本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将Amazon DataSync代理与 VPC 终端节点一起使用
使用虚拟私有云 (VPC) 终端节点,您无需在公共 Internet 上移动数据。 Amazon DataSync可以通过基于 Amazon VPC 服务的 VPC 传输数据。Amazon
DataSync 代理如何使用 VPC 终端节点
VPC 终端节点由提供Amazon PrivateLink。这些类型的终端节点使您可以私下Amazon Web Services 服务连接到支持的 VPC。当您将 VPC 终端节点与一起使用时 DataSync, DataSync 代理和之间的所有通信都将Amazon保留在您的 VPC 中。
如果您要从本地存储系统进行传输,则必须将您的 VPC 扩展到存储所在的本地网络。您可以使用Amazon Direct Connect或虚拟专用网络 (VPN) 执行此操作,例如Amazon Site-to-Site VPN。这包括从您的本地网络设置路由表以访问 VPC 终端节点。有关更多信息,请参阅Amazon PrivateLink指南中的网关终端节点路由。
部署并激活代理后,您可以为转移创建任务。执行此操作时, DataSync 会为数据流量创建网络接口。这些接口是私有 IP 地址,只能从您的 VPC 内部访问。
VPC 要求
与您一起使用的 VPC DataSync 必须具有默认租期。不支持具有专用租约的 VPC。有关更多信息,请参阅使用 VPC。
将您的 DataSync 代理配置为使用 VPC 终端节点
在以下步骤中,学习如何将 DataSync 代理配置为使用 VPC 终端节点。
下图说明了设置过程。
配置 DataSync 代理以使用 VPC 终端节点与Amazon之通信
-
选择要在其中设置 DataSync 私有 IP 地址的 VPC 和子网。
VPC 应通过使用路由规则Amazon Direct Connect或 VPN 扩展到您的本地环境(您的自管理对象存储所在的位置)。
-
在存储 DataSync 区附近部署代理。
代理必须能够使用 NFS、SMB 或 Amazon S3 API 访问您的源存储位置。您可以从 DataSync 控制台下载 DataSync 代理的
.ova
文件。该代理不需要公有 IP 地址。有关下载和部署.ova
映像的更多信息,请参阅使用创建Amazon DataSync代理Amazon CLI。注意
只能将代理用于一种类型的终端节点,即私有、公共或联邦信息处理标准 (FIPS)。如果您已经配置了通过公共互联网传输数据的代理,请部署新的代理将数据传输到私有 DataSync 终端节点。有关详细说明,请参阅部署您的Amazon DataSync代理。
-
在您在步骤 1 中选择的 VPC 中,创建一个安全组以确保对 DataSync 使用的私有/私有地址的访问权限。
这些地址包括一个用于控制流量的 VPC 终端节点和四个用于数据传输流量的网络接口。可以使用此安全组管理对这些私有 IP 地址的访问,并确保代理可以路由到这些私有 IP 地址。
代理必须能够与这些 IP 地址建立连接。在连接到端点的安全组中,配置入站规则,以允许代理的私有 IP 地址连接到这些端点。
-
为 DataSync 服务创建 VPC 终端节点。
要执行此操作,请打开 Amazon VPC 控制台 https://console.aws.amazon.com/vpc/
,然后从左侧的导航窗格中选择终端节点。选择 Create endpoint(创建端点)。 对于 Service category(服务类别),选择 Amazon Web Services 服务。在服务名称DataSync中,选择您的Amazon Web Services 区域(例如,
com.amazonaws.us-east-1.datasync
)。然后,选择您在步骤 1 和步骤 3 中选择的 VPC 和安全组。确保清除 Enable Private DNS Name (启用私有 DNS 名称) 复选框。重要
如果您已在 Amazon EC2 实例上部署了 DataSync 代理,请选择代理所在的可用区,以避免为可用区域之间的网络流量收费。
要了解有关所有数据传输价格的更多信息Amazon Web Services 区域,请参阅 Amazon EC2 按需定价
。 有关创建 VPC 终端节点的更多详细信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点。
-
当您的新 VPC 终端节点可用时,请确保存储环境的网络配置允许激活代理。
激活是一次性操作,可将代理与您的安全关联起来Amazon Web Services 账户。要激活代理,请使用可通过端口 80 访问代理的计算机。激活后,您可以撤消此访问权限。代理必须能够访问您在步骤 4 中创建的 VPC 终端节点的私有 IP 地址。
要找到此 IP 地址,请打开 Amazon VPC 控制台 https://console.aws.amazon.com/vpc/
,然后从左侧的导航窗格中选择终端节点。选择终 DataSync 端节点,然后在子网列表中查看所选子网的私有 IP 地址。这是 VPC 终端节点的 IP 地址。 注意
确保使用端口 443、1024—1064 和端口 22 允许从代理到 VPC 终端节点的出站流量。端口 22 是可选的,用于信Amazon Web Services Support道。
-
激活代理。如果您的计算机可以使用端口 80 路由到代理并且可以访问控制台,请打开 DataSync 控制台,在左侧导航窗格中选择代理,然后选择创建代理。在服务终端节点部分中,使用选择 VPC 终端节点Amazon PrivateLink。
从步骤 4 中选择 VPC 终端节点,从步骤 1 中选择子网,并从步骤 3 中选择安全组。输入代理的 IP 地址。
如果您无法使用同一台计算机访问代理和 DataSync 控制台,请在可以访问代理端口 80 的计算机上使用命令行激活代理。有关更多信息,请参阅使用创建Amazon DataSync代理Amazon CLI:
-
选择获取密钥,(可选)输入代理名称和标签,然后选择创建代理。
您的新代理出现在 DataSync控制台的 “代理” 选项卡上。绿色 VPC 终端节点状态表示使用此代理执行的所有任务均使用私有终端节点,无需通过公共互联网。
-
通过配置传输的来源和目标位置来创建任务。
有关更多信息,请参阅与Amazon DataSync地点合作:
为了使用私有 IP 地址简化传输,您的任务在您选择的 VPC 和子网中创建了四个网络接口。
-
确保您的代理可以访问任务创建的四个网络接口和相关 IP 地址。
要找到这些 IP 地址,请打开 Amazon EC2 控制台 https://console.aws.amazon.com/ec2/
,然后在控制面板上选择网络接口。在搜索过滤器中输入任务 ID 以查看任务的四个网络接口。这些是您的 VPC 终端节点使用的网络接口。请务必使用端口 443 以允许从代理到这些接口的出站流量。
现在可以开始您的任务。对于使用此代理的其他每个任务,重复步骤 9 以允许任务的通过端口 443 的流量。