BYOCデプロイメントの作成

EMQX CloudのBring Your Own Cloud（BYOC）プランは、お客様自身のクラウドインフラ上にデプロイメントを作成できる機能を提供し、データをお客様の環境内に保持することを可能にします。このデプロイメントにより、データのセキュリティと管理性が向上し、データ漏洩などのリスクを回避できます。さらに、EMQX BYOCデプロイメントは、異なるシナリオのニーズに応じてより良いパフォーマンスとスケーラビリティを提供します。本ページでは、BYOCデプロイメントの作成および利用方法について説明します。

前提条件

BYOCデプロイメントを作成する前に、対応するパブリッククラウドのアカウント準備、クラウドリソースの計画、およびEMQX BYOC製品ライセンスの申請が必要です。詳細はデプロイメントの前提条件をご参照ください。

デプロイメントの作成

1. アカウントにログインし、EMQX Cloudコンソールにアクセスします。

2. 初めてプラットフォームを利用する場合は、まずプロジェクトを作成する必要があります。詳細な手順はプロジェクトの作成をご覧ください。すでにプロジェクトを作成済みの場合は、このステップをスキップできます。

3. コンソールの概要ページでNew Deploymentをクリックして作成プロセスを開始するか、デプロイメントを作成したいプロジェクトカードをクリックし、プロジェクトページのNew Deploymentをクリックして進めます。

4. Choose PlanでBYOCを選択します。

5. BYOCプランの設定をニーズに応じて構成します。

   

   クラウドプロバイダーとリージョンの設定:

   • Choose Cloud Platform: AWSまたはGoogle Cloudを選択します。

     他のクラウドプラットフォームにデプロイしたい場合は、チケットまたはメールでお問い合わせください。

   • Choose Region: デプロイするリージョンを選択します。

     他のリージョンにデプロイしたい場合も、チケットまたはメールでお問い合わせください。

   設定（EMQXクラスター用）:

   TIP

   最大セッション数は、申請したEMQX BYOCライセンスに記載された数と一致する必要があります。デプロイ完了後にセッション数の上限を変更したい場合は、チケットでお問い合わせください。

   • Sessions Limit: 同時接続可能なMQTTデバイスの最大セッション数を指定します。

   • Pub&Sub TPS: 送受信されるメッセージの最大トランザクション数（TPS）を指定します。

   • EMQX Node Instance Type: Sessions LimitとPub&Sub TPSに基づいて自動選択されます。実際のビジネスニーズに応じてインスタンスタイプを変更可能です。

   • EMQX Node Quantity: Sessions LimitとPub&Sub TPSに基づいて自動入力されます。実際のビジネスニーズに応じてノード数（2～5ノード）を変更可能です。

   • VPC CIDR Block: 仮想プライベートクラウド（VPC）作成に使用するプライベートIPアドレス範囲を選択します。

   デプロイメント名とプロジェクト:

   • Deployment Name: ビジネス上の意味を持つデプロイメント名を入力します。
   • Project: 適切なプロジェクトを選択します。デフォルトは最後にアクセスしたプロジェクトです。ページ上部のプロジェクト名をクリックして別のプロジェクトに切り替え可能ですが、デプロイ作成後は変更できません。

   タグ（任意）: リソース管理のために最大10個までクラウドリソースタグを追加できます。

6. 右側のNew Deploymentボタンをクリックしてデプロイメントを開始します。

7. 表示されるBYOC Deployment Guideを確認し、Get Startedをクリックします。

次に、Run Deploymentセクションの手順に従ってデプロイメントを開始できます。

デプロイメントの実行

Deployment Overviewページで、デプロイメントのステータスがWaiting to be Deployedとなっていることを確認します。この時点ではMQTT Connection Informationにデプロイメントの詳細は表示されません。Deployボタンをクリックすると、Deployment Guideのサイドバーが表示され、デプロイ手順が案内されます。以下の手順でもデプロイを完了できます。

以下の手順は、パブリックネットワーク接続があるUbuntu 20.04（AMD64）環境での完了方法を示しています。開始前に、TLS/SSL証明書およびBYOCライセンスファイルをUbuntu環境のディレクトリにコピーしてください。

1. 用意したUbuntu 20.04（AMD64）環境を開きます。このUbuntu環境はインターネットにアクセス可能である必要があります。

2. Ubuntuのコマンドラインで、以下のコマンドを使いツールキットをダウンロードし、Ubuntuディレクトリに保存します。

   wget https://cloudassets.emqx.com/en/byoc-deployments/5.1.0/create-aws-byoc-deployment.tar.gz

