GCP の VPC ピアリング¶
重要
Google Cloud で VPC ピアリングを有効にする場合に、リージョンをまたぐ Confluent Cloud へのアクセスはサポートされません。VPC サブネットと Confluent Cloud は同じリージョンに存在している必要があります。
VPC ピアリング接続を作成する前の重要な確認事項は、次のとおりです。
- Confluent Cloud とピアリングする VPC に関連付けられているプロジェクト ID。
- Confluent Cloud とピアリングする VPC のネットワーク名。
- Confluent Cloud で使用する VPC の CIDR ブロック。
- クラスターがプロビジョンされた後にこのブロックを変更することはできません。
- 既存の Confluent Cloud CIDR ブロックとの重複は許可されません。
- 組織で使用されている範囲と重複していてはいけません。
- Google Cloud では RFC 6598 の共有アドレス空間がサポートされています。
/16
CIDR ブロックである必要があります。- Google Cloud の場合、この CIDR ブロックは、以下のいずれかのサポート対象プライベートネットワークにある必要があります。
10.0.0.0/8
100.64.0.0/10
172.16.0.0/12
192.168.0.0/16
- Google Cloud の場合、以下の CIDR ブロックが、上で挙げたサイズの大きい CIDR ブロックから拒否されます。
172.17.0.0/16
- Confluent Cloud ルートと Google Cloud ルートが共有されるため、VPC ピアリングを使用する際に、場合によってはルートのクォータを増やす必要があります。
Google Cloud との VPC ピアリングについて詳しくは、『VPC ネットワーク ピアリングの概要』を参照してください。
Google Cloud の Confluent Cloud への VPC ピアリング接続の作成¶
Google Cloud の Confluent Cloud クラスターへの VPC ピアリング接続を作成するには、以下の手順に従います。
- 前提条件
- VPC ピアリング対応の 専用 Kafka クラスター が Google Cloud にあること。そのクラスターは、独自のネットワークにプロビジョンされており、Confluent Cloud 用の CIDR を提供する必要があります。専用クラスターの作成方法について詳しくは、「Confluent Cloud でのクラスターの作成」を参照してください。
Confluent Cloud Console で Cluster Settings ページに移動し、Networking タブ、Add Peering の順にクリックします。
Add Peering ページで、作成するピアリング接続の GCP プロジェクト ID と GCP ネットワーク名 を入力し、必要に応じて カスタムルートのインポート オプションを選択して Save をクリックします。
- GCP プロジェクト ID
Google Cloud プロジェクトの一意の識別子です。プロジェクトの一意の識別子は、Google Cloud Console ダッシュボード で確認できます。
- GCP ネットワーク名
Confluent Cloud に対してピアリングする VPC のネットワーク名を指定します。ネットワーク名は、Google Cloud Console の VPC ネットワーク の VPC ネットワーク のリストで確認できます。.
- カスタムルートのインポート
このパラメーターは省略可能です。このオプションを有効にすると、VPC ピアリング接続を介した静的および動的カスタムルートをインポートできます。カスタムルートは、エクスポート先がユーザーの VPC となるよう構成する必要があります。
Google Cloud Console の VPC ネットワーク に移動し、VPC ネットワークピアリング を選択します。接続の作成 をクリックして Confluent Cloud へのピアリング接続を作成します。
Google Cloud コンソールで、Confluent Cloud へのピアリング接続を開始するためのフォームに入力し、作成 をクリックします。
- Name
ピアリング接続の名前を指定します。
- お客様の VPC ネットワーク
Google Cloud VPC ネットワークの名前を指定します。
- ピアリングした VPC ネットワーク
別のプロジェクト] を選択します。
- プロジェクト ID
Confluent Cloud のプロジェクト ID を指定します。これは、クラスターの Confluent Cloud Networking タブで確認できます。
- VPC ネットワークの名前
Confluent Cloud の VPC の名前を指定します。これは、クラスターの Confluent Cloud Console の Networking タブで確認できます。
完了したら、VPC Peering connections の下の Status が "Active" になっていることを確認します。
カスタムルートのインポート¶
カスタムルートのインポートオプションを使用すると、Google Cloud の Confluent Cloud クラスターに対して、同じリージョンで Confluent Cloud とピアリング設定されているユーザーの VPC を通じて、ユーザーのプレミス、または AWS や Azure などの他のクラウドから接続できるようになります。この接続を有効にするには、ユーザーの VPC から Confluent Cloud の VPC への VPC ピアリング接続を介した静的および動的カスタムルートをインポートします。ユーザーサイドの VPC ピアリングは、カスタムルートをエクスポートする ように構成する必要があります。
カスタムルートのインポートオプションを有効にする前に、VPC ピアリングに関するドキュメント に Google Cloud が挙げている考慮事項を確認してください。
重要
カスタムルートのインポートの制限事項
- 既存の VPC ピアリング接続でカスタムルートのインポートのオプションを有効化または無効化することはできません。
- カスタムルートのインポートオプションは、VPC ピアリング接続のセットアップ時に有効にする必要があります。
- 既存の VPC ピアリング接続でカスタムルートのインポートオプションを有効にするには、VPC ピアリング接続を停止し、カスタムルートのインポートオプションを有効にして再確立します。再作成中にエラーメッセージが表示されるのを防ぐために、VPC 接続の停止から再確立までは 15 分の間隔をあけてください。
- カスタムルートのインポートオプションを無効にするには、VPC ピアリング接続を停止し、このオプションを無効にして再接続します。再作成中にエラーメッセージが表示されるのを防ぐために、VPC 接続の停止から再確立までは 15 分の間隔をあけてください。 または、ユーザー VPC でカスタムルートをエクスポートするオプションを無効にします。
- 同じまたは異なるリージョン間でのユーザー VPC へのトランジットルーティングはサポートされていません。唯一の例外は、リージョン間ユーザー VPC がクラウド VPN により相互接続されている場合です。ただし、Confluent Cloud クラスターによりピアリング設定されているユーザー VPC は、Confluent Cloud クラスターとして同じリージョン内に存在する必要があります。
- Google Cloud 内部負荷分散 のグローバルアクセスをオンにする必要のあるユーザーの VPC を使用して接続された外部ネットワークへのトランジットルーティングはサポートされていません。
- Confluent Cloud クラスターからのカスタムルートのエクスポートはサポートされていません。
- プライベートでアドレス指定可能なパブリック IP(PUPI)アドレスは、カスタムルートのインポートではサポートされていません。