Saltar al contenido principal
Puede usar AWS PrivateLink para establecer una conectividad segura entre VPC, servicios de AWS, sus sistemas on-premise y ClickHouse Cloud sin exponer el tráfico a la red pública de Internet. Este documento describe la funcionalidad de endpoint privado inverso de ClickPipes que permite configurar un endpoint de VPC de AWS PrivateLink.

Fuentes de datos compatibles con ClickPipes

La funcionalidad de endpoint privado inverso de ClickPipes se limita a los siguientes tipos de fuentes de datos:
  • Kafka
  • Postgres
  • MySQL
  • MongoDB
El endpoint privado inverso de ClickPipes puede configurarse con uno de los siguientes enfoques de AWS PrivateLink:

Recurso de VPC

No se admite el acceso entre regiones.
Se puede acceder a sus recursos de VPC en ClickPipes mediante PrivateLink. Este enfoque no requiere configurar un balanceador de carga delante de la fuente de datos. La configuración del recurso puede apuntar a un host específico o a un ARN de clúster de RDS. Es la opción preferida para Postgres CDC al ingestar datos desde un clúster de RDS. Para configurar PrivateLink con un recurso de VPC:
  1. Cree una puerta de enlace de recursos
  2. Cree una configuración de recurso
  3. Cree un recurso compartido
1

Crear un gateway de recursos

El gateway de recursos es el punto que recibe el tráfico de los recursos especificados en su VPC.
Se recomienda que las subredes adjuntas a su gateway de recursos tengan suficientes direcciones IP disponibles. Se recomienda usar, como mínimo, una máscara de subred /26 para cada subred.Para cada endpoint de VPC (cada Reverse Private Endpoint), AWS requiere un bloque contiguo de 16 direcciones IP por subred. (máscara de subred /28) Si no se cumple este requisito, Reverse Private Endpoint pasará a un estado fallido.
Puede crear un gateway de recursos desde la consola de AWS o con el siguiente comando:
aws vpc-lattice create-resource-gateway \
    --vpc-identifier <VPC_ID> \
    --subnet-ids <SUBNET_IDS> \
    --security-group-ids <SG_IDs> \
    --name <RESOURCE_GATEWAY_NAME>
La salida contendrá un ID del gateway de recurso, que necesitará para el siguiente paso.Antes de poder continuar, tendrá que esperar a que el gateway de recurso pase al estado Active. Puede comprobar el estado ejecutando el siguiente comando:
aws vpc-lattice get-resource-gateway \
    --resource-gateway-identifier <RESOURCE_GATEWAY_ID>
2

Crear una Resource-Configuration de VPC

La Resource-Configuration se asocia con el gateway del recurso para que este sea accesible.Puede crear una Resource-Configuration desde la consola de AWS o con el siguiente comando:
aws vpc-lattice create-resource-configuration \
    --resource-gateway-identifier <RESOURCE_GATEWAY_ID> \
    --type <RESOURCE_CONFIGURATION_TYPE> \
    --resource-configuration-definition <RESOURCE_CONFIGURATION_DEFINITION> \
    --name <RESOURCE_CONFIGURATION_NAME>
El tipo de configuración de recurso más sencillo es una única Resource-Configuration. Puede configurarlo directamente con el ARN o compartir una dirección IP o un nombre de dominio que pueda resolverse públicamente.Por ejemplo, para configurar con el ARN de un clúster de RDS:
aws vpc-lattice create-resource-configuration \
    --name my-rds-cluster-config \
    --type ARN \
    --resource-gateway-identifier rgw-0bba03f3d56060135 \
    --resource-configuration-definition 'arnResource={arn=arn:aws:rds:us-east-1:123456789012:cluster:my-rds-cluster}'
No se puede crear una configuración de recursos para un clúster accesible públicamente. Si el clúster es accesible públicamente, debes modificarlo para que sea privado antes de crear la configuración de recursos o usar una lista de IP permitidas en su lugar. Para obtener más información, consulta la documentación de AWS.
El resultado contendrá un ARN de Resource-Configuration, que necesitarás para el siguiente paso. También contendrá un ID de Resource-Configuration, que necesitarás para configurar una conexión de ClickPipe con un recurso de VPC.
3

