Talend Cloud Data CatalogでのAWS PrivateLink

TalendはAWS PrivateLinkをサポートしており、AWS VPC (Virtual Private Cloud)とTalend Cloud Data Catalog間の通信を保護します。

AWS PrivateLinkの詳細は、AWSの公式サイトでhttps://aws.amazon.com/privatelinkを参照してください。

PrivateLinkのサポートによってパブリックインターネットを経由せずにメタデータをインポートまたはエクスポートできるようになるため、自社サービスやTalend Cloud Data Catalog上のサービスをパブリックに公開せずに済みます。そのため、露出リスクが大幅に軽減されます。

Talend Cloud Data CatalogでのPrivateLinkに対するサポートのアーキテクチャー

Preview

PrivateLinkを利用すれば、Talend Cloud Data CatalogとAWS VPCの間にセキュリティの高いネットワークを構築できます。

AWS PrivateLinkのサポートはTalend Cloud Data Catalogのどのリージョンででも利用できます。

オンプレミスにデプロイされたリモート収集サーバー

メタデータ収集サーバーは、組織のファイアウォールの背後にあるリモートマシンにインストールされています。プライベートネットワークやVPCはPrivateLinkを使ってTalend Cloud Data Catalogに接続し、リモート収集サーバーはAWS Direct ConnectリンクやVPNを使ってこのプライベートネットワークやVPCに接続します。

オレンジの矢印: PrivateLink接続
赤の矢印: AWS Direct ConnectまたはVPN
青の矢印: 送信中のメタデータ

クラウドにデプロイされたリモート収集サーバー

リモートメタデータ収集サーバーはクライアントのプライベートネットワークやクライアントのVPCにインストールされています。これらの収集サーバーは、AWS PrivateLinkを介してTalend Cloud Data Catalogやサポートされているメタデータソース技術に接続しています。

オレンジの矢印: PrivateLink接続
青の矢印: 送信中のメタデータ

Talend Cloud Data CatalogでAWS PrivateLinkを使うための要件

Talend Cloud Data CatalogでのAWS PrivateLinkのサポートはリクエストに応じた提供となります。この機能をご希望の場合は、サポート担当者にご連絡ください。リクエストを送信する前に、お使いのAWSプラットフォームでPrivateLinkのサポートが利用できることをご確認ください。

AWSの全リージョンにわたるTalend Cloud Data CatalogとPrivateLinkでの作業

Preview

AWS PrivateLinkは同一のAWSリージョンにあるVPCにのみ適用されますが、リージョン間のVPC-Peeringを実装すればマルチリージョンのユースケースを実現することもできます。

この実装によって、強固なセキュリティ態勢を維持しつつ、まだカバーされていないリージョンからもTalendサービスを利用できるようになります。

手順

このAWSドキュメンテーションの説明に従って、リモート収集サーバーが稼働しているリージョンに対してVPC-Peeringを有効にします。
例え
次のいずれかの方法でVPCピアリング用のDNSを設定します。
- Amazon Route 53で、Talendクラウドドメインと重なるプライベートホストゾーン(<env>.cloud.talend.com)を作成します。このゾーンをVPCに関連付け、そのプライベートホストゾーンで、特定のTalend環境の全ホスト名に一致するタイプA (エイリアスレコードの意)のワイルドカード (*) レコードを*.us.cloud.talend.comといった形式で作成します。トラフィックのルーティング先としたいリソースのフィールドに、PrivateLinkのプライベートIPアドレスを指定します。
  
  Amazonプライベートホストゾーンの詳細は、このAWSドキュメンテーションを参照してください。
- VPCがDNS Forwarderを使用し、PrivateLink接続を介してダイレクトフローに対するDNSクエリーに適切に応答するよう、PrivateLinkでそのVPCをホストしているEC2クラスターでDNSを設定します。
この設定の技術的詳細については、組織のネットワーク管理チームにお問い合わせください。

Talend Cloud Data CatalogでのPrivateLink接続の有効化または無効化

Preview

PrivateLink接続を有効化または無効化するためには、Talendチームとあなたの組織が協力する必要があります。

Talend Cloud Data CatalogでのAWS PrivateLinkの有効化

Preview

手順

AWS VPCで、PrivateLinkで使用するエンドポイントを作成し、そのエンドポイントでプライベートDNS名を有効にします。この操作でサポートが必要な場合は、AWSシステムの管理者にご連絡ください。

例え

完了すると、そのPrivateLinkエンドポイントの[Details] (詳細)タブに、Talendに続いて次の特定のDNS名が表示されます。

<env>. cloud.talend.com
*.<env>. cloud.talend.com

<env>の値はTalendサービスのリージョンによって異なり、usなどが入ります。

また、このPrivateLinkエンドポイントに与えられるサービス名も、使用されるTalend Cloud Data Catalogのリージョンに応じてTalend固有のものとなります。

Talend Cloud Data Catalog AWSリージョン	Talend固有のプライベートリンクサービス名	ディザスターリカバリーURL
EU (欧州)	com.amazonaws.vpce.eu-central-1.vpce-svc-0c634141c378efbe1	テクニカルプレビューでは利用できません
US (米国)	com.amazonaws.vpce.us-east-1.vpce-svc-0318a52bd8dd3fa7d	テクニカルプレビューでは利用できません
AP (アジアパシフィック)	com.amazonaws.vpce.ap-northeast-1.vpce-svc-06f41393a31a38a16	テクニカルプレビューでは利用できません

Talendに対し、Talend Cloud Data CatalogとのPrivateLinkペアリングのリクエストを送信します。
Talendには次の情報を提供する必要があります。
- 有効にするPrivateLink接続を実行中であるVPCのエンドポイントID
- AWSアカウントID
- Talend Cloud Data CatalogへのPrivateLink接続を確立するリージョン
TalendがPrivateLinkペアリングを承認するまで待ちます。

Talendは受信したリクエストを検証ワークフローに送信し、VPCからのPrivateLinkペアリングを最終的に承認します。その後、Talendがこの更新を通知します。
リモート収集サーバーを通常の方法でデプロイします。リモート収集サーバーが既にデプロイされている場合は、そのサーバーを再起動します。
同一のVPCにあるリモート収集サーバーはすべてPrivateLinkを使用する必要があります。一部のリモート収集サーバーでPrivateLinkを使い、他のリモート収集サーバーでは使わないようにしたい場合は、複数のVPCを使用してください。

タスクの結果

プロセス全体の処理には、リクエストを受け取った日から最大5営業日かかります。

Talend Cloud Data CatalogでのAWS PrivateLinkの無効化

Preview

手順

PrivateLinkのペアリング設定をVPCから削除します。
PrivateLinkで使用されているリモート収集サーバーを再起動します。
同一のVPCにあるリモート収集サーバーはすべてPrivateLinkを使用する必要があります。一部のリモート収集サーバーでPrivateLinkを使い、他のリモート収集サーバーでは使わないようにしたい場合は、複数のVPCを使用してください。