はじめに
IBM Watsonx BI(旧Cognos Analytics)はIBM Cloud上のSaaSサービスですが、オンプレミスのデータベースに接続したい場面は多々あります。その際に使えるのが IBM Cloud Satellite Connector です。
本記事では、Watsonx BIからSatellite Connectorを経由してDb2に接続する構成を、IBM Cloud上のVSI(仮想サーバー)をオンプレミス環境に見立てて検証した手順をまとめます。
この記事で分かること
- Satellite Connectorの仕組みと構成
- Satellite Connector Agent(Windows版)のセットアップ
- Watsonx BIからのデータソース接続設定
対象読者
- IBM Cloud上でWatsonx BIを利用しているが、オンプレミスDBへの接続方法を検討中の方
- Satellite Connectorを初めて使う方
- DBへの接続検証の前段として軽い環境で試したい方
検証構成
今回はIBM Cloud VPC上にWindows VSIを2台用意し、オンプレミス環境に見立てた構成で検証しました。
各コンポーネントの役割
| コンポーネント | 役割 |
|---|---|
| Watsonx BI | BIツール。Db2にクエリを投げてデータを取得・可視化する |
| Satellite Connector | クラウドとオンプレ間にセキュアなトンネルを確立する仕組み |
| Connector Agent | オンプレ側に設置。IBM Cloudへアウトバウンド443で接続し、トンネルの出口として動作 |
| Db2 | データベース。Agentから転送されたクエリに応答する |
通信の流れ
- Watsonx BIがクラウド側エンドポイント(自動生成されたホスト:ポート)に接続
- Satellite Connectorがセキュアトンネル経由でAgentにリクエストを転送
- Agentが設定された宛先(Db2のプライベートIP:50000)にTCP接続を転送
- Db2がクエリに応答し、逆の経路でWatsonx BIに結果が返る
前提条件
- IBM CloudアカウントにVPC / VSI / Satellite / IAMの操作権限がある
- Watsonx BIの環境が既にプロビジョニング済み
- ローカルPCにSSH鍵ペアが作成済み(VSIのパスワード復号に使用)
Step 1: インフラ準備(VPC・VSI 2台の構築)
本記事の主題はSatellite ConnectorとDb2の接続検証のため、VPC/VSIの構築手順は概要のみ記載します。
やること
-
IBM CloudコンソールでVPCを作成(リージョン: 任意)
-
VSI①(Agent用)を作成(Windows Server 2022、bx2-2x8)。作成後、Floating IPsを付与
-
VSI②(Db2用)を同じVPC内に作成(Windows Server 2022、bx2-2x8)。作成後、Floating IPsを付与
-
セキュリティグループの設定(VSI①・VSI②は同一のセキュリティグループを共有):
インバウンドルール:
ルール名 Protocol Source type Source Port 内部通信用 ICMP-TCP-UDP Security group 自身のSG — RDP TCP Any 0.0.0.0/0 3389 ICMP ICMP Any 0.0.0.0/0 Type 8, Code Any Db2 TCP Any 0.0.0.0/0 50000 アウトバウンドルール:
ルール名 Protocol Source Destination Value 全許可 ICMP-TCP-UDP 0.0.0.0/0 0.0.0.0/0 — -
各VSIにFloating IPを割り当て、RDP接続を確認
詳細手順は IBM Cloud公式ドキュメントを参照してください:
Step 2: Db2 Community Editionのインストール
VSI②にRDP接続し、Db2 Community Edition v11.5.9(Windows 64-bit版)をインストールします。
Db2 Community Editionダウンロードページ(IBM Fix Central) からIBM IDでサインインしてダウンロードし、インストールします。インストール時に設定するユーザー(db2admin)のパスワードは、Watsonx BIからの接続時に使うのでメモしてください。
テストデータベースの作成
DB2 Command Window(管理者) で以下を実行:
db2 create database testdb
db2 connect to testdb
db2 "CREATE TABLE employee (id INT NOT NULL, name VARCHAR(50), dept VARCHAR(30), PRIMARY KEY(id))"
db2 "INSERT INTO employee VALUES (1, 'Tanaka', 'Sales')"
db2 "INSERT INTO employee VALUES (2, 'Suzuki', 'Engineering')"
db2 "INSERT INTO employee VALUES (3, 'Yamada', 'Marketing')"
db2 connect reset
リモート接続(TCP/IP)の有効化
Satellite Connector Agent経由でDb2に接続するため、TCP/IP通信を有効にします:
db2 update dbm cfg using SVCENAME 50000
db2set DB2COMM=TCPIP
db2stop force
db2start
また、Windowsファイアウォールでポート50000を許可しておきます:
New-NetFirewallRule -DisplayName "Db2 Port 50000" -Direction Inbound -Protocol TCP -LocalPort 50000 -Action Allow
Step 3: Satellite Connectorの作成
3-1. サービスIDとAPIキーの作成
Connector AgentがIBM Cloudに認証するためのサービスIDを作成します。
- IBM Cloudコンソール → 管理(Manage) → アクセス(IAM) → サービスID
- 「サービスIDの作成」→ 名前を入力(例:
satellite-connector-agent) - 作成後、APIキータブ →「Create」
- 表示されたAPIキーを必ずコピーして保存(この画面を閉じると再表示不可。このAPIキーはStep 4でConnector Agentのconfig.jsonに設定する際に使用します。)
3-2. サービスIDへのアクセスポリシー付与
サービスIDに Satellite Viewerロール を付与します(Agentの認証に必要):
- IAM → Service IDs →
satellite-connector-agentを開く - 「Access」タブを選択
- 「Access policies」セクションの「Assign access」をクリック
- サービス: Satellite
- Resources: All
- Role: Viewer
- 「Add」→「Assign」で保存
付与後、Access policiesの一覧に以下が表示されます:
3-3. Connectorの作成
- IBM Cloudコンソール → Satellite → Connectors → 「Create connector」
- 以下を設定:
| 項目 | 設定値 |
|---|---|
| Name | 任意(例: connector) |
