Amazon Redshift 中的增强型 VPC 路由
在使用 Amazon Redshift 增强型 VPC 路由时,Amazon Redshift 会强制通过基于 Amazon VPC 服务的 Virtual Private Cloud (VPC) 路由集群和数据存储库之间的所有 COPY 和 UNLOAD 流量。通过使用增强型 VPC 路由,您可以使用标准 VPC 功能,例如 VPC 安全组、网络访问控制列表 (ACL)、VPC 终端节点、VPC 终端节点策略、互联网 网关和域名系统 (DNS) 服务器,如 Amazon VPC 用户指南中所述。您可以使用这些功能来严格管理 Amazon Redshift 集群与其他资源之间的数据流。在使用增强型 VPC 路由以通过 VPC 路由流量时,您还可以使用 VPC 流日志监视 COPY 和 UNLOAD 流量。
如果未启用增强型 VPC 路由,则 Amazon Redshift 会通过 互联网 路由流量,包括至 Amazon 网络中的其他服务的流量。
由于增强型 VPC 路由影响 Amazon Redshift 访问其他资源的方式,除非您正确配置了 VPC,否则 COPY 和 UNLOAD 命令可能会失败。您必须专门在集群的 VPC 和数据资源之间创建网络路径,如下所述。
在对启用了增强型 VPC 路由的集群运行 COPY 或 UNLOAD 命令时,VPC 使用最严格或最具体的可用网络路径将流量路由到指定的资源。
例如,可以在您的 VPC 中配置以下路径:
-
VPC 终端节点 – 对于传输到集群所在 Amazon 区域中的 Amazon S3 存储桶的流量,您可以创建 VPC 终端节点来将流量直接传送到该存储桶。在使用 VPC 终端节点时,您可以附加端点策略来管理对 Amazon S3 的访问。有关将端点与 Amazon Redshift 结合使用的更多信息,请参阅使用 VPC 终端节点。
-
NAT 网关 – 您可以连接到另一个 Amazon 区域中的 Amazon S3 存储桶,并且可以连接到 Amazon 网络中的另一个服务。您还可以访问 Amazon 网络外部的主机实例。为此,请配置网络地址转换 (NAT) 网关,如 Amazon VPC 用户指南中所述。
-
互联网网关 – 要连接到 VPC 外部的 Amazon 服务,您可以将互联网网关附加到您的 VPC 子网,如 Amazon VPC 用户指南中所述。要使用 Internet 网关,您的集群必须具有一个公有 IP 来允许其他服务与您的集群进行通信。
有关更多信息,请参阅 Amazon VPC 用户指南中的 VPC 终端节点。
使用增强型 VPC 路由不会产生任何额外的费用。您可能需要为某些操作支付额外的数据传输费用。其中包括在不同 Amazon 区域中 UNLOAD 到 Amazon S3 之类的操作。使用公有 IP 地址从 Amazon EMR 或安全外壳 (SSH) 执行 COPY。有关定价的更多信息,请参阅 Amazon EC2 定价