フェデレーティッドデータベースインスタンスのプライベートエンドポイントの設定
MongoDBAmazon Web Servicesは、 を使用してAWS PrivateLink のプライベートエンドポイントをサポートします フェデレーティッドデータベースインスタンス用の「」機能を使用します。Atlas CLI 、 Atlas user Interface、 APIからプライベートエンドポイントを設定できます。
必要なアクセス権
プライベートエンドポイントを設定するには、プロジェクトに対する Project Owner
アクセス権が必要です。 Organization Owner
アクセスを持つユーザーは、プライベートエンドポイントを設定する前に、自分自身をProject Owner
としてプロジェクトに追加する必要があります。
前提条件
Amazon Web Servicesエンドポイントを作成、変更、説明、削除する権限を付与する IAM ユーザーポリシーを持つ ユーザーアカウントを持っていること。インターフェースエンドポイントの使用を制御する方法の詳細については、Amazon Web Services のドキュメント を参照してください。
VPCまだ作成していない場合は、 Amazon Web Servicesでと EC2 インスタンスを作成します。 詳しくは、Amazon Web Services のドキュメント を参照してください。 作成ガイダンスは利用できません。
注意
Atlas Data Federation の Atlas クラスターのプライベートエンドポイント IDは使用できません。 Atlas Data Federation のエンドポイント ID は、Atlas クラスターのエンドポイント ID(存在する場合)と異なる必要があります。
手順
Atlas CLI を使用して新しい Data Federation プライベートエンドポイントを作成するには、次のコマンドを実行します。
atlas dataFederation privateEndpoints create <endpointId> [options]
コマンド構文とパラメーターの詳細については、 Atlas CLIドキュメントのAtlas dataFederation privateEndpoints create を参照してください。
API からプライベートエンドポイントを構成するには、プライベートエンドポイント ID を指定してPOST
リクエストをprivateNetworkSettings
エンドポイントに送信します。
エンドポイント ID がすでに存在し、エンドポイントに関連付けられたコメントに変更がない場合、Atlas はエンドポイント ID リストに変更を加えません。
エンドポイント ID がすでに存在し、関連するコメントに変更があった場合、Atlas はエンドポイント ID リスト内の
comment
の値のみをアップデートします。エンドポイント ID が存在しない場合、Atlas は新しいエンドポイントをエンドポイント ID リスト内のエンドポイントのリストに追加します。
構文とオプションの詳細については、「 API 」を参照してください。
Atlas userインターフェイスを通じて、新しいプライベートエンドポイントを作成したり、既存のプライベートエンドポイントを追加したりできます。 プライベートエンドポイントを設定するには、次の手順に従います。
Atlas Atlasで、プロジェクトの {0 ページにGoします。GoNetwork Access
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のNetwork Accessをクリックします。
[ネットワーク アクセス]ページが表示されます。
Amazon WebAmazon Web Services Servicesリージョンを選択します。
AWS Regionリストから、プライベートエンドポイントを作成するリージョンを選択します。
次のいずれかのリージョンを選択できます。
Atlas Data Federation のリージョンAWS リージョンVirginia, USAus-east-1米国ワシントン州us-west-2サンパウロ(ブラジル)sa-east-1アイルランドeu-west-1英国(ソウル)eu-west-2フランクフルト(ドイツ)eu-central-1Tokyo, Japanap-northeast-1ムバイ(インド)ap-outth-1香港ap-sautheast-1オーストラリア、シドニーap-sautheast-2モントリオール(カナダ)ca-central-1次の表は、各リージョンのさまざまなエンドポイントのサービス名を示しています。
リージョンサービス名us-east-1
com.amazonaws.vpce.us-east-1.vpce-svc-00e311695874992b4
us-west-2
com.amazonaws.vpce.us-west-2.vpce-svc-09d86b19e59d1b4bb
eu-west-1
com.amazonaws.vpce.eu-west-1.vpce-svc-0824460b72e1a420e
eu-west-2
com.amazonaws.vpce.eu-west-2.vpce-svc-052f1840aa0c4f1f9
eu-central-1
com.amazonaws.vpce.eu-central-1.vpce-svc-0ac8ce91871138c0d
sa-east-1
com.amazonaws.vpce.sa-east-1.vpce-svc-0b56e75e8cdf50044
ap-southeast-2
com.amazonaws.vpce.ap-southeast-2.vpce-svc-036f1de74d761706e
ap-south-1
com.amazonaws.vpce.ap-south-1.vpce-svc-03eb8a541f96d356d
ca-central-1
com.amazonaws.vpce.ca-central-1.vpce-svc-08564bb8ccae8ba64
ap-northeast-1
com.amazonaws.vpce.ap-northeast-1.vpce-svc-0b63834ecd618a332
ap-southeast-1
com.amazonaws.vpce.ap-southeast-1.vpce-svc-07728d2dfd2860efb
詳細については、「 Atlas Data Federation のリージョン 」を参照してください。
[Next] をクリックします。
プライベートエンドポイントを設定します。
Amazon Web Services VPCに関する次の詳細を入力します。
