こんにちはMitzです。今日はPODへのプライベート接続の対応状況についてまとめみます。
PODとリージョン
2024年は北米でCAC2(Azure), 中東でMEC2(GCP)の合計2つ(赤字)のリージョン/PODが追加されたので、商用リージョン数は18(APJ:5, EMEA:6, NA:7)、POD数は22(APJ:5, EMEA:6, NA:12)となりました。
これにプレリリース環境を加えると、リージョン数19、 POD数23という事になります。
IDMCでのプライベート接続の対応状況
IDMCは4つのクラウドプロバイダーからサービスを提供していますが、2024年12月現在、PODへのプライベート接続に対応済なのは、AWS POD群とAzure POD群のみで、GCP POD群とOCI PODは未対応です。要注意なのが、IDMCのAWS PODとAzure PODであっても、プライベート接続を未提供のPODもありますし、プライベート接続の対応状況はIDMCのサービス毎に異なります。
プライベート接続に対応済のサービス
- API Manager
- Application Integration
- B2B Gateway
- Cloud Data Integration for PowerCenter (CDI-PC)
- Data Governance and Catalog
- Data Integration
- Data Marketplace
- Data Profiling
- Data Quality
- Integration Hub
- Data Ingestion and Replication (Databases, Files, and Streaming)
- MDM SaaS services ( Customer 360 SaaS, Multidomain MDM SaaS, Product 360 SaaS, Reference 360 Saas, and Supplier 360 SaaS)
- Metadata Command Center
2024年11月上旬に更新されたオンラインマニュアルではAzure Private LinkでMDM SaaSが未対応と扱いになっていますが、11月下旬に対応済となった事を確認済。
PODでのプライベート接続の対応状況
対応状況は、PAM for Informatica Intelligent Cloud Services (IICS)に記載されているのですが、Product Availability Matrixは、いまだにExcelベースで作成されているのでファイルをダウンロードしてPrivateLink PODsシートを要確認です。
因みにPODへのプライベート接続は商用PODにのみ提供しているため、プレリリース環境は未対応です。プライベート接続に対応済のサービスであっても当該PODでは未対応という事もあるため、PAMは必ず確認しましょう。
APJ リージョン/PODでの対応状況
Azure Australia PODのみサービス未提供ですが、AWS Australia POD, Azure Singapore POD, AWS Japan PODは最高レベルの対応状況です。Azure Japan PODは、現時点でCDI PCのサービス自体未提供なためプライベート接続は未対応ですが、CDGCのサービス自体は提供済のため今後の利用状況に応じてプライベート接続にも対応するのではないかと思います。
プライベート接続のライセンス
プライベート接続のラインセスはIPUの消費で賄うことはできないためPrivateLink for Intelligent Data Management Cloudというライセンスを別途購入する必要があります。
Informatica Cloud and Product Description Scheduleによると、一つのPrivateLink for Intelligent Data Management Cloudライセンスに含まれるのは下記と記載されています。
つまり、
- お客様側の仮想ネットワークとInformaticaのPOD側の仮想ネットワークの接続一つ
- ORG数は最大10個まで
という事ですね。
仮に、AWS Japan PODでプライベート接続を使用するORGが15個存在する場合には、PrivateLink for Intelligent Data Management Cloudライセンス * 2の購入が必要になり、さらにAzure Japan PODでプライベート接続を使用するORGが3個存在する場合には、POD毎にPrivateLink for Intelligent Data Management Cloudライセンスが必要となるため、トータルでPrivateLink for Intelligent Data Management Cloudライセンス * 3の購入が必要になります。
PrivateLink for Intelligent Data Management Cloudライセンスの確認方法
PrivateLink for Intelligent Data Management Cloudライセンスを購入した契約のORGでは下記のようにコネクタの箇所でPrivateLinkという名称でライセンスが有効済である事を確認できます。
プライベート接続が構成済かどうかの確認方法
PrivateLink for Intelligent Data Management CloudライセンスがORGに対して有効化済であっても、プライベート接続を構成済とは限りません。実際にプライベート接続を構成済かどうかを確認する方法なんですが、残念ながらIDMCのUI上で確認する手段は存在しません。
セキュアエージェントからPOD上の各サービスに対してPINGを実行して、応答に含まれるIPアドレスがパブリックなIPアドレスではない場合には、プライベート接続が構成済と判断できますが、手間がかかるので今後の改善に期待したいところです。
プライベート接続の作成方法
英語ですがオンラインマニュアルで手順が詳細に記載されているため、ここでは注意事項のみ言及したいと思います。共通での注意事項は、インフォマティカのサポートに連絡して(Caseを起票)プライベート接続の作成手続きを開始する必要があるという点です。
AWS PODでのプライベート接続作成方法
AWS PODではAWS PrivateLinkを使用してセキュアエージェントが配置されたVPCとIDMCのPOD間のプライベート接続を実現します。
作成手順はこちらを参照ください。
AWS PrivateLink Onboarding Guide for Informatica Intelligent Cloud Services
FAQ
利用者側はサービスコンシューマーとしてVPC エンドポイントを作成して、VPC をIDMCのPOD側のエンドポイントサービスに接続する必要がありますが、VPCエンドポイントとてサポートされるのはインターフェイスエンドポイントのみです。つまり、Gateway Load Balancer エンドポイントは未サポートです。
IDMCのPODとは別リージョンにセキュアエージェントを配置したVPCが既に存在する場合、IDMCのPODと同じリージョンにVPCとENIを作成し、その二つのVPCをVPC Peeringした構成でのプライベート接続はサポートされます。同様にその二つのVPCをTransit Gatewayで接続した構成でのプライベート接続もサポートされます。
PODのDRサイトに対するプライベート接続作成は別途実施する必要があります。作成手順のステップ5として記載していますが、例えば、AWS Japan PODを利用している場合、プライベート接続はAWSの東京リージョンに対して作成されますので、災対時にIDMCのサービスがAWS大阪リージョンからの提供に切り替わる状況でもプライベート接続を維持したい場合には、予めAWS大阪リージョンに対してもプライベート接続を作成しておく必要があります。
Azure PODでのプライベート接続作成方法
Azure PODではAzure Private Linkを使用してセキュアエージェントが配置されたVNetとIDMCのPOD間のプライベート接続を実現します。
作成手順はこちらを参照ください。
Microsoft Azure Private Link Onboarding Guide for Informatica Intelligent Cloud Services
FAQ
AWSとは異なりPODのDRサイトに対するプライベート接続を別途作成する必要はありません。
おわりに
個人的には、GCPだとPrivate Service Connect、OCIだとPrivate Endpointを利用してPODへのプライベート接続を実現できるのではないかと思うのですが、GCP POD群とOCI PODで未対応な理由は分かりませんでした。今後の拡張に期待したいと思います。