访问亚马逊 ElastiCache 缓存的访问模式 VPC - 亚马逊 ElastiCache

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

访问亚马逊 ElastiCache 缓存的访问模式 VPC

亚马逊 ElastiCache 支持以下访问亚马逊缓存的场景VPC:

当 ElastiCache 缓存和 Amazon EC2 实例位于同一个亚马逊时访问缓存 VPC

最常见的用例是部署在EC2实例上的应用程序需要连接到该实例中的缓存VPC。

下图阐明了此方案。

图片:显示应用程序 ElastiCache 的示意图 VPC

管理EC2实例和缓存之间访问权限的最简单方法VPC是执行以下操作:

  1. 为您的缓存创建VPC安全组。此安全组可用于限制对缓存的访问。例如,您可以为此安全组创建自定义规则,允许使用您在创建缓存时分配给缓存的端口和用于TCP访问缓存的 IP 地址进行访问。

    Memcached 缓存的默认端口为 11211

    Valkey 和 Redis OSS 缓存的默认端口为。6379

  2. 为您的EC2实例(Web 和应用程序服务器)创建VPC安全组。如果需要,此安全组可以允许通过的路由表从 Internet 访问EC2实例。VPC例如,您可以在此安全组上设置规则,允许TCP通过端口 22 访问EC2实例。

  3. 在安全组中为您的缓存创建自定义规则,允许来自您为EC2实例创建的安全组的连接。这将允许安全组的任何成员访问缓存。

注意

如果您计划使用 Local Zones,请确保已将其启用。当您在该本地区域中创建子网组时,您的VPC子网将扩展到该本地区域,并且VPC会将该子网视为任何其他可用区域中的任何子网。所有相关网关和路由表都将自动调整。

在安全组中创建允许来自其他VPC安全组的连接的规则
  1. 登录 AWS 管理控制台并在 https://console.aws.amazon.com/v pc 上打开亚马逊VPC控制台。

  2. 在导航窗格中,选择安全组

  3. 选择或创建将用于缓存的安全组。在入站规则下,选择编辑入站规则,然后选择添加规则。此安全组将允许访问其他安全组的成员。

  4. 从 “类型” 中选择 “自定义TCP规则”。

    1. 对于端口范围,请指定在创建缓存时使用的端口。

      Memcached 缓存的默认端口为 11211

      Valkey 和 Redis OSS 缓存和复制组的默认端口为。6379

    2. Source 框中,开始键入安全组的 ID。从列表中选择您将用于 Amazon EC2 实例的安全组。

  5. 完成后选择 Save

    图片:编辑入站VPC规则的屏幕

当 ElastiCache 缓存和 Amazon EC2 实例位于不同的亚马逊时访问缓存 VPCs

当你的缓存与你用来访问缓存的EC2实例不同VPC时,有几种方法可以访问缓存。如果缓存和EC2实例位于不同VPCs但位于同一区域,则可以使用VPC对等互连。如果缓存和EC2实例位于不同的区域,则可以在区域之间创建VPN连接。

 

当 ElastiCache 缓存和 Amazon EC2 实例位于同一地区的不同亚马逊VPCs时,访问缓存

下图说明了亚马逊EC2实例使用亚马逊对VPC等连接访问同一VPC地区不同亚马逊的缓存。

图片:该图显示了应用程序和 ElastiCache 同一区域VPCs的不同情况

同一区域VPC内另一个 Amazon EC2 实例访问的缓存-VPC 对等连接

VPC对等连接是两者之间的网络连接VPCs,允许您使用私有 IP 地址在两者之间路由流量。任何一个中的实例VPC都可以相互通信,就像它们在同一个网络中一样。您可以在自己的亚马逊之间VPC创建对等连接VPCs,也可以与单个区域内其他 AWS 账户VPC中的亚马逊建立对等连接。要了解有关 Amazon 对VPC等互连的更多信息,请参阅VPC文档

注意

DNS对等节点的名称解析可能会失败VPCs,具体取决于应用于的 ElastiCache VPC配置。要解决此问题,VPCs必须同时启用DNS主机名和解DNS析功能。有关更多信息,请参阅为对VPC等连接启用DNS解析

