設 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組的安全群組通訊設定 - Amazon Redshift
具有預設或自訂安全群組組態的公開存取性具有預設或自訂安全群組組態的私有存取性

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組的安全群組通訊設定

本主題可協助您設定安全群組,以適當地路由和接收網路流量。幾個常見的使用案例如下:

  • 您開啟 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組的公開存取性,但其未接收流量。為此,您必須設定傳入規則,以允許流量從網際網路抵達該項目。

  • 您的叢集或工作群組無法公開存取,而且您使用 Redshift 預先設定的預設 VPC 安全群組來允許傳入流量。但是您必須使用預設安全群組以外的安全群組,而且這個自訂安全群組不允許傳入流量。您必須將其設定為允許通訊。

下列各節可協助您為每個使用案例選擇正確的回應,並向您說明如何根據您的要求來設定網路流量。您可以選擇性地使用這些步驟來設定來自其他私有安全群組的通訊。

注意

大多數情況下,系統不會在 Amazon Redshift 中自動設定網路流量設定。這是因為這些設定在精細層級上可能會有所不同 (具體取決於流量來源是網際網路還是私有安全群組),以及因為安全要求有所不同。

具有預設或自訂安全群組組態的公開存取性

如果您要建立叢集或工作群組,或您已經有叢集或工作群組,請執行下列組態步驟,以將其設為可公開存取。當您選擇預設安全群組或自訂安全群組時,都請這麼做:

  1. 尋找網路設定:

    • 對於 Amazon Redshift 佈建叢集,請選擇屬性索引標籤,然後在網路和安全設定下選取叢集的 VPC。

    • 對於 Amazon Redshift Serverless 工作群組,請選擇工作群組組態。從清單中選擇工作群組。然後,在資料存取下的網路和安全面板中,選擇編輯

  2. 設定 VPC 的網際網路閘道和路由表。您可以透過依名稱選擇 VPC 來啟動組態。其會開啟 VPC 儀表板。若要從網際網路連線到可公開存取的叢集或工作群組,就必須將網際網路閘道附加至路由表。您可以透過在 VPC 儀表板中選擇路由表來進行此設定。確認已為網際網路閘道的目標設定來源 0.0.0.0/0 或公開 IP CIDR。路由表必須與叢集所在的 VPC 相關聯。如需為 VPC 設定網際網路存取的相關資訊 (如此處所述),請參閱 Amazon VPC 文件中的啟用網際網路存取。如需設定路由表的相關資訊,請參閱設定路由表

  3. 在設定網際網路閘道和路由表之後,請返回 Redshift 的網路設定。透過先選擇安全群組,再選擇傳入規則來開啟傳入存取。選擇 Edit inbound Rules (編輯傳入規則)。

  4. 根據您的要求,為一或多個傳入規則選擇通訊協定連接埠,以允許來自用戶端的流量。若為 RA3 叢集,請選取 5431-5455 或 8191-8215 範圍內的連接埠。完成時,請儲存每個規則。

  5. 編輯可公開存取設定來加以啟用。您可以從叢集或工作群組的動作功能表執行此操作。

當您開啟可公開存取設定時,Redshift 會建立彈性 IP 地址。這是與您的帳戶相關聯的靜態 IP 位 AWS 址。在 VPC 外的用戶端可以使用此地址進行連線。

如需設定安全群組的相關資訊,請參閱 Amazon Redshift 叢集安全群組

您可以透過與用戶端連線來測試規則,如果您要連線到 Amazon Redshift Serverless,請執行以下操作。完成網路組態後,請與您的用戶端工具連線,例如 Amazon Redshift RSQL。使用您的 Amazon Redshift Serverless 網域作為主機,輸入以下內容:

rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439

具有預設或自訂安全群組組態的私有存取性

如果在與叢集或工作群組通訊時未透過網際網路,這種方式便稱為可私有存取。如果您在建立安全群組時選擇了預設安全群組,安全群組中便會包含下列預設通訊規則:

  • 一個傳入規則,允許指派給安全群組的所有資源所傳來的流量。

  • 一個傳出規則,允許所有傳出流量。此規則的目的地是 0.0.0.0/0。在無類別域間路由 (CIDR) 標記法中,其代表所有可能的 IP 地址。

您可以透過選取叢集或工作群組的安全群組,在主控台中檢視規則。

如果您的叢集或工作群組和用戶端都使用預設安全群組,則不需要設定任何額外的組態來允許網路流量。但是,如果您刪除或變更 Redshift 或用戶端的預設安全群組中的任何規則,此做法就不再適用。在此情況下,您必須設定規則以允許傳入和傳出通訊。常見的安全群組組態如下:

  • 針對用戶端 Amazon EC2 執行個體:

    • 傳入規則,允許用戶端的 IP 地址。

    • 傳出規則,允許針對 Redshift 用途所提供之所有子網路的 IP 地址範圍 (CIDR 區塊)。或者,您也可以指定 0.0.0.0/0,這是所有 IP 地址範圍。

  • 針對您的 Redshift 叢集或工作群組:

    • 傳入規則,允許用戶端安全群組。

    • 傳出規則,允許流向 0.0.0.0/0 的流量。一般來說,傳出規則會允許所有傳出流量。您可以選擇性地新增傳出規則,允許流量流向用戶端安全群組。在這個選擇性案例中,不一定要有傳出規則,因為每個請求的回應流量都可以抵達執行個體。如需有關請求和回應行為的詳細資訊,請參閱《Amazon VPC 使用者指南》中的安全群組

如果您變更針對 Redshift 用途指定的任何子網路或安全群組的組態,則可能需要相應地變更流量規則,以確保通訊能持續開啟。如需建立傳入和傳出規則的相關資訊,請參閱《Amazon VPC 使用者指南》中的 VPC CIDR 區塊。如需從用戶端連線至 Amazon Redshift 的相關資訊,請參閱在 Amazon Redshift 中設定連線