Control del tráfico de red con enrutamiento de VPC mejorado de Redshift
Cuando utiliza el enrutamiento de VPC mejorado de Amazon Redshift, este servicio fuerza todo el tráfico COPY y UNLOAD entre el clúster y los repositorios de datos a que pase por la nube virtual privada (VPC) en función del servicio Amazon VPC. Mediante el enrutamiento de VPC mejorado, puede utilizar características de VPC estándar, como grupos de seguridad de VPC, listas de control de acceso (ACL) a la red, puntos de conexión de la VPC, políticas de punto de conexión de la VPC, gateways de Internet y servidores de sistema de nombres de dominio (DNS), tal como se describe en la Guía del usuario de Amazon VPC. Puede usar estas características para controlar el flujo de los datos entre el clúster de Amazon Redshift y otros recursos. Cuando utiliza el direccionamiento de VPC mejorado para direccionar el tráfico a través de la VPC, también puede utilizar registros de flujo de VPC para supervisar el tráfico COPY y UNLOAD.
Los clústeres de Amazon Redshift y los grupos de trabajo Amazon Redshift sin servidor admiten un enrutamiento de VPC mejorado. No puede utilizar el enrutamiento de VPC mejorado con Redshift Spectrum. Para obtener más información, consulte Acceso a los buckets de Amazon S3 con Redshift Spectrum.
Si el enrutamiento de VPC mejorado no está activado, Amazon Redshift dirige el tráfico a través de Internet, incluido el tráfico a otros servicios dentro de la red de AWS.
importante
Puesto que el enrutamiento de VPC mejorado afecta la forma en la que Amazon Redshift accede a otros recursos, los comandos COPY y UNLOAD podrían presentar error a menos que configure la VPC correctamente. Debe crear una ruta de acceso a la red específica entre la VPC del clúster y los recursos de datos, como se describe a continuación.
Cuando ejecuta un comando COPY o UNLOAD en un clúster que tiene el enrutamiento de VC mejorado activado, la VPC dirige el tráfico al recurso especificado mediante la ruta de red más estricta, o más específica, disponible.
Por ejemplo, puede configurar las siguientes rutas en la VPC:
-
Puntos de conexión de VPC: en el caso del tráfico dirigido a un bucket de Amazon S3 en la misma región de AWS que el clúster o grupo de trabajo, puede crear un punto de conexión de VPC para dirigir el tráfico al bucket de forma directa. Cuando utiliza los puntos de conexión de la VPC, puede adjuntar una política de punto de conexión para administrar el acceso a Amazon S3. Para obtener más información acerca del uso de puntos de conexión con Redshift, consulte Control del tráfico de base de datos con puntos de conexión de VPC. Si utiliza Lake Formation, puede encontrar más información sobre cómo establecer una conexión privada entre la VPC y AWS Lake Formation en Puntos de conexión de VPC de AWS Lake Formation y de interfaz (AWS PrivateLink).
nota
Cuando utilice puntos de conexión de VPC de Redshift con puntos de conexión de puerta de enlace de VPC de Amazon S3, debe habilitar el enrutamiento de VPC mejorado en Redshift. Para obtener más información, consulte Puntos de conexión de puerta de enlace para Amazon S3.
-
Gateway NAT: puede conectarse a un bucket de Amazon S3 en otra región de AWS y a otro servicio dentro de la red de AWS. También puede obtener acceso a una instancia de alojamiento fuera de la red de AWS. Para ello, configure una gateway de conversión de la dirección de red (NAT), tal como se describe en la Guía del usuario de Amazon VPC.
-
Gateway de Internet: para conectarse a servicios de AWS fuera de la VPC, puede adjuntar una gateway de Internet a la subred de la VPC, tal como se describe en la Guía del usuario de Amazon VPC. Para utilizar una puerta de enlace de Internet, el clúster o grupo de trabajo debe ser accesible de forma pública para permitir a otros servicios comunicarse con él.
Para obtener más información, consulte Puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.
El uso de Enhanced VPC Routing no supone ningún cargo adicional. Es posible que incurra en cargos adicionales por transferencia de datos para determinadas operaciones. Estos incluyen distintas operaciones, como utilizar UNLOAD en Amazon S3 en una región de AWS diferente. COPY de Amazon EMR o Secure Shell (SSH) con direcciones IP públicas. Para obtener más información acerca de los precios, consulte Precios de Amazon EC2