本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon VPC 中存取 ElastiCache 快取的存取模式
Amazon ElastiCache 支持以下情況來訪問 Amazon VPC 中的緩存:
內容
當它和 Amazon EC2 實例位於同一個 Amazon VPC 時訪問 ElastiCache 緩存
最常見的使用案例是部署於 EC2 執行個體的應用程式時,需要連線至相同 VPC 中的快取。
下圖說明此案例。
若要管理相同 VPC 中 EC2 執行個體與快取之間的存取權,最簡單的方式如下:
-
為快取建立 VPC 安全群組。此安全群組可用來限制快取的存取權。舉例來說,您可以為此安全群組建立自訂規則,以允許使用您建立快取時為其指派的連接埠,以及您將用來存取快取的 IP 地址進行 TCP 存取。
Memcached 快取的預設連接埠是
11211
。 -
為您的 EC2 執行個體建立 VPC 安全群組 (Web 和應用程式伺服器)。若有需要,此安全群組可允許透過 VPC 路由表存取網際網路上的 EC2 執行個體。舉例來說,您可以在此安全群組上設定規則,允許 TCP 透過連接埠 22 存取 EC2 執行個體。
-
在安全群組中為快取建立自訂規則,以允許來自您為 EC2 執行個體所建立之安全群組的連線。這樣做會允許安全群組的所有成員存取快取。
注意
如果您打算使用本地區域,請確認本地區域已啟用。在本地區域中建立子網路群組時,VPC 會延伸至該本地區域,VPC 會將子網路視為任何其他可用區域中的任何子網路群組。所有相關閘道和路由表都將自動調整。
在允許來自其他安全群組連線的 VPC 安全群組中建立規則
-
登入 AWS 管理主控台,然後開啟 Amazon VPC 主控台,網址為 https://console.aws.amazon.com/vpc
。 -
在導覽窗格中,選擇安全群組。
-
選取或建立您將用於快取的安全群組。在 Inbound Rules (傳入規則) 下方,選取 Edit Inbound Rules (編輯傳入規則),然後選取 Add Rule (新增規則)。此安全群組將允許其他安全群組成員存取。
-
從 Type (類型) 選擇 Custom TCP Rule (自訂 TCP 規則)。
-
針對連接埠範圍,指定您在建立快取時所使用的連接埠。
Memcached 快取的預設連接埠是
11211
。 -
在 Source (來源) 方塊中輸入安全群組的 ID。從清單中選取您將用於 Amazon EC2 執行個體的安全群組。
-
-
完成後,請選擇 Save (儲存)。
當它和 Amazon EC2 實例位於不同的 Amazon VPC 時訪問 ElastiCache 緩存
當您的快取與您用來存取該快取的 EC2 執行個體位於不同 VPC 中時,有幾種方式可存取快取。如果快取與 EC2 執行個體位於不同 VPC,但位於相同區域中,您可以使用 VPC 對等互連。如果快取與 EC2 執行個體位於不同區域,您可以在區域之間建立 VPC 連線。
在 ElastiCache 快取和 Amazon EC2 執行個體位於同一區域的不同 Amazon VPC 時存取快取
下圖說明使用 Amazon VPC 對等互連連線,透過相同區域的不同 Amazon VPC 中的 Amazon EC2 執行個體來存取快取。
由相同區域的不同 Amazon VPC 中的 Amazon EC2 執行個體存取的快取 - VPC 對等互連連線
VPC 對等連線是指兩個 VPC 之間的網路連線,透過此機制,您就可以使用私有 IP 地址在兩者之間路由流量。這兩個 VPC 中的執行個體能彼此通訊,有如位於相同網路中一樣。您可以在自己的 Amazon VPC 之間建立 VPC 對等連線,或使用單一區域內另一個 AWS 帳戶中的 Amazon VPC 建立 VPC 對等連線。若要進一步了解 Amazon VPC 對等互連,請參閱 VPC 說明文件。
注意
對等 VPC 的 DNS 名稱解析可能會失敗,具體取決於套用至 VPC 的 ElastiCache 組態。若要解析名稱,兩端的 VPC 都必須啟用 DNS 主機名稱和 DNS 解析。如需詳細資訊,請參閱啟用 VPC 對等互連的 DNS 解析。
透過對等互連存取不同 Amazon VPC 中的快取
-
請確保兩個 VPC 沒有重疊的 IP 範圍,否則您將無法為其建立互連連線。
-
為兩個 VPC 建立互連連線。如需詳細資訊,請參閱建立和接受 Amazon VPC 對等互連連線。
-