Crear un Resource-Share

Para compartir su recurso, necesita un Resource-Share. Esto se gestiona mediante el Resource Access Manager (RAM).
Un Resource-Share solo puede usarse para un único Reverse Private Endpoint y no puede reutilizarse. Si necesita usar la misma Resource-Configuration para varios Reverse Private Endpoints, debe crear un Resource-Share independiente para cada endpoint. El Resource-Share permanece en su cuenta de AWS después de eliminar un Reverse Private Endpoint y debe eliminarse manualmente si ya no es necesario.
Puede añadir la Resource-Configuration al Resource-Share mediante la consola de AWS o ejecutar el siguiente comando con el ID de cuenta de ClickPipes 072088201116 (arn:aws:iam::072088201116:root):
aws ram create-resource-share \
    --principals 072088201116 \
    --resource-arns <RESOURCE_CONFIGURATION_ARN> \
    --name <RESOURCE_SHARE_NAME>
La salida contendrá un ARN de Resource Share, que necesitarás para configurar una conexión de ClickPipe con un recurso de VPC.Ya estás listo para crear un ClickPipe con Reverse private endpoint usando un recurso de VPC. Necesitarás:
  • Establecer VPC endpoint type en VPC Resource.
  • Establecer Resource configuration ID en el ID de la Resource-Configuration creada en el paso 2.
  • Establecer Resource share ARN en el ARN del Resource-Share creado en el paso 3.
Para obtener más información sobre PrivateLink con un recurso de VPC, consulta la documentación de AWS.

Conectividad MSK multi-VPC

La conectividad Multi-VPC es una función integrada de AWS MSK que le permite conectar varias VPC a un único clúster de MSK. La compatibilidad con DNS privado viene habilitada de forma predeterminada y no requiere ninguna configuración adicional. No se admite la conectividad entre regiones. Es una opción recomendada para ClickPipes para MSK. Consulte la guía de primeros pasos para obtener más información.
Actualice la política de su clúster de MSK y agregue 072088201116 a las entidades principales permitidas de su clúster de MSK. Consulte la guía de AWS sobre cómo adjuntar una política de clúster para obtener más información.
Siga nuestra guía de configuración de MSK para ClickPipes para aprender a configurar la conexión.

Servicio de endpoint de VPC

El servicio de endpoint de VPC es otra forma de compartir su fuente de datos con ClickPipes. Requiere configurar un NLB (Network Load Balancer) delante de su fuente de datos y configurar el servicio de endpoint de VPC para que use ese NLB. El servicio de endpoint de VPC puede configurarse con un DNS privado, al que se podrá acceder desde una VPC de ClickPipes. Es la opción preferida para:
  • Cualquier implementación on-premise de Kafka que requiera compatibilidad con DNS privado
  • Conectividad entre regiones para Postgres CDC
  • Conectividad entre regiones para un cluster de MSK. Póngase en contacto con el soporte de ClickHouse para obtener ayuda.
Consulte la guía de primeros pasos para obtener más detalles.
Agregue el ID de cuenta de ClickPipes 072088201116 a las entidades principales permitidas de su servicio de endpoint de VPC. Consulte la guía de AWS sobre la gestión de permisos para obtener más detalles.
El acceso entre regiones puede configurarse para ClickPipes. Agregue su región de ClickPipe a las regiones permitidas en su servicio de endpoint de VPC.

