本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
通常,您是在 Amazon Virtual Private Cloud (Amazon VPC) 內部建立資源,因此無法經由公有網際網路進行存取。根據預設, AWS Glue 無法存取 VPC 內的資源。若要讓 AWS Glue 能夠存取 VPC 內的資源,您必須提供額外的 VPC 特定組態資訊,其中包含 VPC 子網路 IDs 和安全群組 IDs。 AWS Glue 會使用此資訊來設定彈性網路介面,讓您的函數安全地連線到私有 VPC 中的其他資源。
使用 VPC 端點時,請將其新增至路由表。如需詳細資訊,請參閱 Creating an interface VPC endpoint for AWS Glue 和 先決條件。
在資料型錄中使用加密時,建立 KMS 介面端點並將其新增至路由表。如需詳細資訊,請參閱 Creating a VPC endpoint for AWS KMS。
使用彈性網路介面存取 VPC 資料
當 AWS Glue 連線到 VPC 中的 JDBC 資料存放區時, 會在您的帳戶中 AWS Glue 建立彈性網路介面 (字首為 Glue_),以存取您的 VPC 資料。只要此網路介面已連接至,您就無法刪除 AWS Glue。在建立彈性網路介面時, AWS Glue 會將一或多個安全群組與其建立關聯。若要讓 AWS Glue 建立網路介面,與 資源相關聯的安全群組必須允許具有來源規則的傳入存取。此規則包含與資源關聯的安全群組。因此彈性網路界面就能以相同的安全群組存取您的資料存放區。
若要允許 與其元件 AWS Glue 通訊,請為所有 TCP 連接埠指定具有自我參考傳入規則的安全群組。建立自我參考的規則後,您就可以將資源限制給 VPC 中相同的安全群組,不對所有網路開放。VPC 的預設安全群組可能已經有了 ALL Traffic 的自我參考傳入規則。
您可以在 Amazon VPC 主控台建立規則。要透過 AWS Management Console更新規則設定,請瀏覽至 VPC 主控台 (https://console.aws.amazon.com/vpc/ALL TCP 的傳入規則,其來源則為相同的安全群組名稱。如需安全群組規則的詳細資訊,請參閱 VPC 的安全群組。
每個彈性網路界面都會指派一個私有 IP 地址,而此地址來自您在子網路中指定的 IP 地址範圍。網路介面未獲指派任何公有 IP 地址。 AWS Glue 需要網際網路存取 (例如,存取沒有 VPC 端點 AWS 的服務)。您可以在 VPC 中設定網路位址轉譯 (NAT) 執行個體,或使用 Amazon VPC NAT 閘道。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的 NAT 閘道。您無法直接將連接至 VPC 的網際網路閘道做為子網路路由表中的路由使用,原因是網路介面需要公有 IP 地址。
VPC 網路屬性 enableDnsHostnames 和 enableDnsSupport 必須設定為 true。如需詳細資訊,請參閱以 VPC 使用 DNS。
重要
請勿將資料存放區置於公有子網路或是無網際網路存取的私有子網路。反之,請僅將其連接至透過 NAT 執行個體或 Amazon VPC NAT 閘道存取網際網路的私有子網路。
彈性網路介面屬性
要建立彈性網路界面,您必須提供以下屬性:
- VPC
-
包含資料存放區之 VPC 的名稱。
- 子網路
-
包含資料存放區之 VPC 的子網路。
- 安全群組
-
與資料存放區關聯的安全群組。 AWS Glue 將這些安全群組關聯至連接您 VPC 子網路的彈性網路界面。為了讓 AWS Glue 元件通訊並防止從其他網路存取,至少一個所選安全群組必須指定適用於所有 TCP 連接埠的自我參考傳入規則。
如需以 Amazon Redshift 管理 VPC 的詳細資訊,請參閱在 Amazon Virtual Private Cloud (VPC) 管理叢集。
如需使用 Amazon Relational Database Service (Amazon RDS) 管理 VPC 的詳細資訊,請參閱在 VPC 中使用 Amazon RDS 資料庫執行個體。
