本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
连接到 a 中的JDBC数据存储 VPC
通常,您在 Amazon Virtual Private Cloud (AmazonVPC) 内创建资源,这样就无法通过公共互联网访问这些资源。默认情况下, Amazon Glue 无法访问内部的资源VPC。 Amazon Glue 要允许访问您内部的资源VPC,您必须提供其他VPC特定配置信息,包括VPC子网IDs和安全组IDs。 Amazon Glue 使用此信息来设置弹性网络接口,使您的函数能够安全地连接到私有环境中的其他资源VPC。
使用VPC终端节点时,请将其添加到您的路由表中。有关更多信息,请参阅为 Amazon Glue和创建接口VPC终端节点先决条件。
在数据目录中使用加密时,请创建KMS接口终端节点并将其添加到您的路由表中。有关更多信息,请参阅 为创建VPC终端节点 Amazon KMS。
使用弹性网络接口访问VPC数据
Amazon Glue 连接到 a 中的JDBC数据存储时VPC, Amazon Glue 会在您的账户中创建一个弹性网络接口(带前缀Glue_
)来访问您的VPC数据。只要该网络接口已连接到,就无法将其删除 Amazon Glue。在创建 elastic network interf Amazon Glue ace 的过程中,将一个或多个安全组关联到该接口。 Amazon Glue 要启用创建网络接口,与资源关联的安全组必须允许使用源规则进行入站访问。此规则包含与资源相关联的安全组。这将为具有相同安全组的数据存储提供弹性网络接口访问。
Amazon Glue 要允许与其组件通信,请为所有TCP端口指定一个具有自引用入站规则的安全组。通过创建自引用规则,您可以将源限制在中的同一个安全组中VPC,而不是向所有网络开放。您的默认安全组VPC可能已经为其设置了自引用入站规则。ALL Traffic
您可以在 Amazon VPC 控制台中创建规则。要通过更新规则设置 Amazon Web Services Management Console,请导航到VPC控制台 (https://console.aws.amazon.com/vpc/ALL TCP
指定入站规则,使其源具有相同的安全组名称。有关安全组规则的更多信息,请参阅您的安全组VPC。
每个弹性网络接口都会从您指定的子网中的 IP 地址范围分到一个私有 IP 地址。没有为网络接口分配任何公有 IP 地址。 Amazon Glue 需要访问互联网(例如,访问没有VPC终端节点的 Amazon 服务)。您可以在内部配置网络地址转换 (NAT) 实例VPC,也可以使用 Amazon VPC NAT 网关。有关更多信息,请参阅 Amazon VPC 用户指南中的NAT网关。您不能直接使用连接到您的 Internet 网关VPC作为子网路由表中的路由,因为这要求网络接口具有公有 IP 地址。
VPC网络属enableDnsHostnames
性和enableDnsSupport
必须设置为 true。有关更多信息,请参阅DNS与您一起使用VPC。
重要
不要将数据存储置在未接入 Internet 的公有子网或私有子网中。相反,只能将其连接到通过NAT实例或 Amazon 网VPCNAT关访问互联网的私有子网。
弹性网络接口属性
要创建弹性网络接口时,您必须提供以下属性:
- VPC
-
包含您的数据存储的名称。VPC
- 子网
-
中VPC包含您的数据存储的子网。
- 安全组
-
与您的数据存储关联的安全组。 Amazon Glue 将这些安全组与连接到您的VPC子网的 elastic network 接口相关联。为了允许 Amazon Glue 组件进行通信并防止来自其他网络的访问,必须至少有一个选定的安全组为所有TCP端口指定自引用的入站规则。
有关VPC使用 Amazon Redshift 管理的信息,请参阅管理亚马逊虚拟私有云中的集群 () VPC。
有关VPC使用 Amazon Relational Database Service (AmazonRDS) 管理的信息,请参阅中的使用亚马逊RDS数据库实例VPC。