更新您的路由表。如需詳細資訊,請參閱更新 VPC 互連連線的路由表
下列是上述圖表中用於示範的路由表。請注意,pcx-a894f1c1 是互連連線。
VPC 路由表
-
修改 ElastiCache 快取的安全性群組,以允許來自對等 VPC 中「應用程式」安全性群組的輸入連線。如需詳細資訊,請參閱參考對等 VPC 安全群組。
透過對等互連連線存取快取,將產生額外的資料傳輸費用。
使用 Transit Gateway
傳輸閘道可讓您在相同 AWS 區域附加 VPC 和 VPN 連線,並在它們之間路由流量。運輸閘道跨 AWS 帳戶運作,您可以使用 AWS Resource Access Manager 與其他帳戶共用傳輸閘道。在您與其他帳戶共用交通閘道後, AWS 帳戶擁有者可以將其 VPC 附加到您的傳輸閘道。這些帳戶的使用者均可隨時刪除連接。
您可以在傳輸閘道上啟用多點傳送,然後建立傳輸閘道多點傳送網域,讓多點傳送流量可透過與網域相關聯的 VPC 連接,從多點傳送來源傳送至多點傳送群組成員。
您也可以在不同 AWS 區域的傳輸閘道之間建立對等連線附件。這可讓您跨不同區域在傳輸閘道附件之間路由流量。
如需詳細資訊,請參閱傳輸閘道。
在 ElastiCache 快取和 Amazon EC2 執行個體位於不同區域的不同 Amazon VPC 時存取快取
使用傳輸 VPC
對於將多個在地理上分散的 VPC 和遠端網路進行連線,取代 VPC 對等互連的替代常用策略是建立做為全球網路傳輸中心的傳輸 VPC。傳輸 VPC 會簡化網路管理,並最大程度減少連線多個 VPC 和遠端網路所需的連線數。此設計可以節省時間和精力並降低費用,因為實際上不具有在託管傳輸中樞建立實體存在或部署實體網路設備的傳統支出。
位於不同區域不同 VPC 之間的連線
傳輸 Amazon VPC 建立後,部署在一個區域中「支點」VPC 中的應用程式可以連接到另一個區域內「支點」VPC 中的 ElastiCache 快取。
存取不同區域內不同 VPC 中的快取 AWS
-
部署傳輸 VPC 解決方案。如需詳細資訊,請參閱 AWS Transit Gateway
。 -
更新應用程式和快取 VPC 中的 VPC 路由表,以透過 VGW (虛擬私有閘道) 和 VPN 設備來路由流量。在使用邊界閘道協定 (BGP) 的動態路由情況下,您的路由可能會自動傳播。
-
修改 ElastiCache 快取的安全群組,以允許來自應用程式執行個體 IP 範圍的輸入連線。請注意,在此情況下,您將無法參考應用程式伺服器安全群組。
跨區域存取快取將造成網路延遲,並產生額外的跨區域資料傳輸費用。
從客戶資料中心執行的應用程式存取 ElastiCache 快取
另一種可能的案例是混合式架構,客戶資料中心中的用戶端或應用程式可能需要存取 VPC 中的 ElastiCache 快取。如果客戶 VPC 與資料中心之間具有透過 VPN 或 Direct Connect 的連線,則此情況也受支援。
使用 VPN 連線能力,從客戶資料中心執行的應用程式存取 ElastiCache 快取
下圖說明使用 VPN 連線,從公司網路中執行的應用程式存取 ElastiCache 快取。
透過 VPN ElastiCache 從資料中心連線
透過 VPN 連線從內部部署應用程式存取 VPC 中的快取
-
透過將硬體虛擬私有閘道新增至您的 VPC 來建立 VPN 連線。如需詳細資訊,請參閱將硬體虛擬私有閘道新增至您的 VPC。
-
更新部署 ElastiCache 快取所在子網路的 VPC 路由表,以允許來自內部部署應用程式伺服器的流量。在使用 BGP 的動態路由情況下,您的路由可能會自動傳播。
-
修改 ElastiCache 快取的安全性群組,以允許內部部署應用程式伺服器的輸入連線。
透過 VPN 連線存取快取將造成網路延遲,並產生額外的跨區域資料傳輸費用。
使用直 Connect 從客戶資料中心執行的應用程式存取 ElastiCache 快取
下圖說明使用 Direct Connect 從公司網路上執行的應用程式存取 ElastiCache 快取。
透過直接 Connect ElastiCache 從您的資料中心連接
使用「直 Connect」從網路中執行的應用程式存取 ElastiCache 快取
-
建立 Direct Connect 連線。如需詳細資訊,請參閱AWS 直 Connect 入門。
-
修改 ElastiCache 快取的安全性群組,以允許內部部署應用程式伺服器的輸入連線。
透過 DX 連線存取快取可能造成網路延遲,並產生額外的跨區域資料傳輸費用。