本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
連線至 中的JDBC資料存放區 VPC
一般而言,您會在 Amazon Virtual Private Cloud (Amazon VPC) 中建立資源,以便無法透過公有網際網路存取這些資源。根據預設, AWS Glue 無法存取 內的資源VPC。若要啟用 AWS Glue 以存取 內的資源VPC,您必須提供包含VPC子網路IDs和安全群組 的其他 VPC特定組態資訊IDs。 AWS Glue 會使用此資訊來設定彈性網路介面,讓您的函數安全地連線至私有 中的其他資源VPC。
使用VPC端點時,請將其新增至您的路由表。如需詳細資訊,請參閱為 和 建立介面VPC端點 AWS Glue必要條件。
在 Data Catalog 中使用加密時,請建立KMS介面端點並將其新增至您的路由表。如需詳細資訊,請參閱 為 建立VPC端點 AWS KMS。
使用彈性網路介面存取VPC資料
當 AWS Glue 連線到 中的JDBC資料存放區時VPC, 會在您的帳戶中 AWS Glue 建立彈性網路介面 (字首為 Glue_),以存取VPC您的資料。只要此網路介面連接至 ,您就無法刪除 AWS Glue。作為建立彈性網路介面的一部分, 會將一或多個安全群組與其建立 AWS Glue 關聯。若要啟用 AWS Glue 以建立網路介面,與 資源相關聯的安全群組必須允許具有來源規則的傳入存取。此規則包含與資源關聯的安全群組。因此彈性網路界面就能以相同的安全群組存取您的資料存放區。
若要允許 與其元件 AWS Glue 通訊,請為所有TCP連接埠指定具有自我參考傳入規則的安全群組。透過建立自我參考規則,您可以將來源限制為 中的相同安全群組,VPC而不是將其開啟至所有網路。您 的預設安全群組VPC可能已經有 的自我參考傳入規則ALL Traffic。
您可以在 Amazon VPC主控台中建立規則。若要透過 更新規則設定 AWS Management Console,請導覽至VPC主控台 (https://console.aws.amazon.com/vpc/ALL TCP 的傳入規則,其來源則為相同的安全群組名稱。如需安全群組規則的詳細資訊,請參閱 的安全群組VPC。
每個彈性網路界面都會指派一個私有 IP 地址,而此地址來自您在子網路中指定的 IP 地址範圍。網路介面未指派任何公有 IP 地址。 AWS Glue 需要網際網路存取 (例如,存取沒有VPC端點 AWS 的服務)。您可以在 內設定網路地址轉譯 (NAT) 執行個體VPC,也可以使用 Amazon VPCNAT閘道。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的NAT閘道。您無法直接使用連接至 的網際網路閘道VPC作為子網路路由表中的路由,因為 需要網路介面具有公有 IP 地址。
VPC 網路屬性 enableDnsHostnames和 enableDnsSupport 必須設為 true。如需詳細資訊,請參閱DNS搭配 使用 VPC。
重要
請勿將資料存放區置於公有子網路或是無網際網路存取的私有子網路。相反地,僅將其連接至透過NAT執行個體或 Amazon VPCNAT閘道存取網際網路的私有子網路。
彈性網路介面屬性
要建立彈性網路界面,您必須提供以下屬性:
- VPC
-
VPC 包含資料存放區的 名稱。
- 子網路
-
中VPC包含資料存放區的子網路。
- 安全群組
-
與資料存放區相關聯的安全群組。 會將這些安全群組與連接至VPC子網路的彈性網路介面建立 AWS Glue 關聯。若要允許 AWS Glue 元件通訊,並防止從其他網路存取,至少有一個選取的安全群組必須為所有TCP連接埠指定自我參考傳入規則。
如需VPC使用 Amazon Redshift 管理 的資訊,請參閱在 Amazon Virtual Private Cloud (VPC) 中管理叢集。
如需VPC使用 Amazon Relational Database Service (Amazon RDS) 管理 的資訊,請參閱在 中使用 Amazon RDS 資料庫執行個體VPC。