Tip
次の設定で Show instruction をクリックすると、 Amazon Web Servicesコンソールのスクリーンショットが表示され、設定の値が記載されます。
Your VPC IDピアAmazon Web ServicesVPC を識別する一意の 22文字の英数字 。stringこの値は、 Amazon Web Services アカウントの VPC ダッシュボードで確認できます。Your Subnet IDsAmazon Web Services VPCが使用するサブネットを識別する一意の文字列。 これらの値は、 Amazon Web Servicesアカウントの Subnet ダッシュボードで確認できます。
重要:少なくとも 1 つのサブネットを指定する必要があります。 そうしないと、Amazon Web Services は にVPC インターフェイスエンドポイント をプロビジョニングしません。VPC内のクライアントがプライベートエンドポイントにトラフィックを送信するには、インターフェイスエンドポイントが必要です。
ダイアログボックスに表示されるコマンドをコピーし、Amazon Web Services CLI を使用して実行します。
注意
Atlas がバックグラウンドで VPC リソースの作成を完了するまで、コマンドをコピーすることはできません。
「インターフェースエンドポイントの作成」を参照して、Amazon Web Services CLI を使用してこのタスクを実行します。
VPC Endpoint ID フィールドにプライベートエンドポイントを識別する 22 文字の英数字stringを入力します。 この値は、 Amazon Web Services VPCダッシュボードの Endpoints > VPC ID の下で見つかります。
Your VPC Endpoint DNS Name フィールドにAmazon Web Servicesのプライベートエンドポイントに関連付けられた英数字の DNS ホスト名を入力します。
プライベートエンドポイントに複数の DNS 名がある場合は、リストから名をコピーして貼り付けます。 詳細については、「 VPC エンドポイント サービスの DNS 名の管理 」を参照してください。
ホスト名がネットワーク上のアドレスに解決されるように、プライベート DNS 名を変更します。
ホスト名がネットワーク上のアドレスに解決されるようにするには、以下の手順を行います。
ダイアログボックスに表示されるコマンドをコピーし、Amazon Web Services CLI を使用して実行します。
任意。 このエンドポイントに関連付けるコメントを追加します。
インターフェースエンドポイントとの間でトラフィックを送受信するように、リソースのセキュリティ グループを構成します。
AWS PrivateLink を使用してフェデレーティッドデータベースインスタンスに接続する必要があるリソースごとに、リソースのセキュリティグループは、すべてのポートでインターフェイスエンドポイントのプライベート IP アドレスへのアウトバウンド トラフィックを許可する必要があります。
「 セキュリティ グループへのルールの追加 」を 参照してください。 詳しくは、 を参照してください。
インターフェイスエンドポイントのセキュリティグループを作成して、リソースがアクセスできるようにします。
このセキュリティグループは、AWS PrivateLink を使用してフェデレーティッドデータベースインスタンスに接続する必要がある各リソースからのすべてのポートでインバウンド トラフィックを許可する必要があります。
Amazon Web Servicesコンソールで、VPC Dashboard に移動します。
[Security Groups をクリックし、[Create security group] をクリックします。
ウィザードを使用してセキュリティ グループを作成します。VPC リストから VPC を選択していることを確認します。
作成したセキュリティ グループを選択し、Inbound Rules タブをクリックします。
[Edit Rules] をクリックします。
フェデレーティッドデータベースインスタンスに接続する VPC 内の各リソースからのすべてのインバウンド トラフィックを許可するルールを追加します。
[Save Rules] をクリックします。
[Endpoints] をクリックし、VPC のエンドポイントをクリックします。
[Security Groups] タブをクリックし、次に [Edit Security Groups] をクリックします。
作成したセキュリティ グループを追加し、Save をクリックします。
VPCセキュリティ グループ の詳細については、 については、Amazon Web Services のドキュメントを参照してください。
AtlasGoNetwork AccessAtlas で、プロジェクトの ページにGoします。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のNetwork Accessをクリックします。
[ネットワーク アクセス]ページが表示されます。
VPC エンドポイント ID と DNS 名を入力します。
Your VPC Endpoint ID フィールドにプライベートエンドポイントを識別する 22 文字の英数字stringを入力します。
Your VPC Endpoint DNS Name フィールドにAmazon Web Servicesのプライベートエンドポイントに関連付けられた英数字の DNS ホスト名を入力します。
プライベートエンドポイントに複数の DNS 名がある場合は、リストから名をコピーして貼り付けます。 詳細については、「 VPC エンドポイント サービスの DNS 名の管理 」を参照してください。
Tip
コンソールで必要な情報を見つけるには、ダイアログ ボックスでAmazon Web Services []Show more instructions をクリックして展開します。
このエンドポイントに関連付けるコメントを追加します。 ここで、 サブネットID 、 VPC ID 、 Amazon Web Servicesリージョン、およびその他の情報を入力して、このエンドポイントに関連付けることができます。
プライベートエンドポイントのセットアップが成功したかどうかを確認するには、以下を実行します。
AtlasGoNetwork AccessAtlas で、プロジェクトの ページにGoします。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のNetwork Accessをクリックします。
[ネットワーク アクセス]ページが表示されます。