デプロイ前の前提条件

BYOC作成権限について

BYOCの作成にはアカウントの承認が必要です。本人確認後、EMQX Cloudサポートチームがアカウントに対してこの権限を有効化します。

以下の準備を完了する前に、Consoleのデプロイ作成ページにアクセスし、BYOCを選択して右側のボタンを確認してください。詳細はBYOCデプロイの作成をご覧ください。お問い合わせは承認が必要であることを意味し、クリック後に事前入力されたチケット画面で確認をクリックしてください。アカウントが承認されるまでは、クラウドリソースや権限、ブートストラップ環境の準備は不要です。新規デプロイはアカウントが承認されており、以下の準備を続行できることを示します。

EMQX Cloud Bring Your Own Cloud（BYOC）をデプロイする前に、以下の準備を必ず完了してください。

VPC、サブネット、ECSなどのパブリッククラウドサービスおよびネットワーク構造の基本概念を理解すること
パブリッククラウドアカウントおよびEMQX Cloudアカウントを保有していること
関連するクラウドリソースおよびクラウドアカウントの権限を準備すること
デプロイのブートストラップ環境を構築すること
EMQXサービス用のドメイン名および対応するTLS/SSL証明書を準備すること
EMQX BYOCライセンスを準備すること

アカウントの準備

EMQX BYOCデプロイはお客様のクラウドアカウント内に作成されます。対応するパブリッククラウドアカウントをお持ちでない場合は、ご利用のクラウドプラットフォームの公式ドキュメントに従ってアカウントを作成してください。例として以下があります。

現在、BYOCは以下のパブリッククラウドおよびリージョンをサポートしています。その他のクラウドサービスプロバイダーやリージョンのサポートが必要な場合は、チケットを提出いただくか、メールでお問い合わせください。

クラウドプロバイダー	リージョン
AWS	米国: US East (N. Virginia), US East (Ohio), US West (N. California), US West (Oregon) 欧州: EU (Ireland), EU (Frankfurt) アジア: Asia Pacific (Singapore), Asia Pacific (Mumbai), Asia Pacific (Hong Kong), Asia Pacific (Tokyo)
Google Cloud	米国: us-east1 (South Carolina), us-west1 (Oregon), us-central1 (Iowa) 欧州: europe-west3 (Frankfurt), europe-north1 (Finland) アジア: asia-south1 (Mumbai), asia-southeast1 (Singapore), asia-east1 (Taiwan)

また、デプロイを完了するにはEMQX Cloudアカウントも必要です。未登録の場合は、EMQX Cloudアカウント登録ページから登録してください。

ドメインおよび証明書

EMQXサービス用のドメインおよびTLS/SSL証明書を事前に準備してください。EMQX Cloudはカスタムの片方向TLS/SSL認証をサポートしています。

注意事項

ポリシー要件により、ドメインはICP登録を完了している必要があり、ドメインが登録されているクラウドサービスプロバイダーはBYOCをデプロイするプラットフォームと一致している必要があります。
BYOCデプロイはCA署名済み証明書のみ受け付けます。TLS/SSL証明書の形式要件についてはBYOCプランのTLS/SSL設定を参照してください。

リソースと権限

EMQX BYOCデプロイには、お客様のクラウドアカウント内で各種クラウドリソースおよびサービスを作成する必要があります。関連するクラウドアカウントに十分なリソースクォータが確保され、必要な権限設定が完了していることを確認してください。

リソースクォータ

以下の表はEMQX BYOCデプロイに必要なクラウドリソースおよびサービスを示しています。現在のアカウントのリソースが不足している場合は、クラウドアカウント管理者に連絡して該当サービスのクォータ増加を依頼してください。

TIP

クラウド管理者はクラウドクォータでリソースとサービスの使用状況およびクォータを素早く確認できます。

リソースおよびサービス	デプロイに必要な数量
VPC	1
サブネット	3
セキュリティグループ	1
ルートテーブル*	3
ロードバランサー	1
LBリスナー	6
ターゲットグループ	6
インターネットゲートウェイ	1
キーペア	1
EC2インスタンス	N*+1
Amazon Machine Images (AMIs)	1
IAMポリシー	1

リソースおよびサービス	デプロイに必要な数量
VPCネットワーク	1
サブネット	4
ファイアウォールルール	3
ネットワークロードバランサー	2
IPアドレス	2
VMインスタンス	N*+1
VMイメージ	1
IAMロール	2
IAMサービスアカウント	1

注意

Google Cloudをご利用の場合、GCPアカウントにデフォルトネットワークが存在するか必ず確認してください。存在しない場合は作成してください。デプロイ時にpackerがシステムイメージのパッケージングツールとして使用されるため、VPCのデフォルトネットワーク内にパッケージング用の必要なリソースを作成する必要があります。