3. 以下のコマンドでダウンロードしたツールキットを解凍し、解凍フォルダに移動します。

   tar -zxf create-aws-byoc-deployment.tar.gz && cd create-aws-byoc-deployment

4. ./byoc createコマンドの各フィールドに実際のパラメータを入力します。

   ./byoc create \
         --platform aws \
         --accessKey <Your AccessKey> \
         --secretKey <Your SecretKey> \
         --domain <Your Domain> \
         --sslCertPath <Your Domain SSL Absolute Cert Path>  \
         --sslKeyPath <Your Domain SSL Absolute Key Path> \
         --clientCaPath <Your Client CA Absolute Path (Optional)> \
         --byocEndpoint https://cloud-intl.emqx.com \
         --byocKey abcdXXXXXXXXXX111

   • --accessKey: AWS IAMユーザーのアクセスキーIDを入力します。
   • --secretKey: AWS IAMユーザーのアクセスキーシークレットを入力します。
   • --domain: デプロイメント内のMQTTサービスのドメイン名（例: your.domain.com）を入力します。以降のクライアントはこのドメイン経由でMQTTサービスにアクセスします。
   • --sslCertPath: TLS/SSL証明書の絶対パスを指定します。CA署名済み証明書のみ対応。証明書形式の詳細はBYOCプランのTLS/SSL設定を参照してください。BYOCはカスタムの片方向TLS/SSL認証を提供します。
   • --sslKeyPath: TLS/SSL証明書キーの絶対パスを指定します。CA署名済み証明書のみ対応。証明書キー形式の詳細はBYOCプランのTLS/SSL設定を参照してください。
   • --clientCaPath: クライアントCA証明書の絶対パスを指定します。指定すると作成されるデプロイメントは双方向TLS/SSL認証を使用します。不要な場合は実行時にこのパラメータを外してください。双方向TLS/SSL認証の詳細はBYOCプランのTLS/SSL設定をご覧ください。

   以下の3つの値はコンソールのデプロイメントガイド生成時に自動入力されるため、変更しないでください。

   • --platform: クラウドプロバイダーを指定します。
   • --byocEndpoint: EMQX Cloudのアクセスアドレスです。
   • --byocKey: BYOCデプロイメントの認証キーです。生成されたbyocKeyは1時間有効で、スクリプトコマンド生成後できるだけ早く実行してください。

5. ./byoc createコマンドを実行し、数分待ちます。クラウドリソース作成の確認メッセージが表示されたら、yesと入力して続行します。

   Do you want to perform these actions?
     Terraform will perform the actions described above.
     Only 'yes' will be accepted to approve.
   
     Enter a value:

1. 用意したUbuntu 20.04（AMD64）環境を開きます。このUbuntu環境はインターネットにアクセス可能である必要があります。

2. Ubuntuのコマンドラインで、以下のコマンドを使いツールキットをダウンロードし、Ubuntuディレクトリに保存します。

   wget https://cloudassets.emqx.com/en/byoc-deployments/5.1.0/create-gcp-byoc-deployment.tar.gz

3. 以下のコマンドでダウンロードしたツールキットを解凍し、解凍フォルダに移動します。

   tar -zxf create-gcp-byoc-deployment.tar.gz && cd create-gcp-byoc-deployment

4. ./byoc createコマンドの各フィールドに実際のパラメータを入力します。

   ./byoc create \
         --platform gcp \
         --projectID <Your Project ID> \
         --authJSONPath <The absolute path of your Service Account JSON file> \
         --domain <Your Domain> \
         --sslCertPath <Your Domain SSL Absolute Cert Path>  \
         --sslKeyPath <Your Domain SSL Absolute Key Path> \
         --clientCaPath <Your Client CA Absolute Path (Optional)> \
         --byocEndpoint https://cloud-intl.emqx.com \
         --byocKey abcdXXXXXXXXXX111

   • --projectID: Google CloudプロジェクトIDを入力します。Google Cloudコンソールの上部バーのプロジェクトセレクターで確認できます。
   • --authJSONPath: Google CloudサービスアカウントキーのJSONファイルのパスを入力します。
   • --domain: デプロイメント内のMQTTサービスのドメイン名（例: your.domain.com）を入力します。以降のクライアントはこのドメイン経由でMQTTサービスにアクセスします。
   • --sslCertPath: TLS/SSL証明書の絶対パスを指定します。CA署名済み証明書のみ対応。証明書形式の詳細はBYOCプランのTLS/SSL設定を参照してください。BYOCはカスタムの片方向TLS/SSL認証を提供します。
   • --sslKeyPath: TLS/SSL証明書キーの絶対パスを指定します。CA署名済み証明書のみ対応。証明書キー形式の詳細はBYOCプランのTLS/SSL設定を参照してください。
   • --clientCaPath: クライアントCA証明書の絶対パスを指定します。指定すると作成されるデプロイメントは双方向TLS/SSL認証を使用します。不要な場合は実行時にこのパラメータを外してください。双方向TLS/SSL認証の詳細はBYOCプランのTLS/SSL設定をご覧ください。

   以下の3つの値はコンソールのデプロイメントガイド生成時に自動入力されるため、変更しないでください。

   • --platform: クラウドプロバイダーを指定します。
   • --byocEndpoint: EMQX Cloudのアクセスアドレスです。
   • --byocKey: BYOCデプロイメントの認証キーです。生成されたbyocKeyは1時間有効で、スクリプトコマンド生成後できるだけ早く実行してください。

5. ./byoc createコマンドを実行し、数分待ちます。クラウドリソース作成の確認メッセージが表示されたら、yesと入力して続行します。

   Do you want to perform these actions?
     Terraform will perform the actions described above.
     Only 'yes' will be accepted to approve.
   