Crear un ClickPipe con un endpoint privado inverso

  1. Accede a la SQL Console de tu servicio de ClickHouse Cloud.
  1. Selecciona el botón Data Sources en el menú lateral izquierdo y haz clic en “Configurar un ClickPipe”
  1. Selecciona Kafka o Postgres como fuente de datos.
  1. Selecciona la opción Reverse private endpoint.
  1. Selecciona cualquiera de los endpoints privados inversos existentes o crea uno nuevo.
Si necesitas acceso entre regiones para RDS, debes crear un servicio de endpoint de VPC y esta guía puede servirte como buen punto de partida para configurarlo.Para el acceso dentro de la misma región, el enfoque recomendado es crear un recurso de VPC.
  1. Proporciona los parámetros obligatorios para el tipo de endpoint seleccionado.
  • Para un recurso de VPC, proporciona el ARN de uso compartido de la configuración y el ID de la configuración.
    • Para MSK multi-VPC, proporciona el ARN del cluster y el método de authentication usado con un endpoint creado.
    • Para un servicio de endpoint de VPC, proporciona el nombre del servicio.
  1. Haz clic en Create y espera a que el endpoint privado inverso esté listo. Si estás creando un endpoint nuevo, la configuración tardará algo de tiempo. La página se actualizará automáticamente una vez que el endpoint esté listo. Un servicio de endpoint de VPC puede requerir que aceptes la solicitud de conexión en tu consola de AWS.
  1. Una vez que el endpoint esté listo, puedes usar un nombre DNS para conectarte a la fuente de datos. En la lista de endpoints, puedes ver el nombre DNS del endpoint disponible. Puede ser un nombre DNS aprovisionado internamente por ClickPipes o un nombre DNS privado proporcionado por un servicio de PrivateLink. El nombre DNS no es una dirección de red completa. Añade el puerto según la fuente de datos. La connection string de MSK puede consultarse en la consola de AWS. Para ver la lista completa de nombres DNS, accede a ella en la configuración del servicio Cloud.

Gestión de los endpoints privados inversos existentes

Puede gestionar los endpoints privados inversos existentes en la configuración del servicio de ClickHouse Cloud:
  1. En la barra lateral, busque el botón Settings y haga clic en él.
  2. Haga clic en Reverse private endpoints en la sección ClickPipe reverse private endpoints. La información detallada del endpoint privado inverso se muestra en el flyout. El endpoint puede eliminarse desde aquí. Esto afectará a cualquier ClickPipe que use este endpoint.
La compatibilidad con AWS PrivateLink para ClickPipes está limitada a determinadas regiones de AWS. Consulta la lista de regiones de ClickPipes para ver qué regiones están disponibles. Esta restricción no se aplica al servicio de endpoint de VPC de PrivateLink con la conectividad entre regiones habilitada.

Limitaciones

No se garantiza que los endpoints de AWS PrivateLink para ClickPipes creados en ClickHouse Cloud se creen en la misma región de AWS que el servicio de ClickHouse Cloud. Actualmente, solo el servicio de endpoint de VPC admite conectividad entre regiones. Los private endpoints están vinculados a un servicio específico de ClickHouse y no pueden transferirse entre servicios. Varios ClickPipes para un mismo servicio de ClickHouse pueden reutilizar el mismo endpoint. AWS MSK admite solo un PrivateLink (VPC endpoint) por cluster de MSK y por tipo de autenticación (SASL_IAM o SASL_SCRAM). Como resultado, varios servicios u organizaciones de ClickHouse Cloud no pueden crear conexiones de PrivateLink independientes al mismo cluster de MSK con el mismo tipo de autenticación.

Limpieza automática de endpoints inactivos

Los endpoints privados inversos que permanecen en un estado terminal se eliminan automáticamente tras un período de gracia definido. Esto garantiza que los endpoints no utilizados o mal configurados no permanezcan indefinidamente. Se aplican los siguientes períodos de gracia según el estado del endpoint:
EstadoPeríodo de graciaDescripción
Failed7 díasEl endpoint encontró un error durante el aprovisionamiento.
Pending Acceptance1 díaLa conexión del endpoint no ha sido aceptada por el propietario del servicio.
Rejected1 díaLa conexión del endpoint fue rechazada por el propietario del servicio.
ExpiredInmediatoEl endpoint ya ha expirado y se elimina de inmediato.
Una vez transcurrido el período de gracia, el endpoint y todos los recursos asociados se eliminan automáticamente. Para evitar la eliminación automática, resuelva el problema subyacente antes de que expire el período de gracia. Por ejemplo, acepte una solicitud de conexión pendiente en la consola de AWS o vuelva a crear el endpoint si ha entrado en estado Failed.
Última modificación el 10 de junio de 2026