Azure の VNet ピアリング¶

Important considerations before creating VNet peering connections:

Confluent Cloud とピアリングする VNet に関連付けられているテナント ID。
- テナント/ディレクトリ ID は、portal.azure.com で、Azure Active Directory の Properties から確認できます。
Confluent Cloud とピアリングする VNet の VNet ID。
- VNet リソース ID は、portal.azure.com の Virtual Networks -> Target VNet -> Properties で確認できます。
Confluent Cloud で使用する VNet CIDR ブロック。
- クラスターがプロビジョンされた後にこのブロックを変更することはできません。
- 既存の Confluent Cloud CIDR と重複していてはいけません。
- /16 CIDR ブロックである必要があります。
- 組織で使用されている範囲と重複していてはいけません。
- Azure では RFC 6598 の共有アドレス空間がサポートされています。
- Azure の場合、この CIDR ブロックは、以下のいずれかのプライベートネットワークにある必要があります。
  - 10.0.0.0/8
  - 100.64.0.0/10
  - 172.16.0.0/12
  - 192.168.0.0/16
  - 198.18.0.0/15
- Azure の場合、以下の CIDR ブロックが、上で挙げたサイズの大きい CIDR ブロックから拒否されます。
  - 10.100.0.0/16
  - 10.253.0.0/16
  - 10.254.0.0/16
  - 10.255.0.0/16
  - 172.17.0.0/16
  - 172.20.0.0/16
  - 172.30.0.0/16
  - 172.31.0.0/16

Confluent Cloud Console での構成時に、準備されているセットアップスクリプトを実行することで、VNet ネットワークへのピアリング接続が作成されます。

Azure との VNet ピアリングの詳細については、『仮想ネットワークピアリング』を参照してください。

Azure の Confluent Cloud への VNet ピアリング接続の作成¶

Follow this procedure to create a VNet network peering connection for a Confluent Cloud cluster on Azure. You can have multiple VNet peering connections. For information about limits, see Kafka cluster quotas.

前提条件: VNet ピアリング対応の専用 Kafka クラスターが Azure にあること。そのクラスターは、独自のネットワークにプロビジョンされており、Confluent Cloud 用の CIDR を提供する必要があります。専用クラスターの作成方法について詳しくは、「Confluent Cloud でのクラスターの作成」を参照してください。

Confluent Cloud Console で Cluster Settings ページに移動し、Networking タブ、Add Peering の順にクリックします。
Add Peerings ページで、作成するピアリング接続の Azure テナント ID、Azure サブスクリプション ID、Azure VNet リソースグループ名、Azure VNet 名 を入力し、Save をクリックします。Confluent Cloud Console のピアリング接続ステータスが "Pending" から "Error" に変わります。次の手順で、Azure AD テナントへのアクセス権限を Confluent Cloud に付与する必要があります。

Azure テナント ID
Azure Active Directory 内の組織を表します。これは、Azure ポータルの Azure Active Directory で確認できます。

Azure サブスクリプション ID
Azure 契約プランの一意の識別子。これは、Azure ポータルにある Azure 仮想ネットワークの "概要" タブで確認できます。

Azure VNet リソースグループ名
この仮想ネットワークが属する Azure リソースグループの ID。これは、Azure ポータルにある Azure 仮想ネットワークの "概要" タブで確認できます。

Azure VNet 名
Azure 仮想ネットワークの名前。これは、Azure ポータルにある Azure 仮想ネットワークの "概要" タブで確認できます。

Azure AD テナントへのアクセス権限を付与します。

AD テナント ID（<tenant-id>）を使用して以下の URL に移動し、承認します。

https://login.microsoftonline.com/<tenant-id>/oauth2/authorize?client_id=f0955e3a-9013-4cf4-a1ea-21587621c9cc&response_type=code

サブスクリプション ID（<subscription-id>）を指定した次のコマンドを実行して、新規ロールを作成します。

ちなみに

複数のサブスクリプション ID がある場合は、AssignableScopes をアップデートする必要があります。

az role definition create --output none --role-definition "{
\"Name\": \"Confluent Cloud Peering Creator\",
\"Description\": \"Perform cross-tenant network peering.\",
\"Actions\": [
    \"Microsoft.Network/virtualNetworks/read\",
    \"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read\",
    \"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write\",
    \"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete\",
    \"Microsoft.Network/virtualNetworks/peer/action\"
],
\"AssignableScopes\": [
    \"/subscriptions/<subscription-id>/\",
]
}"

ロールをサービスプリンシパルに割り当てるために指定したサブスクリプション ID（<subscription-id>）、VNet リソースグループ名（<resource-group-name>）、および VNet 名（<vnet-name>）を指定して、以下のコマンドを実行します。

az role assignment create \
    --role "Confluent Cloud Peering Creator" \
    --assignee "$(az ad sp list --filter "appId eq 'f0955e3a-9013-4cf4-a1ea-21587621c9cc'" --output tsv --query '[0].objectId')"  \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<vnet-name>"

Access の手順で Submit をクリックします。

When you are finished, the VNet peering status should display "Active" in the Confluent Cloud Console.