设置 Amazon VPC 以建立从 AWS Glue 到 Amazon RDS 数据存储的 JDBC 连接 - AWS Glue

设置 Amazon VPC 以建立从 AWS Glue 到 Amazon RDS 数据存储的 JDBC 连接

使用 JDBC 连接到 Amazon RDS 中的数据库时,您需要执行额外的设置。要允许 AWS Glue 组件与 Amazon RDS 进行通信,您必须在 Amazon VPC 中设置对 Amazon RDS 数据存储的访问权限。要支持 AWS Glue 在其组件之间通信,请为所有 TCP 端口指定一个具有自引用入站规则的安全组。通过创建自引用规则,您可以将源限制为 VPC 中的同一安全组。自引用规则不会向所有网络开放 VPC。VPC 的默认安全组可能已经为所有流量设置了自引用入站规则。

设置 AWS Glue 和 Amazon RDS 数据存储之间的访问权限
  1. 登录 AWS Management Console 并通过以下网址打开 Amazon RDS 控制台:https://console.aws.amazon.com/rds/

  2. 在 Amazon RDS 控制台中,找到用于控制 Amazon RDS 数据库访问权限的安全组。

    在左侧导航窗格中,选择数据库,然后从主窗格的列表中选择要连接的实例。

    在数据库详细信息页面中,在连接和安全选项卡上找到 VPC 安全组

  3. 根据您的网络架构,确定最适合修改以允许 Glue AWS 服务访问的关联安全组。保存其名称 database-security-group,以备将来参考。如果没有合适的安全组,请按照 Amazon RDS 文档中通过创建安全组提供对 VPC 中的数据库实例的访问部分的说明操作。

  4. 通过 https://console.aws.amazon.com/vpc/ 登录到AWS Management Console并打开 Amazon VPC 控制台。

  5. 在 Amazon VPC 控制台中,确定如何更新 database-security-group

    在左侧导航窗格中,选择安全组,然后从主窗格的列表中选择 database-security-group

  6. 找到 database-security-group 的安全组 ID,即 database-sg-id。保存以备将来参考。

    在安全组详细信息页面中,找到安全组 ID

  7. 更改 database-security-group 的入站规则,添加自引用规则以允许 AWS Glue 组件进行通信。具体来讲,添加或确认有一条类型All TCP协议TCP端口范围包括所有端口,且database-sg-id 的规则。确认您为输入的安全组正是您正在编辑的安全组。

    在安全组详细信息页面中,选择编辑入站规则

    入站规则类似于以下内容:

    类型 协议 端口范围 来源

    所有 TCP

    TCP

    0–65535

    database-sg-id

  8. 添加出站流量规则。

    在安全组详细信息页面中,选择编辑出站规则

    如果您的安全组允许所有出站流量,则不需要单独的规则。例如:

    类型 协议 端口范围 目标位置

    所有流量

    ALL

    ALL

    0.0.0.0/0

    如果您的网络架构旨在限制出站流量,请创建以下出站规则:

    创建类型All TCP协议TCP端口范围包括所有端口,且目标database-sg-id 的自引用规则。确认您为目标输入的安全组正是您正在编辑的安全组。

    如果使用 Amazon S3 VPC 端点,添加 HTTPS 规则以允许从该 VPC 到 Amazon S3 的流量。创建一条类型HTTPS协议TCP端口范围443目标为 Amazon S3 网关端点的托管前缀列表 ID(即 s3-prefix-list-id)的规则。有关前缀列表和 Amazon S3 网关端点的更多信息,请参阅 Amazon VPC 文档中的 Amazon S3 网关端点

    例如:

    类型 协议 端口范围 目标位置

    所有 TCP

    TCP

    0–65535

    database-sg-id

    HTTPS

    TCP

    443

    s3-prefix-list-id