AWS PrivateLink

注意

この機能は EMQX Dedicated および Dedicated Flex エディションでのみ利用可能です。

このページでは、Amazon AWS プラットフォーム上の EMQX ブローカーのデプロイメントで PrivateLink 機能を有効にするための詳細な手順を説明します。PrivateLink を有効にすることで、EMQX デプロイメントは仮想ネットワーク内の安全でプライベートな接続を通じて AWS ホストサービスにアクセスできるようになります。これにより通信はパブリックインターネットから隔離され、セキュリティとパフォーマンスが向上します。

この構成では、EMQX ブローカーのデプロイメントの仮想プライベートクラウド（VPC）がサービス利用者として機能し、AWS リソースが存在するサービス提供者の VPC への接続を確立します。

AWS PrivateLink を使用したエンドポイントサービスの作成

このセクションでは、AWS PrivateLink を使用して AWS エンドポイントサービスを作成する手順を示します。これにより、EMQX デプロイメントは AWS サービスに安全に接続できるようになります。これは、EMQX デプロイメントが VPC 内のプライベート接続を介して AWS サービスと直接かつプライベートに通信するために重要です。このプロセスには、必要な AWS リソースのセットアップ、ロードバランサーの構成、および EMQX ブローカーでの PrivateLink の有効化が含まれます。

EMQX Cloud コンソールから AZ ID を取得する

AWS でエンドポイントサービスを作成する際、ロードバランサー（LB）のアベイラビリティゾーン ID（AZ ID）は EMQX ブローカーのデプロイメントの AZ ID と一致している必要があります。AZ ID を取得するには以下の手順を実行してください。

1. EMQX Cloud コンソールでデプロイメントにアクセスします。
2. 左メニューから ネットワーク管理 をクリックし、PrivateLink エリアに移動して +PrivateLink をクリックします。
3. PrivateLink ガイドライン のポップアップダイアログに、デプロイメントのアベイラビリティゾーンの詳細が表示されます。

AWS プラットフォームでの準備作業を完了する

PrivateLink の設定を行う前に、AWS プラットフォーム上で以下の作業を完了してください。

1. AWS アカウントを登録し、PrivateLink サービスを有効化します。

2. EC2 インスタンスと VPC を作成します。

3. ロードバランシング用のターゲットグループを作成します。

   • 基本設定 で、ターゲットグループ名、プロトコル（TCP）、および ポート を設定します。

     

   • ヘルスチェック で、ポートのオーバーライドを設定し、その他はデフォルトのままかビジネス要件に応じて設定します。

     

   • ターゲットグループを登録し、インスタンスを作成します。

     

4. EMQX Cloud コンソールから取得した AZ ID を使用してロードバランサーを作成・設定します。

   • ロードバランシングの種類として Network Load Balancer を選択し、作成 をクリックします。

     

   • プライベート IP アドレスへのリクエストを容易にするため、スキーマタイプを内部に設定します。

     

   • TCP プロトコルを選択し、リスニングポートと対応するターゲットグループを入力します。

     

   • ロードバランサー作成後、ターゲットグループのリスニングポートの状態が正常（ヘルシー）か確認します。

     

エンドポイントサービスの作成

以下の手順に従い、AWS ヘルプ を参照して設定を完了してください。

1. AWS アカウントの左メニューからエンドポイントサービスを見つけて 作成 をクリックします。ロードバランサーの種類として Network を選択し、前のステップで作成したロードバランサーを選択します。

   

2. 追加設定で IP アドレスの種類を IPV4 に設定します。

   

3. 作成が完了すると、エンドポイントサービス名が取得できます。

   

EMQX ブローカーで PrivateLink を有効化する

1. EMQX Cloud コンソールの PrivateLink ガイドライン ポップアップで AWS ARN を取得します。

2. AWS プラットフォームのエンドポイントサービスの許可されたプリンシパル（Allowed Principals）に ARN を入力します。

   

   追加後、Allow principals をクリックして続行します。

3. AWS プラットフォームでエンドポイントサービスを見つけ、サービス名をコピーし、EMQX Cloud コンソールの Enter the name of Endpoint Service フィールドに入力します。その後、Create PrivateLink をクリックします。

   

4. 完了後、AWS プラットフォームのエンドポイントサービス - エンドポイント接続に移動し、Accept Endpoint Connection Request をクリックします。

   

5. デプロイメントの概要で PrivateLink のステータスが Running になるまで待ちます。これが成功した接続を示します。

   

PrivateLink の削除

プライベート接続を解除するには、PrivateLink のステータスが running であることを確認してください。

• AWS プラットフォームから PrivateLink サービスを削除する場合は、まず EMQX Cloud コンソールから PrivateLink を削除してください。そうしないと、デプロイメントの PrivateLink ステータスが failed になります。
• 削除前にデプロイメントに関連リソースが存在しないことを必ず確認してください。存在すると予期せぬリスクが発生します。

1. デプロイメントのネットワーク管理ページの PrivateLink エリアに移動します。

2. PrivateLink の 操作 列にある「削除」アイコンをクリックし、確認 をクリックして削除を完了します。