セキュリティポリシーによりデフォルトネットワークが作成できない場合は、チケットを提出いただくかメールでお問い合わせください。

IAM権限

クラウドアカウント内でクラウドリソースを作成するコマンドを実行するために、必要なIdentity and Access Management（IAM）権限を持つロールが必要です。クラウド管理者にBYOCデプロイ作成に十分な権限を割り当ててもらい、対応する認証情報を発行してもらってください。

カスタムポリシーを作成するには、JSONエディターを使ったポリシー作成の手順に従い、以下のポリシー定義を利用できます。カスタムポリシー作成後、IAMユーザーまたはユーザーグループにアタッチし、IAMユーザーのアクセスキー管理の手順でアクセスキーを生成してください。

以下はデプロイ作成用のJSONポリシー定義です。

json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "ec2:AssociateRouteTable",
        "ec2:AttachInternetGateway",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateInternetGateway",
        "ec2:CreateImage",
        "ec2:CreateKeyPair",
        "ec2:CreateRoute",
        "ec2:CreateRouteTable",
        "ec2:CreateSecurityGroup",
        "ec2:CreateSubnet",
        "ec2:CreateTags",
        "ec2:CreateVpc",
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceAttribute",
        "ec2:DescribeInstanceCreditSpecifications",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeImages",
        "ec2:DescribeRegions",
        "ec2:DescribeRouteTables",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSecurityGroupRules",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeSubnets",
        "ec2:DescribeTags",
        "ec2:DescribeVolumes",
        "ec2:DescribeVpcs",
        "ec2:DescribeVpcAttribute",
        "ec2:DeleteSecurityGroup",
        "ec2:DeleteKeyPair",
        "ec2:ImportKeyPair",
        "ec2:RunInstances",
        "ec2:ModifyImageAttribute",
        "ec2:ModifySubnetAttribute",
        "ec2:ModifyVpcAttribute",
        "elasticloadbalancing:AddTags",
        "elasticloadbalancing:CreateListener",
        "elasticloadbalancing:CreateLoadBalancer",
        "elasticloadbalancing:CreateTargetGroup",
        "elasticloadbalancing:DescribeListeners",
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:DescribeLoadBalancerAttributes",
        "elasticloadbalancing:DescribeTags",
        "elasticloadbalancing:DescribeTargetGroups",
        "elasticloadbalancing:DescribeTargetGroupAttributes",
        "elasticloadbalancing:DescribeTargetHealth",
        "elasticloadbalancing:ModifyLoadBalancerAttributes",
        "elasticloadbalancing:ModifyTargetGroupAttributes",
        "elasticloadbalancing:RegisterTargets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/used-by": "emqx-cloud"
        }
      }
    }
  ]
}

以下はデプロイ削除用のJSONポリシー定義です。

json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceAttribute",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeInstanceCreditSpecifications",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeImages",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeRouteTables",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ec2:DescribeTags",
        "ec2:DescribeVolumes",
        "ec2:DescribeVpcs",
        "ec2:DescribeVpcAttribute",
        "ec2:DetachInternetGateway",
        "ec2:DisassociateRouteTable",
        "ec2:ModifyInstanceAttribute",
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:DescribeLoadBalancerAttributes",
        "elasticloadbalancing:DescribeTags",
        "elasticloadbalancing:DescribeTargetGroups",
        "elasticloadbalancing:DescribeTargetGroupAttributes"
      ],
      "Resource": "*"
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "ec2:DeleteInternetGateway",
        "ec2:DeleteKeyPair",
        "ec2:DeleteVpc",
        "ec2:DeleteRouteTable",
        "ec2:DeleteSubnet",
        "ec2:DeregisterImage",
        "ec2:TerminateInstances",
        "elasticloadbalancing:DeleteLoadBalancer",
        "elasticloadbalancing:DeleteListener",
        "elasticloadbalancing:DeleteTargetGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/used-by": "emqx-cloud"
        }
      }
    }
  ]
}

以下はデプロイの停止および起動用のJSONポリシー定義です。

json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/used-by": "emqx-cloud"
        }
      }
    }
  ]
}

gcloud CLIを使ってカスタムロールを作成するには、カスタムロールの作成の手順に従い、以下のロール定義を利用してください。カスタムロール作成後、サービスアカウントにバインドし、サービスアカウントキーを生成します。

以下の定義を含むYAMLファイルを作成します。BYOCデプロイ作成用と削除用の2つのロールが必要です。

yaml

title: "EMQX BYOC creation"
description: "EMQX BYOCデプロイ作成に必要な最小ロール定義"
stage: "GA"
includedPermissions:
- compute.firewalls.get
- compute.targetPools.get
- compute.images.get
- compute.disks.create
- compute.disks.delete
- compute.disks.get
- compute.instances.setMetadata
- compute.instances.setLabels
- compute.subnetworks.useExternalIp
- compute.subnetworks.get
- compute.instances.setServiceAccount
- compute.addresses.create
- compute.instances.create
- compute.addresses.get
- compute.networks.create
- compute.httpHealthChecks.get
- compute.firewalls.create
- compute.networks.updatePolicy
- compute.images.create
- compute.images.setLabels
- compute.addresses.use
- compute.subnetworks.create
- compute.instances.getSerialPortOutput
- compute.httpHealthChecks.create
- compute.disks.useReadOnly
- compute.forwardingRules.get
- compute.machineTypes.get
- compute.targetPools.create
- compute.zones.get
- compute.regionOperations.get
- compute.images.useReadOnly
- compute.instances.use
- compute.instances.get
- compute.targetPools.use
- compute.forwardingRules.create
- compute.httpHealthChecks.useReadOnly
- compute.instances.delete
- compute.globalOperations.get
- compute.subnetworks.use
- compute.networks.get
- compute.zoneOperations.get
- compute.forwardingRules.setLabels

