QuickSightから別アカウントにあるプライベートRedshiftに接続する(VPCピアリング編)

こんにちは、岩城です。

先日、以下エントリを書きました。

エントリ内で宣言したとおり、以下の図のようなVPCピアリングで接続するパターンを紹介します。

VPCピアリング接続とPrivateLink接続の比較

QuickSightからPrivateLink経由でRedshiftに接続するには、RedshiftのノードタイプがRA3インスタンスであり、且つRedshiftクラスターの設定でクラスターの再配置が有効である必要があります。 このため、接続するRedshiftによっては構成変更が必要となるケースがあります。 一方、VPCピアリングを経由した接続の場合、これらの構成変更は不要です。

また、2021.11.10時点で東京リージョンでの利用を前提に料金を比較するとVPCピアリングの方が安く済みます。

• PrivateLink
  • インターフェイスエンドポイントごとに0.014USD
  • エンドポイントが処理するデータ1GBあたり0.01USD
• VPCエンドポイント
  • 同じリージョン内のアベイラビリティーゾーンをまたいだVPC ピアリングでIN/OUTされるデータ1GBあたり0.01USD
  • ただし、同じアベイラビリティゾーン間の通信であれば無料になるケースもある

まずはVPCピアリングを検討いただき、何らかの理由により選択できない場合、PrivateLinkを検討した方が良さそうに思いました。

VPCピアリングを設定する

VPCピアリングを作成します。今回はQuickSightアカウントのVPCからRedshiftアカウントのVPCへ接続をリクエストする形で作りました。

Redshiftアカウント側にリクエストがあがっていますので承諾します。

ルートテーブルを修正する

それぞれのVPCへリクエストが到達するようにルートテーブルを修正します。

QuickSightアカウントのルートテーブルでは、　RedshiftアカウントのVPC CIDRを宛先とする場合、VPCピアリングに向くようにします。

同じようにRedshiftアカウントのルートテーブルで、QuickSightアカウントのVPC CIDRを宛先とする場合、VPCピアリングに向くようにします。

Redshiftのセキュリティグループを修正する

QuickSightのENIが起動するサブネットのCIDRからの通信を許可するよう、Redshiftのセキュリティグループを修正します。

QuickSightのVPC接続を設定する

QuickSightがVPC内のリソースにアクセスするため、指定したVPCのサブネットにENIを作成します。QuickSightの管理から

VPC接続の管理およびVPC接続の追加をクリックします。

ENIにアタッチするセキュリティグループを指定しますが、リストから選択できるものではなく直接入力が必要なため、予めセキュリティグループIDを控えておくとスムーズです。

QuickSightから別AWSアカウントのプライベートRedshiftに接続する

QuickSightから別アカウントにあるプライベートRedshiftに接続する準備ができました。

データセットの作成からRedshift 手動接続を選択します。

Redshiftに接続するため必要なる情報を設定します。

データベースサーバーはRedshiftクラスターのエンドポイントを指定します。

設定が完了しましたら検証します。ここまでの設定が問題なければ検証済みとなり、QuickSightからRedshiftへ接続できます。

あとはQuickSightお馴染み、データセットを作成して分析できるようになります。

おわりに

本エントリがどなかたのお役に立てれば幸いです。