     Enter a value:

DNSレコードの追加

デプロイメントリソースが作成されると、以下の情報が返されます。返されたIPアドレスをもとに、DNSサービスにドメイン名解決レコードを追加し、デプロイされたパブリックIPアドレスをドメイン名に紐付けます。DNSやドメイン名解決の基本概念についてはDNSの概念をご参照ください。

Apply complete! Resources: 45 added, 0 changed, 0 destroyed.

Outputs:

cloud_register_data = <sensitive>
jwt_token = <sensitive>
lb_address = "<Your Deployment IP>"
password = "<EMQX Dashboard Password>"
username = "<EMQX Dashboard Username>"
vpc_id = "vpc-bp1n1dwiv2srgkgle4rlu"
*****************************
You need add a record to your DNS service provider.
IP address: 112.124.9.12
Domain: <Your Custom Domain>
*****************************
Checking if <Your Custom Domain> is resolved to the 112.124.9.12 of the load balancer

クラウドプラットフォームが提供するDNS解決サービスや他のマネージドDNSプロバイダーを利用可能です。Google Cloud PlatformのCloud DNSを例に取ると、以下の手順に従えます：レコードの追加、変更、削除 | Cloud DNS | Google Cloud。

DNSレコードが有効になると、システムは以下を返します。

HTTPS listener is ready

デプロイメントの完了

ドメイン名解決が完了すると、Ubuntuのコマンドラインに以下のメッセージが表示され、デプロイメントが成功したことを示します。

Deployment successful! Here is the service information:
--------------------------------------------------------
EMQX service connection address: <Your Custom Doamin>
EMQX Dashboard address: https://<Your Custom Doamin>:18084
EMQX Dashboard username: <EMQX Dashboard Username>
EMQX Dashboard password: <EMQX Dashboard Password>
You can log in to the EMQX Cloud Console(https://cloud.emqx.com/console) to manage your deployment.
--------------------------------------------------------
Thank you for choosing our service. Happy IoT!

EMQXダッシュボードのユーザー名とパスワードは管理コンソールへのログインおよびクラスター管理に使用するため、安全に保管してください。この情報は今後再表示されません。

デプロイメント情報の確認

デプロイメント概要ページに戻り、ページを更新するとリアルタイムのステータスおよび接続情報を取得できます。

リアルタイムステータス:

• Deployment Name: デプロイメント名。クラウドリソースのプレフィックスとしても使われ、パブリッククラウドコンソールでの迅速な検索に役立ちます。
• Instance Status: 実行状態と作成日時。
• Sessions: 現在の接続数と許容最大数。
• Pub&Sub TPS: デプロイメント内のメッセージ送受信の現在のTPSと上限。

接続情報:

• Address: デプロイ時にユーザーが指定したドメイン名。
• Connection Ports: デフォルトでMQTTプロトコル用に1883（mqtt）、8883（mqtts）、8083（ws）、8084（wss）が開放されています。18084（https）と8443（https）はそれぞれダッシュボードログインとREST APIアクセス用です。

ポートのカスタマイズを希望される場合は、サポートチケットまたはメール（cloud-support@emqx.io）でお問い合わせください。

ライセンス情報:

基本的なライセンス情報と有効期限が含まれます。ライセンスの詳細はBYOCライセンスをご参照ください。

高度なネットワーク設定

VPCピアリング設定

仮想プライベートクラウド（VPC）ピアリングは、異なるネットワーク内の2つのVPC間で通信を可能にするネットワーク接続です。この機能はクラウドサービスプロバイダーが提供し、BYOCがデプロイされたVPCと同じクラウドサービスプロバイダー内の他のVPC間のピアリング接続をサポートします。VPCピアリングの設定方法は、各パブリッククラウドのドキュメントをご参照ください：Working with VPC Peering - Amazon Web Service、VPC Network Peering - Google Cloud。

NATゲートウェイ設定

パブリッククラウドプラットフォームが提供するNATゲートウェイは、ネットワークアドレス変換サービスを提供し、VPCピアリング接続なしでBYOCデプロイメントがパブリックネットワークリソースにアクセスできるようにします。BYOCがデプロイされたVPCにNATゲートウェイを追加できます。詳細は各パブリッククラウドのNATゲートウェイドキュメントをご参照ください：NAT Gateways - Amazon Web Service、Cloud NAT - Google Cloud。

デプロイメントへの接続

テスト用に任意のMQTTクライアントツールを使ってデプロイメントに接続できます。推奨ツールはMQTTXです。