QuickSightから別アカウントにあるプライベートRedshiftに接続する(VPCピアリング編)
こんにちは、岩城です。
先日、以下エントリを書きました。
エントリ内で宣言したとおり、以下の図のようなVPCピアリングで接続するパターンを紹介します。
VPCピアリング接続とPrivateLink接続の比較
QuickSightからPrivateLink経由でRedshiftに接続するには、RedshiftのノードタイプがRA3インスタンスであり、且つRedshiftクラスターの設定でクラスターの再配置が有効である必要があります。 このため、接続するRedshiftによっては構成変更が必要となるケースがあります。 一方、VPCピアリングを経由した接続の場合、これらの構成変更は不要です。
また、2021.11.10時点で東京リージョンでの利用を前提に料金を比較するとVPCピアリングの方が安く済みます。
- PrivateLink
- インターフェイスエンドポイントごとに0.014USD
- エンドポイントが処理するデータ1GBあたり0.01USD
- VPCエンドポイント
- 同じリージョン内のアベイラビリティーゾーンをまたいだVPC ピアリングでIN/OUTされるデータ1GBあたり0.01USD
- ただし、同じアベイラビリティゾーン間の通信であれば無料になるケースもある
まずはVPCピアリングを検討いただき、何らかの理由により選択できない場合、PrivateLinkを検討した方が良さそうに思いました。
VPCピアリングを設定する
VPCピアリングを作成します。今回はQuickSightアカウントのVPCからRedshiftアカウントのVPCへ接続をリクエストする形で作りました。
Redshiftアカウント側にリクエストがあがっていますので承諾します。
ルートテーブルを修正する
それぞれのVPCへリクエストが到達するようにルートテーブルを修正します。
QuickSightアカウントのルートテーブルでは、 RedshiftアカウントのVPC CIDRを宛先とする場合、VPCピアリングに向くようにします。
同じようにRedshiftアカウントのルートテーブルで、QuickSightアカウントのVPC CIDRを宛先とする場合、VPCピアリングに向くようにします。
Redshiftのセキュリティグループを修正する
QuickSightのENIが起動するサブネットのCIDRからの通信を許可するよう、Redshiftのセキュリティグループを修正します。
QuickSightのVPC接続を設定する
QuickSightがVPC内のリソースにアクセスするため、指定したVPCのサブネットにENIを作成します。QuickSightの管理
から
VPC接続の管理
およびVPC接続の追加
をクリックします。
ENIにアタッチするセキュリティグループを指定しますが、リストから選択できるものではなく直接入力が必要なため、予めセキュリティグループIDを控えておくとスムーズです。
QuickSightから別AWSアカウントのプライベートRedshiftに接続する
QuickSightから別アカウントにあるプライベートRedshiftに接続する準備ができました。
データセットの作成からRedshift 手動接続
を選択します。
Redshiftに接続するため必要なる情報を設定します。
データベースサーバーはRedshiftクラスターのエンドポイントを指定します。
設定が完了しましたら検証します。ここまでの設定が問題なければ検証済みとなり、QuickSightからRedshiftへ接続できます。
あとはQuickSightお馴染み、データセットを作成して分析できるようになります。
おわりに
本エントリがどなかたのお役に立てれば幸いです。