使用 Redshift 增强型 VPC 路由控制网络流量
在使用 Amazon Redshift 增强型 VPC 路由时,Amazon Redshift 会强制通过基于 Amazon VPC 服务的 Virtual Private Cloud (VPC) 路由集群和数据存储库之间的所有 COPY 和 UNLOAD 流量。通过使用增强型 VPC 路由,您可以使用标准 VPC 功能,例如 VPC 安全组、网络访问控制列表 (ACL)、VPC 终端节点、VPC 终端节点策略、互联网 网关和域名系统 (DNS) 服务器,如 Amazon VPC 用户指南中所述。您可以使用这些功能来扩展 Amazon Redshift 集群与其他资源之间的数据流。在使用增强型 VPC 路由以通过 VPC 路由流量时,您还可以使用 VPC 流日志监视 COPY 和 UNLOAD 流量。
Amazon Redshift 集群和 Amazon Redshift Serverless 工作组均支持增强型 VPC 路由。您不能将增强型 VPC 路由与 Redshift Spectrum 一起使用。有关更多信息,请参阅 使用 Redshift Spectrum 访问 Amazon S3 存储桶。
如果未开启增强型 VPC 路由,则 Amazon Redshift 会通过互联网路由流量,包括至 AWS 网络中的其他服务的流量。
重要
由于增强型 VPC 路由影响 Amazon Redshift 访问其他资源的方式,除非您正确配置了 VPC,否则 COPY 和 UNLOAD 命令可能会失败。您必须专门在集群的 VPC 和数据资源之间创建网络路径,如下所述。
在对开启了增强型 VPC 路由的集群运行 COPY 或 UNLOAD 命令时,VPC 使用最严格或最具体的可用网络路径将流量路由到指定的资源。
例如,可以在您的 VPC 中配置以下路径:
-
VPC 端点 – 对于传输到集群或工作组所在 AWS 区域中的 Amazon S3 存储桶的流量,您可以创建 VPC 端点来将流量直接传送到该存储桶。在使用 VPC 终端节点时,您可以附加端点策略来管理对 Amazon S3 的访问。有关将端点与 Redshift 结合使用的更多信息,请参阅使用 VPC 端点控制数据库流量。如果您使用的是 Lake Formation,则可以在 AWS Lake Formation 和接口 VPC 端点 (AWS PrivateLink) 中找到有关在 VPC 和 AWS Lake Formation 之间建立私有连接的更多信息。
注意
将 Redshift VPC 端点与 Amazon S3 VPC 网关端点一起使用时,您必须在 Redshift 中启用增强型 VPC 路由。有关更多信息,请参阅用于 Amazon S3 的网关端点。
-
NAT 网关 – 您可以连接到另一个 AWS 区域中的 Amazon S3 存储桶,并且可以连接到 AWS 网络中的另一个服务。您还可以访问 AWS 网络外部的主机实例。为此,请配置网络地址转换 (NAT) 网关,如 Amazon VPC 用户指南中所述。
-
互联网网关 – 要连接到 VPC 外部的 AWS 服务,您可以将互联网网关附加到您的 VPC 子网,如 Amazon VPC 用户指南中所述。要使用互联网网关,您的集群或工作组必须可以公开访问,来允许其他服务与您的集群或工作组通信。
有关更多信息,请参阅 Amazon VPC 用户指南中的 VPC 终端节点。
使用增强型 VPC 路由不会产生任何额外的费用。您可能需要为某些操作支付额外的数据传输费用。其中包括在不同 AWS 区域中 UNLOAD 到 Amazon S3 之类的操作。使用公有 IP 地址从 Amazon EMR 或安全外壳 (SSH) 执行 COPY。有关定价的更多信息,请参阅 Amazon EC2 定价
