Azure を選択し、必要に応じて地理的な場所を選択します。
Peering 接続タイプを選択し、CIDR block に情報を入力します。
Continue をクリックします。
Network Name を指定し、構成を確認して、Create Network をクリックします。

以下は、REST API リクエストの例です。

HTTP POST リクエスト

POST https://api.confluent.cloud/networking/v1/networks

認証

「認証」を参照してください。

リクエストの詳細の指定

クラウド、リージョン、環境、接続のタイプと、任意で Confluent Cloud ネットワークの表示名、CIDR、ゾーンをリクエストの詳細として指定します。以下の属性を実際の値でアップデートしてください。

{
  "spec": {
      "display_name": "My-NW1",
      "cloud": "AZURE",
      "region": "centralus",
      "connection_types": [
          "PEERING"
      ],
      "cidr": "10.0.0.0/16",
      "zones": [
          "1",
          "2",
          "3"
      ],
      "environment":{
         "id":"env-00000"
     }
  }
}

ほとんどの場合、Confluent Cloud ネットワークの作成にかかる時間は 15～20 分です。応答の Confluent Cloud ネットワーク ID をメモして、以降のコマンドで指定します。

Confluent Cloud ネットワークのプロビジョニングに成功したら、以下のいずれかの手順に従って Confluent Cloud ネットワークに専用クラスターを追加できます。

Confluent Cloud Console: Confluent Cloud でのクラスターの作成
クラスター管理 API: クラスターの作成

VNet ピアリング接続の作成¶

Confluent Cloud ネットワークの Confluent Cloud クラスターおよびサービスにアクセスするには、VNet から Confluent Cloud ネットワークに対するピアリング接続を作成する必要があります。

ここで説明する手順に従うと、Azure の Confluent Cloud クラスターへの VNet ネットワークピアリング接続を作成できます。複数の VNet ピアリング接続を作成できます。制限の詳細については、「Kafka クラスターのクォータ」を参照してください。

Confluent Cloud Console で Confluent Cloud ネットワークリソースに移動し、+ VNet Peering をクリックします。
Name、Azure Tenant ID、Azure Subscription ID、Azure VNet Resource Group Name、Azure VNet Name に情報を入力します。

Azure Tenant ID
Azure Active Directory 内の組織を表します。この値は、Azure ポータルの Azure Active Directory で確認できます。

Azure Subscription ID
Azure サブスクリプションの一意の識別子。これは、Azure ポータルにある |az| 仮想ネットワークの「概要」セクションで確認できます。

Azure VNet Resource Group Name
この仮想ネットワークが属す Azure リソースグループの ID。これは、Azure ポータルにある Azure 仮想ネットワークの "概要" で確認できます。

Azure VNet Name
Azure 仮想ネットワークの名前。これは、Azure ポータルにある |az| 仮想ネットワークの「概要」セクションで確認できます。
Add をクリックします。Confluent Cloud Console のピアリング接続ステータスが "Pending" から "Error" に変わります。次の手順で、Azure AD テナントへのアクセス権限を Confluent Cloud に付与する必要があります。

Azure AD テナントへのアクセス権限を付与します。

AD テナント ID（<tenant-id>）を使用して以下の URL に移動し、承認します。

https://login.microsoftonline.com/<tenant-id>/oauth2/authorize?client_id=f0955e3a-9013-4cf4-a1ea-21587621c9cc&response_type=code

サブスクリプション ID（<subscription-id>）を指定した次のコマンドを実行して、新規ロールを作成します。

ちなみに

複数のサブスクリプション ID がある場合は、AssignableScopes をアップデートする必要があります。

az role definition create --output none --role-definition "{
\"Name\": \"Confluent Cloud Peering Creator\",
\"Description\": \"Perform cross-tenant network peering.\",
\"Actions\": [
    \"Microsoft.Network/virtualNetworks/read\",
    \"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read\",
    \"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write\",
    \"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete\",
    \"Microsoft.Network/virtualNetworks/peer/action\"
],
\"AssignableScopes\": [
    \"/subscriptions/<subscription-id>/\",
]
}"

ロールをサービスプリンシパルに割り当てるために指定したサブスクリプション ID（<subscription-id>）、VNet リソースグループ名（<resource-group-name>）、および VNet 名（<vnet-name>）を指定して、以下のコマンドを実行します。

az role assignment create \
  --role "Confluent Cloud Peering Creator" \
  --assignee "$(az ad sp list --filter "appId eq 'f0955e3a-9013-4cf4-a1ea-21587621c9cc'"
  --output tsv --query '[0].objectId')"  \
  --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<vnet-name>"

Continue をクリックします。Confluent Cloud が Azure AD テナントにあることを確認するよう求められます。
Create connection をクリックしてピアリング接続の作成を終了します。

VNet ピアリング接続を作成するには、まず以下の手順を実行して Confluent Cloud に Azure AD テナントへのアクセス権を付与する必要があります。

AD テナント ID（<tenant-id>）を使用して以下の URL に移動し、承認します。

https://login.microsoftonline.com/<tenant-id>/oauth2/authorize?client_id=f0955e3a-9013-4cf4-a1ea-21587621c9cc&response_type=code

サブスクリプション ID（<subscription-id>）を指定した次のコマンドを実行して、新規ロールを作成します。

ちなみに

複数のサブスクリプション ID がある場合は、AssignableScopes をアップデートする必要があります。

az role definition create --output none --role-definition "{
\"Name\": \"Confluent Cloud Peering Creator\",
\"Description\": \"Perform cross-tenant network peering.\",
\"Actions\": [
    \"Microsoft.Network/virtualNetworks/read\",
    \"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read\",
    \"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write\",
    \"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete\",
    \"Microsoft.Network/virtualNetworks/peer/action\"
],
\"AssignableScopes\": [
    \"/subscriptions/<subscription-id>/\",
]
}"

ロールをサービスプリンシパルに割り当てるために指定したサブスクリプション ID（<subscription-id>）、VNet リソースグループ名（<resource-group-name>）、および VNet 名（<vnet-name>）を指定して、以下のコマンドを実行します。

az role assignment create \
  --role "Confluent Cloud Peering Creator" \
  --assignee "$(az ad sp list --filter "appId eq 'f0955e3a-9013-4cf4-a1ea-21587621c9cc'"
  --output tsv --query '[0].objectId')"  \
  --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<vnet-name>"

これで Azure AD テナントへのアクセス権を付与できたため、次の REST API の例のような HTTP リクエストを使用して VNet ピアリング接続を作成できます。

HTTP POST リクエスト

POST https://api.confluent.cloud/networking/v1/peerings

認証

「認証」を参照してください。

リクエストの詳細の指定

{
   "spec":{
      "cloud":{
         "kind":"AzurePeering",
         "tenant":"00000000-0000-0000-0000-000000000000",
         "vnet":"/subscriptions/6fabf0a4-e5f1-4fc2-b2d3-8bc114dafd32/resourceGroups/MyGroup/providers/Microsoft.Network/virtualNetworks/PeeringTest",
         "customer_region":"centralus"
      },
      "display_name":"MY-Peering-1",
      "environment":{
         "id":"env-00000"
      },
      "network":{
         "id":"n-000000"
      }
   }
}

完了すると、Confluent Cloud Console の VPC ピアリングのステータスの表示が "Active" になります。