设置 Amazon VPC 以建立从 Amazon Glue 到 Amazon RDS 数据存储的 JDBC 连接
使用 JDBC 连接到 Amazon RDS 中的数据库时,您需要执行额外的设置。要允许 Amazon Glue 组件与 Amazon RDS 进行通信,您必须在 Amazon VPC 中设置对 Amazon RDS 数据存储的访问权限。要支持 Amazon Glue 在其组件之间通信,请为所有 TCP 端口指定一个具有自引用入站规则的安全组。通过创建自引用规则,您可以将源限制为 VPC 中的同一安全组。自引用规则不会向所有网络开放 VPC。VPC 的默认安全组可能已经为所有流量设置了自引用入站规则。
设置 Amazon Glue 和 Amazon RDS 数据存储之间的访问权限
登录 Amazon Web Services Management Console 并通过以下网址打开 Amazon RDS 控制台:https://console.aws.amazon.com/rds/
。 -
在 Amazon RDS 控制台中,找到用于控制 Amazon RDS 数据库访问权限的安全组。
在左侧导航窗格中,选择数据库,然后从主窗格的列表中选择要连接的实例。
在数据库详细信息页面中,在连接和安全选项卡上找到 VPC 安全组。
-
根据您的网络架构,确定最适合修改以允许 Glue Amazon 服务访问的关联安全组。保存其名称
database-security-group,以备将来参考。如果没有合适的安全组,请按照 Amazon RDS 文档中通过创建安全组提供对 VPC 中的数据库实例的访问部分的说明操作。 -
通过 https://console.aws.amazon.com/vpc/
登录到Amazon Web Services Management Console并打开 Amazon VPC 控制台。 -
在 Amazon VPC 控制台中,确定如何更新
database-security-group。在左侧导航窗格中,选择安全组,然后从主窗格的列表中选择
database-security-group。 -
找到
database-security-group的安全组 ID,即database-sg-id。保存以备将来参考。在安全组详细信息页面中,找到安全组 ID。
-
更改
database-security-group的入站规则,添加自引用规则以允许 Amazon Glue 组件进行通信。具体来讲,添加或确认有一条类型为All TCP,协议为TCP,端口范围包括所有端口,且源为database-sg-id的规则。确认您为源输入的安全组正是您正在编辑的安全组。在安全组详细信息页面中,选择编辑入站规则。
入站规则类似于以下内容:
类型 协议 端口范围 来源 所有 TCP
TCP
0–65535
database-sg-id -
添加出站流量规则。
在安全组详细信息页面中,选择编辑出站规则。
如果您的安全组允许所有出站流量,则不需要单独的规则。例如:
类型 协议 端口范围 目标位置 所有流量
ALL
ALL
0.0.0.0/0
如果您的网络架构旨在限制出站流量,请创建以下出站规则:
创建类型为
All TCP,协议为TCP,端口范围包括所有端口,且目标为database-sg-id的自引用规则。确认您为目标输入的安全组正是您正在编辑的安全组。如果使用 Amazon S3 VPC 端点,添加 HTTPS 规则以允许从该 VPC 到 Amazon S3 的流量。创建一条类型为
HTTPS,协议为TCP,端口范围为443,目标为 Amazon S3 网关端点的托管前缀列表 ID(即s3-prefix-list-id)的规则。有关前缀列表和 Amazon S3 网关端点的更多信息,请参阅 Amazon VPC 文档中的 Amazon S3 网关端点。例如:
类型 协议 端口范围 目标位置 所有 TCP
TCP
0–65535
database-sg-idHTTPS
TCP
443
s3-prefix-list-id