| Tags | 任意(例: env:dev)※省略可 |
| Resource group | Default |
| Managed from | Dallas(Watsonx BIと同一リージョン) |
- 「Create connector」をクリック
注意: 「Managed from」はWatsonx BIのリージョンに合わせて選択してください。
3-4. ユーザー・エンドポイントの作成
Watsonx BIからの接続を受けるエンドポイントを作成します。
- Satellite → Connectors → 作成したコネクター → 「User endpoints」タブ → 「Create endpoint」
- 各画面の設定:
| 画面 | 項目 | 設定値 |
|---|---|---|
| Destination resource | 種別 | Agent location |
| Resource details | Endpoint name | 任意(例: db2-testdb) |
| Resource details | Destination FQDN or IP | VSI②のプライベートIP(例: 10.240.x.x) |
| Resource details | Destination port | 50000 |
| Protocol | Source protocol | TCP |
| Access control list | ルール | なし(検証のためスキップ) |
- 「Create endpoint」をクリック
作成後に表示されるクラウド側の接続情報をメモします(Step 5でWatsonx BIのデータソース接続設定に使用):
- ホスト名:
xxxx.private.us-south.link.satellite.cloud.ibm.com - ポート:
34478(自動割り当て)
このホスト名とポートがWatsonx BIから接続する宛先になります。
3-5. Connector IDのメモ
Connector作成後の詳細画面(Satellite → Connectors → 作成したコネクター)の「Details」セクションに表示される ID をメモしておきます。このIDはStep 4でConnector Agentのconfig.jsonに設定する際に使用します。
Step 4: Connector Agent(Windows版)のインストール
VSI①にRDP接続して作業します。
4-1. IBM Cloud CLIのインストール
iex(New-Object Net.WebClient).DownloadString('https://clis.cloud.ibm.com/install/powershell')
インストール後、PowerShellを再起動(PATHの反映に必要)。
4-2. Satelliteプラグインのインストール
ibmcloud plugin install ks
4-3. ログインとAgentファイルのダウンロード
ibmcloud login -r jp-tok --sso
ibmcloud sat agent attach --platform windows
出力例:
Satellite connector agent for windows was successfully returned
C:\Users\ADMINI~1\AppData\Local\Temp\2\windows_satellite_connector_XXXXXXXX.zip
4-4. ZIPファイルの展開
Expand-Archive -Path '<出力されたZIPのパス>' -DestinationPath 'C:\satellite-agent'
4-5. config.jsonの編集
C:\satellite-agent\config.json を編集:
{
"SATELLITE_CONNECTOR_ID": "<Connector ID>",
"SATELLITE_CONNECTOR_IAM_APIKEY": "<サービスIDのAPIキー>",
"SATELLITE_CONNECTOR_TAGS": "agent-vsi"
}
- SATELLITE_CONNECTOR_ID: Step 3-5でIBM Cloudコンソールのコネクター詳細画面に表示されるID
- SATELLITE_CONNECTOR_IAM_APIKEY: Step 3-1で作成したAPIキー
4-6. Agentサービスのインストール・起動
cd C:\satellite-agent
.\install.cmd
プロンプトで y を入力:
Will create and start Windows Connector Agent Service < SatelliteConnectorService >. Continue?(y/N): y
成功メッセージ:
SatelliteConnectorService installed successfully, starting ...
SatelliteConnectorService started.
※AgentはWindowsサービスとして登録されるため、サーバー再起動後も自動起動します:
Get-Service -Name "SatelliteConnectorService"
4-7. 動作確認
IBM Cloudコンソール →Satellite → Connectors → 対象のコネクター → Statusが Online と表示されることを確認。
4-8. VSI①→VSI②の疎通確認
AgentがActiveになったら、VSI①からVSI②へのTCP 50000接続を確認します:
Test-NetConnection -ComputerName <VSI②のプライベートIP> -Port 50000
TcpTestSucceeded : True が表示されればOK。
Step 5: Watsonx BIからの接続テスト
5-1. データソースの追加
- Watsonx BIにログイン
- Data and Metrics タブ → 「Create metrics」をクリック → セマンティックデータモデルの名前を入力
- Add data ページで「Create a new connection」をクリック
- コネクター一覧から IBM Db2 → 「IBM Db2 for z/OS」 を選択
5-2. 接続先情報の入力
| 項目 | 入力値 |
|---|---|
| Host |
xxxx.private.us-south.link.satellite.cloud.ibm.com(Step 3-4でメモしたホスト名) |
| Port |
34478(Step 3-4でメモしたポート) |
| Location |
testdb(データベース名) |
| Username |
db2admin(データベースのユーザー) |
| Password | ユーザーパスワード |
注意: ホスト名フィールドにポート番号を含めないこと(
:34478はPortフィールドに入力)。
5-3. 接続テスト
「Test connection」をクリック → 「The test was successful」 が表示されれば成功です🎉
Agentのログ確認方法
トラブルシュート時はAgentのログを確認すると原因が分かりやすいです:
Get-Content "C:\satellite-agent\logs\connector-agent.log" -Tail 30
まとめ
Satellite Connectorを使えば、オンプレミスのDBにVPNなしでセキュアに接続できます。Agent側からのアウトバウンド443通信のみで接続が確立するため、ファイアウォールのインバウンドルール追加が不要な点が大きなメリットです。