Amazon Redshift 增强型 VPC 路由
在使用 Amazon Redshift 增强型 VPC 路由时,Amazon Redshift 会强制通过您的 Amazon VPC 路由集群和数据存储库之间的所有 COPY 和 UNLOAD 流量。通过使用增强型 VPC 路由,您可以使用标准 VPC 功能,例如 VPC 安全组、网络访问控制列表 (ACL)、VPC 终端节点、VPC 终端节点策略、Internet 网关和域名系统 (DNS) 服务器,如 Amazon VPC 用户指南 中所述。 您可以使用这些功能来严格管理 Amazon Redshift 集群与其他资源之间的数据流。在使用增强型 VPC 路由通过您的 VPC 路由流量时,也可以使用 VPC 流日志来监视 COPY 和 UNLOAD 流量。
如果未启用增强型 VPC 路由,则 Amazon Redshift 会通过 Internet 路由流量,包括至 AWS 网络中的其他服务的流量。
重要
由于增强型 VPC 路由影响了 Amazon Redshift 访问其他资源的方式,因此,除非您正确配置 VPC,否则 COPY 和 UNLOAD 命令可能会失败。您必须专门在集群的 VPC 和数据资源之间创建网络路径,如下所述。
在对已启用增强型 VPC 路由的集群执行 COPY 或 UNLOAD 命令时,您的 VPC 会使用最严格 或最具体的可用网络路径来将流量路由到指定资源。
例如,可以在您的 VPC 中配置以下路径:
-
VPC 终端节点 – 对于传输到集群所在 AWS 区域中的 Amazon S3 存储桶的流量,您可以创建 VPC 终端节点来将流量直接传送到该存储桶。在使用 VPC 终端节点时,您可以附加终端节点策略来管理对 Amazon S3 的访问。有关将终端节点与 Amazon Redshift 结合使用的更多信息,请参阅使用 VPC 终端节点。
-
NAT 网关 – 您可以连接到另一个 AWS 区域中的 Amazon S3 存储桶,并且可以连接到 AWS 网络中的另一个服务。您还可以访问 AWS 网络外部的主机实例。为此,请配置网络地址转换 (NAT) 网关,如 Amazon VPC 用户指南 中所述。
-
Internet 网关 – 要连接到 VPC 外部的 AWS 服务,您可以将 Internet 网关附加到您的 VPC 子网,如 Amazon VPC 用户指南 中所述。 要使用 Internet 网关,您的集群必须具有一个公有 IP 来允许其他服务与您的集群进行通信。
有关更多信息,请参阅 Amazon VPC 用户指南中的 VPC 终端节点。
使用增强型 VPC 路由不收取任何额外费用。您可能需要为某些操作支付额外的数据传输费用。其中包括在不同 AWS 区域中 UNLOAD 到 Amazon S3 之类的操作。使用公有 IP 地址从 Amazon EMR 或安全外壳 (SSH) 执行 COPY。有关定价的更多信息,请参阅 Amazon EC2 定价。