Google Cloud の VPC ピアリングの使用¶

VPC ピアリング接続とは VPC と Confluent Cloud の間のネットワーク接続のことで、これによりプライベート IPv4 アドレスを使用してトラフィックを転送できます。複数の VPC がある場合、まるで同じネットワーク内にあるかのように互いに通信できます。

Google Cloud との VPC ピアリングについて詳しくは、『VPC ネットワークピアリングの概要』を参照してください。

前提条件¶

Google Cloud に PEERING タイプの Confluent Cloud ネットワークがあること。ネットワークが存在しない場合、以下の手順に従ってください。

重要

Google Cloud で VPC ピアリングを有効にする場合に、リージョンをまたぐ Confluent Cloud へのアクセスはサポートされません。VPC サブネットと Confluent Cloud は同じリージョンに存在している必要があります。

Google Cloud での PEERING タイプのネットワークの作成¶

Google Cloud VPC ピアリングで専用クラスターを作成するには、まず必要なクラウドおよびリージョンで Confluent Cloud ネットワークを作成する必要があります。

CIDR ブロック（または IP アドレス範囲）の選択の要件については、以下を確認してください。

この CIDR ブロックは、以下のいずれかのプライベートネットワークにある必要があります。

10.0.0.0/8
100.64.0.0/10
172.16.0.0/12
192.168.0.0/16

以下の CIDR ブロックは使用できません。

172.17.0.0/16

CIDR ブロックを選択する際のその他の注意事項は以下のとおりです。

Google Cloud では RFC 6598 の共有アドレス空間がサポートされています。
/16 CIDR ブロックである必要があります。
Confluent Cloud ネットワークがプロビジョンされた後にこのブロックを変更することはできません。
既存の Confluent Cloud CIDR ブロックとの重複は許可されません。
既存の /16 CIDR ブロックに新しいクラスターを追加する場合は、Confluent サポートにお問い合わせください。

Confluent Cloud Console で、環境の Network management ページに移動します。
これが環境内の最初のネットワークである場合は Create your first network を、環境に既存のネットワークがある場合は + Add Network をクリックします。
クラウドサービスプロバイダーとして Google Cloud を選択し、必要に応じて地理的な場所を選択します。
Peering 接続タイプを選択し、Zone Placement と CIDR for Confluent Cloud に情報を入力します。Continue をクリックします。
Network Name を指定し、構成を確認して、Create Network をクリックします。

以下は、REST API リクエストの例です。

HTTP POST リクエスト

POST https://api.confluent.cloud/networking/v1/networks

認証

「認証 <cloud-cluster-authentication>」を参照してください。

リクエストの詳細の指定

クラウド、リージョン、環境、接続のタイプと、任意で Confluent Cloud ネットワークの表示名、CIDR、ゾーンをリクエストの詳細として指定します。以下の属性を実際の値でアップデートしてください。

{
   "spec":{
      "display_name":"My-Peered-CCN",
      "cloud":"GCP",
      "region":"us-central1",
      "connection_types":[
         "PEERING"
      ],
      "cidr":"10.0.0.0/16",
      "zones":[
         "us-central1-a",
         "us-central1-b",
         "us-central1-c"
      ],
      "environment":{
         "id":"env-00000"
      }
   }
}

ほとんどの場合、Confluent Cloud ネットワークの作成にかかる時間は 15～20 分です。応答の Confluent Cloud ネットワーク ID をメモします。次のセクションのコマンドでこの ID を指定する必要があります。

Confluent Cloud ネットワークのプロビジョニングに成功したら、以下のいずれかの手順に従って Confluent Cloud ネットワークに専用クラスターを追加できます。

Confluent Cloud Console: Confluent Cloud でのクラスターの作成
クラスター管理 API: クラスターの作成

VPC ピアリング接続の作成¶

ここで説明する手順に従うと、Confluent Cloud Console または REST API を使用して Google Cloud の Confluent Cloud クラスターに対する VPC ネットワークピアリング接続を作成できます。

以下の情報が必要です。

Confluent Cloud とピアリングする VPC に関連付けられている Google Cloud のプロジェクト ID。
Confluent Cloud とピアリングする VPC のネットワーク名。
Confluent Cloud とピアリングする VPC の CIDR ブロック。Confluent Cloud はこの情報を使用してトラフィックをユーザーのネットワークに転送します。
Confluent Cloud ルートと Google Cloud ルートが共有されるため、VPC ピアリングを使用する際に、場合によってはルートのクォータを増やす必要があります。

