Controlar o tráfego de rede com o roteamento de VPC avançado do Redshift
Quando você usa o roteamento VPC aprimorado do Amazon Redshift, o Amazon Redshift força todo o tráfego COPY e UNLOAD entre seu cluster e seus repositórios de dados por meio de sua Virtual Private Cloud (VPC) com base no serviço Amazon VPC. Ao usar o roteamento VPC aprimorado, você pode usar recursos VPC padrão, como grupos de segurança da VPC, listas de controle de acesso à rede (ACLs), endpoints da VPC, políticas de endpoint da VPC, gateways da Internet e servidores Sistema de Nomes de Domínio (DNS), conforme descrito no Manual do usuário do Amazon VPC. Você usa esses recursos para controlar o fluxo de dados entre o cluster do Amazon Redshift e outros recursos. Ao usar o roteamento aprimorado de VPC para rotear tráfego pela VPC, também é possível usar logs de fluxo da VPC para monitorar o tráfego de COPY e UNLOAD.
Tanto os clusters do Amazon Redshift como os grupos de trabalho do Amazon Redshift sem servidor são compatíveis com o roteamento de VPC aprimorado. Não é possível usar o roteamento aprimorado de VPC com o Redshift Spectrum. Para ter mais informações, consulte Acessar buckets do S3 com o Redshift Spectrum.
Se o roteamento aprimorado de VPC não estiver ativado, o Amazon Redshift roteará o tráfego pela Internet, incluindo o tráfego para outros serviços na rede da AWS.
Importante
Como o roteamento VPC aprimorado afeta a maneira como o Amazon Redshift acessa outros recursos, os comandos COPY e UNLOAD podem falhar, a menos que você configure seu VPC corretamente. Você deve criar especificamente um caminho de rede entre a VPC do cluster e os recursos de dados, conforme descrito a seguir.
Quando você executa um comando COPY ou UNLOAD em um cluster com o roteamento aprimorado de VPC ativado, a VPC roteia o tráfego para o recurso especificado usando o caminho de rede mais rígido, ou mais específico, disponível.
Por exemplo, você pode configurar os seguintes percursos na VPC:
-
Endpoints da VPC: para o tráfego para um bucket do Amazon S3 na mesma Região da AWS do cluster ou grupo de trabalho, você pode criar um endpoint da VPC para direcionar o tráfego diretamente ao bucket. Ao usar endpoints da VPC, você pode anexar uma política de endpoint para gerenciar o acesso ao Amazon S3. Consulte mais informações sobre como usar endpoints com o Redshift em Controlar o tráfego de rede com endpoints da VPC. Se você usa o Lake Formation, pode encontrar mais informações sobre como estabelecer uma conexão privada entre a VPC e o AWS Lake Formation em AWS Lake Formation e endpoints da VPC de interface (AWS PrivateLink).
nota
Ao usar os endpoints da VPC do Redshift com os endpoints de gateway da VPC do Amazon S3, é necessário habilitar o roteamento de VPC aprimorado no Redshift. Para obter mais informações, consulte Endpoints de gateway para o Amazon S3.
-
Gateway NAT – Você pode se conectar a um bucket do Amazon S3 em outra região da AWS, e você pode se conectar a outro serviço dentro da rede da AWS. Você também pode acessar uma instância de host fora da rede da AWS. Para fazer isso, configure um gateway de conversão de endereços de rede (NAT), conforme descrito no Manual do usuário do Amazon VPC.
-
Gateway da Internet – Para se conectar a serviços da AWS fora da VPC, você pode anexar um gateway da Internet à sua sub-rede da VPC, conforme descrito no Manual do usuário do Amazon VPC. Para usar um gateway da internet, o cluster ou grupo de trabalho deve ser acessível publicamente a fim de permitir que outros serviços se comuniquem com ele.
Para obter mais informações, consulte endpoints da VPC no Manual do usuário do Amazon VPC.
Não há cobrança adicional pelo uso do roteamento aprimorado de VPC. Você pode incorrer em cobranças de transferência de dados adicionais para determinadas operações. Isso inclui operações como UNLOAD para o Amazon S3 em uma região da AWS diferente. COPY do Amazon EMR ou Secure Shell (SSH) com endereços IP públicos. Para obter mais informações sobre a definição de preço, consulte Definição de preço do Amazon EC2