Amazon Redshift 增强型 VPC 路由
在使用 Amazon Redshift 增强型 VPC 路由时,Amazon Redshift 会强制通过您的 Amazon VPC 路由群集和数据存储库之间的所有 COPY 和 UNLOAD 流量。您现在可使用标准 VPC 功能(例如,VPC 安全组、网络访问控制列表 (ACL)、VPC 终端节点、VPC 终端节点策略、Internet 网关和域名系统 (DNS) 服务器)来严格管理 Amazon Redshift 群集和其他资源之间的数据流。在使用增强型 VPC 路由通过您的 VPC 路由流量时,也可以使用 VPC 流日志来监视 COPY 和 UNLOAD 流量。
如果未启用增强型 VPC 路由,则 Amazon Redshift 会通过 Internet 路由流量,包括至 AWS 网络中的其他服务的流量。
重要
由于增强型 VPC 路由影响了 Amazon Redshift 访问其他资源的方式,因此,除非您正确配置 VPC,否则 COPY 和 UNLOAD 命令可能会失败。您必须专门在群集的 VPC 和数据资源之间创建网络路径,如下所述。
在对已启用增强型 VPC 路由的群集执行 COPY 或 UNLOAD 命令时,您的 VPC 会使用最严格的 或最具体的可用网络路径来将流量路由到指定资源。
例如,可以在您的 VPC 中配置以下路径:
-
VPC 终端节点 – 对于传输到群集所在区域中的 Amazon S3 存储桶的流量,您可以创建 VPC 终端节点来将流量直接传送到该存储桶。在使用 VPC 终端节点时,您可以附加终端节点策略来管理对 Amazon S3 的访问。有关将终端节点与 Amazon Redshift 结合使用的更多信息,请参阅使用 VPC 终端节点。
-
NAT 网关 – 要连接到另一个区域中的 Amazon S3 存储桶或 AWS 网络中的另一种服务,或者访问 AWS 网络外部的主机实例,您可以配置网络地址转换 (NAT) 网关。
-
Internet 网关 – 要连接到 VPC 外部的 AWS 服务,您可以将 Internet 网关连接到 VPC 子网。要使用 Internet 网关,您的群集必须具有一个公有 IP 来允许其他服务与您的群集进行通信。
有关更多信息,请参阅 Amazon VPC 用户指南 中的 VPC 终端节点。
使用增强型 VPC 路由不收取任何额外费用。您可能需要为某些操作支付额外的数据传输费用,例如对其他区域中的 Amazon S3 执行的 UNLOAD 操作,或使用公共 IP 地址从 Amazon EMR 或 SSH 执行的 COPY 操作。有关定价的更多信息,请参阅 Amazon EC2 定价。