将AWS DataSync代理与 VPC 终端节点一起使用 - AWS DataSync

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将AWS DataSync代理与 VPC 终端节点一起使用

使用虚拟公共 (VPC) 终端节点,您无需通过公共 Internet 将您的数据用于。 AWS DataSync可AWS通过基于 Amazon VPC 服务的 VPC,将数据传输您的。

DataSync代理如何使用 VPC 终端节点

VPC 终端节点由提供AWS PrivateLink。这些类型的终端节点使您可以私下AWS 服务连接到支持的 VPC。当您将 VPC 终端节点与一起使用时DataSync,DataSync代理和之间的所有通信都将AWS保留在您的 VPC 中。

如果您要从本地存储系统进行传输,则必须将您的 VPC 扩展到存储所在的本地网络。您可以使用AWS Direct Connect或 Virtual Private Nrivate Nets (VPC) 执行此操作AWS Site-to-Site VPN。这包括从您的本地网络设置路由表以访问 VPC 终端节点。有关更多信息,请参阅AWS PrivateLink指南中的网关终端节点路由

部署并激活代理后,您可以为转移创建任务。执行此操作时,DataSync会为数据流量创建网络接口。这些接口是私有 IP 地址,只能从您的 VPC 内部访问。

DataSyncVPC 的局限性

  • 与您一起使用的 VPCDataSync 必须具有默认租期。不支持具有专用租约的 VPC。有关更多信息,请参阅使用上的

  • DataSync不支持共享 VPC

将您的DataSync代理配置为使用 VPC 终端节点

在以下步骤中,学习如何将DataSync代理配置为使用 VPC 终端节点。

下图说明了设置过程。

配置DataSync代理以使用 VPC 终端节点与AWS之通信
  1. 选择要在其中设置 DataSync 私有 IP 地址的 VPC 和子网。

    VPC 应通过使用路由规则AWS Direct Connect或 VPN 扩展到您的本地环境(您的自管理对象存储所在的位置)。

  2. 在存储DataSync区附近部署代理。

    代理必须能够使用 NFS、SMB 或 Amazon S3 API 访问您的源存储位置。您可以从DataSync控制台下载DataSync代理的.ova文件。该代理不需要公有 IP 地址。有关下载和部署.ova映像的更多信息,请参阅使用创建AWS DataSync代理AWS CLI

    注意

    只能将代理用于一种类型的终端节点,即私有、公共或联邦信息处理标准 (FIPS)。如果您已将代理配置为通过公共 Internet 传输数据,请部署新代理以将数据传输到私有 DataSync 终端节点。有关详细说明,请参阅部署您的AWS DataSync代理

  3. 在您在步骤 1 中选择的 VPC 中,创建安全组以确保访问 DataSync 使用的私有 IP 地址。

    这些地址包括一个用于控制流量的 VPC 终端节点和四个用于数据传输流量的网络接口。可以使用此安全组管理对这些私有 IP 地址的访问,并确保代理可以路由到这些私有 IP 地址。

    代理必须能够与这些 IP 地址建立连接。在连接到端点的安全组中,配置入站规则,以允许代理的私有 IP 地址连接到这些端点。

  4. 为 DataSync 服务创建 VPC 终端节点。

    要执行此操作,请打开 Amazon VPC 控制台 https://console.aws.amazon.com/vpc/,然后从左侧的导航窗格中选择终端节点。选择 Create endpoint(创建端点)。

    对于 Service category(服务类别),选择 AWS 服务。在服务名称DataSync中,选择您的AWS 区域(例如,com.amazonaws.us-east-1.datasync)。然后,选择您在步骤 1 和步骤 3 中选择的 VPC 和安全组。确保清除 Enable Private DNS Name (启用私有 DNS 名称) 复选框。

    重要

    如果您已在 Amazon EC2 实例上部署了DataSync代理,请选择代理所在的可用区,以避免为可用区域之间的网络流量收费。

    要了解有关所有数据传输价格的更多信息AWS 区域,请参阅 Amazon EC2 按需定价

    有关创建 VPC 终端节点的更多详细信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点

  5. 当您的新 VPC 终端节点可用时,请确保存储环境的网络配置允许激活代理。

    激活是一次性操作,可将代理与您的安全关联起来AWS 账户。要激活代理,请使用可通过端口 80 访问代理的计算机。激活后,您可以撤消此访问权限。代理必须能够访问您在步骤 4 中创建的 VPC 终端节点的私有 IP 地址。

    要找到此 IP 地址,请打开 Amazon VPC 控制台 https://console.aws.amazon.com/vpc/,然后从左侧的导航窗格中选择终端节点。选择 DataSync 终端节点,然后在 Subnets (子网) 列表中查找所选子网的私有 IP 地址。这是 VPC 终端节点的 IP 地址。

    注意

    确保使用端口 443、1024—1064 和端口 22 允许从代理到 VPC 终端节点的出站流量。端口 22 是可选的,用于信AWS Support道。

  6. 激活代理。如果您的计算机可以使用端口 80 路由到代理并且可以访问控制台,请打开DataSync控制台,在左侧导航窗格中选择代理,然后选择创建代理服务终端节点部分中,使用选择 VPC 终端节点AWS PrivateLink

    从步骤 4 中选择 VPC 终端节点,从步骤 1 中选择子网,并从步骤 3 中选择安全组。输入代理的 IP 地址。

    如果您无法使用同一台计算机访问代理和DataSync控制台,请在可以访问代理端口 80 的计算机上使用命令行激活代理。有关更多信息,请参阅使用创建AWS DataSync代理AWS CLI

  7. 选择获取密钥,(可选)输入代理名称和标签,然后选择创建代理

    您的新代理出现在DataSync控制台的 “代理” 选项卡上。绿色 VPC 终端节点状态表示使用此代理执行的所有任务均使用私有终端节点,无需通过公共互联网。

  8. 通过配置传输的来源和目标位置来创建任务。

    有关更多信息,请参阅我可以在哪里传输我的数据AWS DataSync?

    为了使用私有 IP 地址简化传输,您的任务在您选择的 VPC 和子网中创建了四个网络接口。

  9. 确保您的代理可以访问任务创建的四个网络接口和相关 IP 地址。

    要找到这些 IP 地址,请打开 Amazon EC2 控制台 https://console.aws.amazon.com/ec2/,然后在控制面板上选择网络接口。在搜索过滤器中输入任务 ID 以查看任务的四个网络接口。这些是您的 VPC 终端节点使用的网络接口。请务必使用端口 443 以允许从代理到这些接口的出站流量。

现在可以开始您的任务。对于使用此代理的其他每个任务,重复步骤 9 以允许任务的通过端口 443 的流量。