yaml

title: "EMQX BYOC deleting"
description: "EMQX BYOCデプロイ削除に必要な最小ロール定義"
stage: "GA"
includedPermissions:
- compute.firewalls.get
- compute.zoneOperations.get
- compute.instances.delete
- compute.targetPools.delete
- compute.networks.delete
- compute.regionOperations.get
- compute.firewalls.delete
- compute.networks.updatePolicy
- compute.forwardingRules.get
- compute.globalOperations.get
- compute.networks.get
- compute.httpHealthChecks.get
- compute.subnetworks.get
- compute.httpHealthChecks.delete
- compute.targetPools.get
- compute.addresses.delete
- compute.subnetworks.delete
- compute.disks.get
- compute.addresses.get
- compute.instances.get
- compute.forwardingRules.delete
- compute.images.delete
- compute.images.get

以下のコマンドでYAMLファイルを使ってロールを作成します。

bash

gcloud iam roles create CreateEmqxCloudByocRole --project=<project-id> --file=<yaml-file-path>

（任意）サービスアカウントがない場合、以下のコマンドで作成できます。

bash

gcloud iam service-accounts create <service-account-name> --project=<project-id>

以下のコマンドでロールをサービスアカウントにバインドします。

bash

gcloud projects add-iam-policy-binding <project-id> --member=serviceAccount:<service-account-name>@<project-id>.iam.gserviceaccount.com --role=projects/<project-id>/roles/CreateEmqxCloudByocRole

以下のコマンドでJSON形式のサービスアカウントキーを生成します。

bash

gcloud iam service-accounts keys create <json-file> --iam-account=<service-account-name>@<project-id>.iam.gserviceaccount.com

<project-id>, <yaml-file-path>, <service-account-name>, <json-file>はそれぞれ実際の値またはプレースホルダーに置き換えてください。

デプロイの停止および起動権限を別途設定したい場合は、以下の定義を使用してください。

yaml

title: "EMQX BYOC operation"
description: "EMQX BYOCデプロイの停止または起動に必要な最小ロール定義"
stage: "GA"
includedPermissions:
- compute.instances.get
- compute.instances.start
- compute.instances.stop

ブートストラップ環境の準備

EMQX BYOCをデプロイするには、パブリックネットワークに接続可能なUbuntu 22.04 LTS（AMD64）環境が必要です。以下いずれかの方法で用意してください。

（推奨）Ubuntu 22.04 LTSイメージを使い、クラウドアカウント内で仮想マシンインスタンスを作成。メモリは1GiB以上必須。
ローカルのUbuntu 22.04 LTS環境を使用。

BYOCライセンス

EMQX CloudのBYOCライセンスを準備してください。BYOCライセンスは弊社営業チームにお問い合わせいただき、接続デバイス数やメッセージスループット（TPS）に基づいてライセンス仕様を決定します。

プランと料金

はじめに

デプロイの作成

専用フレックス

BYOC

ネットワーク管理

VPC ピアリング接続

PrivateLink の設定

クライアント認証

拡張認証

クライアント認可

拡張認可

モニタリング

ゲートウェイ

クライアント＆アプリケーション接続

データ統合

ルール

Flowデザイナー

LLM ベースの MQTT データ処理

スマートデータハブ

クエリガイド

統合ガイド

シングルサインオン（SSO）

プラットフォーム API

ブローカーデプロイ API

サーバレスデプロイ API

デプロイ前の前提条件

アカウントの準備

ドメインおよび証明書

リソースと権限

リソースクォータ

IAM権限

ブートストラップ環境の準備

BYOCライセンス

専用フレックス

VPC ピアリング接続

PrivateLink の設定

拡張認証

拡張認可

ルール

LLM ベースの MQTT データ処理

サーバレス デプロイ API

デプロイ前の前提条件 ​

アカウントの準備 ​

ドメインおよび証明書 ​

リソースと権限 ​

リソースクォータ ​

IAM権限 ​

ブートストラップ環境の準備 ​

BYOCライセンス ​

サーバレスデプロイ API

デプロイ前の前提条件

アカウントの準備

ドメインおよび証明書

リソースと権限

リソースクォータ

IAM権限

ブートストラップ環境の準備

BYOCライセンス