Confluent Cloud Console で目的の Confluent Cloud ネットワークリソースに移動し、+ VPC Peering をクリックします。
Name、GCP Project ID、GCP Network Name に情報を入力します。Import custom routes を選択することもできます。
Add をクリックしてピアリング接続を作成します。ピアリング接続のプロビジョニングが完了するまで数分かかります。Confluent Cloud Console のピアリング接続ステータスが "Provisioning" から "Inactive" に変わります。
Google Cloud Console の VPC ネットワークに移動し、VPC ネットワークピアリング を選択します。接続の作成 をクリックして Confluent Cloud へのピアリング接続を作成します。
Confluent Cloud へのピアリング接続を開始するためのフォームに必要事項を入力して作成をクリックします。

名前
ピアリング接続の名前を指定します。

VPC ネットワーク
Google Cloud VPC ネットワークの名前を指定します。

ピアリングした VPC ネットワーク
別のプロジェクト] を選択します。

プロジェクト ID
Confluent Cloud のプロジェクト ID を指定します。これは、クラスターの Confluent Cloud Console の Networking タブで確認できます。

VPC ネットワークの名前
Confluent Cloud の VPC の名前を指定します。これは、クラスターの Confluent Cloud Console の Networking タブで確認できます。

Confluent Cloud ネットワークの Confluent Cloud クラスターおよびサービスにアクセスするには、VPC から Confluent Cloud ネットワークに対するピアリング接続を作成する必要があります。

HTTP POST リクエスト

POST https://api.confluent.cloud/networking/v1/peerings

認証

「認証」を参照してください。

リクエストの詳細の指定

{
   "spec":{
      "cloud":{
         "kind":"GcpPeering",
         "project":"my-project",
         "vpc_network":"gcp-vpc-peering",
         "import_custom_routes":false
      },
      "display_name":"My-GCP-Peering-1",
      "environment":{
         "id":"env-00000"
      },
      "network":{
         "id":"n-000000"
      }
   }
}

VPC Peering connections の下の Status が "Active" になっていることを確認します。

カスタムルートのインポート¶

カスタムルートのインポートオプションを使用すると、Google Cloud の Confluent Cloud クラスターに対して、同じリージョンで Confluent Cloud とピアリング設定されているユーザーの VPC を通じて、ユーザーのプレミス、または AWS や Azure などの他のクラウドから接続できるようになります。この接続を有効にするには、ユーザーの VPC から Confluent Cloud の VPC への VPC ピアリング接続を介した静的および動的カスタムルートをインポートします。ユーザーサイドの VPC ピアリングは、カスタムルートをエクスポートするように構成する必要があります。

カスタムルートのインポートオプションを有効にする前に、VPC ピアリングに関するドキュメントに Google Cloud が挙げている考慮事項を確認してください。

重要

カスタムルートのインポートの制限事項

既存の VPC ピアリング接続でカスタムルートのインポートのオプションを有効化または無効化することはできません。
1. カスタムルートのインポートオプションは、VPC ピアリング接続のセットアップ時に有効にする必要があります。
2. 既存の VPC ピアリング接続でカスタムルートのインポートオプションを有効にするには、VPC ピアリング接続を停止し、カスタムルートのインポートオプションを有効にして再確立します。再作成中にエラーメッセージが表示されるのを防ぐために、VPC 接続の停止から再確立までは 15 分の間隔をあけてください。
3. カスタムルートのインポートオプションを無効にするには、VPC ピアリング接続を停止し、このオプションを無効にして再接続します。再作成中にエラーメッセージが表示されるのを防ぐために、VPC 接続の停止から再確立までは 15 分の間隔をあけてください。 または、ユーザーの VPC で Export Custom Route オプションを無効にします。
Transitive routing to your VPCs in same or different regions is not supported. The only exception is when cross-regional VPCs are interconnected using Google Cloud VPN. However, your VPC, which is peered with Confluent Cloud cluster, must be in the same region as Confluent Cloud cluster.
Google Cloud 内部負荷分散のグローバルアクセスをオンにする必要のあるユーザーの VPC を使用して接続された外部ネットワークへのトランジットルーティングはサポートされていません。
Confluent Cloud クラスターからのカスタムルートのエクスポートはサポートされていません。
プライベートで使用されているパブリック IP（PUPI）アドレスは、カスタムルートのインポートではサポートされていません。