Amazon Redshift 中的增强型 VPC 路由
在使用 Amazon Redshift 增强型 VPC 路由时,Amazon Redshift 会强制通过基于 Amazon VPC 服务的 Virtual Private Cloud (VPC) 路由集群和数据存储库之间的所有 COPY 和 UNLOAD 流量。通过使用增强型 VPC 路由,您可以使用标准 VPC 功能,例如 VPC 安全组、网络访问控制列表 (ACL)、VPC 终端节点、VPC 终端节点策略、互联网 网关和域名系统 (DNS) 服务器,如 Amazon VPC 用户指南中所述。您可以使用这些功能来严格管理 Amazon Redshift 集群与其他资源之间的数据流。在使用增强型 VPC 路由以通过 VPC 路由流量时,您还可以使用 VPC 流日志监视 COPY 和 UNLOAD 流量。
如果未启用增强型 VPC 路由,则 Amazon Redshift 会通过 互联网 路由流量,包括至 Amazon 网络中的其他服务的流量。
由于增强型 VPC 路由影响 Amazon Redshift 访问其他资源的方式,除非您正确配置了 VPC,否则 COPY 和 UNLOAD 命令可能会失败。您必须专门在集群的 VPC 和数据资源之间创建网络路径,如下所述。
在对启用了增强型 VPC 路由的集群运行 COPY 或 UNLOAD 命令时,VPC 使用最严格或最具体的可用网络路径将流量路由到指定的资源。
例如,可以在您的 VPC 中配置以下路径:
-
VPC 终端节点 – 对于传输到集群所在 Amazon 区域中的 Simple Storage Service(Amazon S3)存储桶的流量,您可以创建 VPC 终端节点来将流量直接传送到该存储桶。在使用 VPC 终端节点时,您可以附加端点策略来管理对 Simple Storage Service(Amazon S3)的访问。有关将端点与 Amazon Redshift 结合使用的更多信息,请参阅使用 VPC 终端节点。如果您使用的是 Lake Formation,则可以在 Amazon Lake Formation 和接口 VPC 端点 (Amazon PrivateLink) 中找到有关在 VPC 和 Amazon Lake Formation 之间建立私有连接的更多信息。
-
NAT 网关 – 您可以连接到另一个 Amazon 区域中的 Simple Storage Service(Amazon S3)存储桶,并且可以连接到 Amazon 网络中的另一个服务。您还可以访问 Amazon 网络外部的主机实例。为此,请配置网络地址转换 (NAT) 网关,如 Amazon VPC 用户指南中所述。
-
互联网网关 – 要连接到 VPC 外部的 Amazon 服务,您可以将互联网网关附加到您的 VPC 子网,如 Amazon VPC 用户指南中所述。要使用 Internet 网关,您的集群必须具有一个公有 IP 来允许其他服务与您的集群进行通信。
有关更多信息,请参阅 Amazon VPC 用户指南中的 VPC 终端节点。
使用增强型 VPC 路由不会产生任何额外的费用。您可能需要为某些操作支付额外的数据传输费用。其中包括在不同 Amazon 区域中 UNLOAD 到 Simple Storage Service(Amazon S3)之类的操作。使用公有 IP 地址从 Amazon EMR 或安全外壳 (SSH) 执行 COPY。有关定价的更多信息,请参阅 Amazon EC2 定价