通过对等互连访问其他 Amazon VPC 中的缓存
  1. 请确保两者的 IP 范围VPCs不重叠,否则您将无法对等它们。

  2. 将两者同等对待VPCs。有关更多信息,请参阅创建和接受 Amazon VPC 对等连接

  3. 更新路由表。有关更多信息,请参阅更新对等连接的VPC路由表

    下面是上图中示例的路由表的形式。请注意,pcx-a894f1c1 是对等连接。

    图片:VPC路由表的屏幕截图

    VPC路由表

  4. 修改 ElastiCache 缓存的安全组以允许来自对等节点中的应用程序安全组的入站连接。VPC有关更多信息,请参阅参考对等VPC安全组

通过对等连接访问缓存会产生额外的数据传输费用。

使用 Transit Gateway

通过中转网关,您可以连接VPCs同一 AWS 区域的VPN连接,并在它们之间路由流量。公交网关跨 AWS 账户运行,您可以使用 Resource Acc AWS ess Manager 与其他账户共享您的公交网关。在您与其他账户共享公交网关后, AWS 账户所有者可以将其VPCs连接到您的公交网关。任一账户的用户都可以随时删除此挂载。

您可以在传输网关上启用多播,然后创建一个传输网关组播域,允许通过与该域关联的VPC附件将多播流量从您的多播源发送给组播组成员。

您还可以在不同 AWS 区域的中转网关之间创建对等连接连接。这使您能够跨不同区域在中转网关的挂载之间路由流量。

有关更多信息,请参阅中转网关

当 ElastiCache 缓存和 Amazon EC2 实例位于不同VPCs地区的不同亚马逊时,访问缓存

使用公交 VPC

除了使用对VPC等互连之外,连接多个地理位置分散VPCs的远程网络的另一种常见策略是创建一个充VPC当全球网络传输中心的中转。传输VPC简化了网络管理,并最大限度地减少了连接多个VPCs远程网络所需的连接数量。此设计可以节省时间和工作量并降低成本,因为它的实施几乎消除了在托管传输中心建立实体办事处或部署物理网络设备时所需的传统费用。

图片:该图显示了不同区域VPCs的不同地区之间的连接

跨越不同VPCs地区的不同连接

建立 VPC Transit Amazon 后,部署在一个区域的 “分支” VPC 中的应用程序可以连接到另一个区域中 “分支” VPC 中的 ElastiCache 缓存。

访问不同区域VPC中不同 AWS 区域的缓存
  1. 部署公交VPC解决方案。有关更多信息,请参阅 AWS Transit Gateway

  2. 更新应用程序和缓存中的VPC路由表VPCs,以通过VGW(虚拟专用网关)和VPN设备路由流量。如果使用边界网关协议 (BGP) 进行动态路由,则您的路由可能会自动传播。

  3. 修改 ElastiCache 缓存的安全组以允许来自应用程序实例 IP 范围的入站连接。请注意,这种情况下,无法引用该应用程序服务器安全组。

跨区域访问缓存会引入网络连接延迟,而且会产生额外的跨区域数据传输费用。

从客户数据中心运行的应用程序访问 ElastiCache 缓存

另一种可能的情况是混合架构,在这种架构中,客户数据中心中的客户端或应用程序可能需要访问中的 ElastiCache 缓存VPC。如果客户VPC与数据中心之间通过VPN或 Direct Connect 建立连接,也支持此方案。

 

使用VPN连接从客户数据中心运行的应用程序访问 ElastiCache 缓存

下图说明了使用VPN连接从企业网络中运行的应用程序访问 ElastiCache 缓存。

图片:该图显示了通过以下方式 ElastiCache 从您的数据中心进行连接 VPN

通过以下方式 ElastiCache 从您的数据中心连接到 VPN

通过连接访问本地应用程序中的缓存 VPC VPN
  1. 通过向您的虚拟专用网关添加硬件虚拟专用网关来建立VPN连接VPC。有关更多信息,请参阅向您的添加硬件虚拟专用网关VPC

  2. 更新部署 ElastiCache 缓存的子网的VPC路由表,以允许来自本地应用程序服务器的流量。在动态路由的情况下,BGP您的路由可能会自动传播。

  3. 修改 ElastiCache 缓存的安全组以允许来自本地应用程序服务器的入站连接。

通过VPN连接访问缓存会带来网络延迟和额外的数据传输成本。

 

使用 Direct Connect 从客户数据中心运行的应用程序访问 ElastiCache 缓存

下图说明了使用 Direct Connect 从企业网络上运行的应用程序访问 ElastiCache 缓存。

图片:显示通过 Direct Connect ElastiCache 从您的数据中心连接到的示意图

通过 Direct Connect ElastiCache 从您的数据中心进行连接

使用 Direct Connect 从网络中运行的应用程序访问 ElastiCache 缓存
  1. 建立 Direct Connect 连接。有关更多信息,请参阅 Di AWS rect Connect 入门

  2. 修改 ElastiCache 缓存的安全组以允许来自本地应用程序服务器的入站连接。

通过 DX 连接访问缓存可能会造成网络连接延迟并产生其他数据传输费用。