Enhanced VPC Routing in Amazon Redshift - Amazon Redshift

Enhanced VPC Routing in Amazon Redshift

Wenn Sie Enhanced VPC Routing für Amazon Redshift verwenden, erzwingt Amazon Redshift, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Ihren Datenrepositorys über Ihre Virtual Private Cloud (VPC) erfolgt, die auf dem Amazon-VPC-Service basiert. Enhanced VPC Routing ermöglicht, Standard-VPC-Funktionen, beispielsweise VPC-Sicherheitsgruppen, Netzwerk-Zugriffskontrolllisten, VPC-Endpunkte, VPC-Endpunktrichtlinien, Internet-Gateways und Domain Name System (DNS)-Server, wie im Amazon-VPC-Benutzerhandbuch beschrieben zu verwenden. Sie können mit diesen Funktionen den Datenfluss zwischen dem Amazon-Redshift-Cluster und anderen Ressourcen fein abgestimmt verwalten. Wenn Sie Enhanced VPC Routing zur Weiterleitung des Datenverkehrs durch Ihre VPC verwenden, können Sie auch VPC-Flussprotokolle verwenden, um den COPY- und UNLOAD-Datenverkehr zu überwachen.

Wenn die Funktion Enhanced VPC Routing nicht aktiviert ist, leitet Amazon Redshift den Datenverkehr über das Internet weiter, einschließlich Datenverkehr an andere Services im AWS-Netzwerk.

Wichtig

Da Enhanced VPC Routing sich darauf auswirkt, wie Amazon Redshift auf andere Ressourcen zugreift, schlagen COPY- und UNLOAD-Befehle möglicherweise fehl, wenn Ihre VPC nicht ordnungsgemäß konfiguriert wurde. Sie müssen speziell einen Netzwerkpfad zwischen Ihrem VPC-Cluster und Ihren Datenressourcen erstellen, wie nachfolgend beschrieben.

Wenn Sie einen COPY- oder UNLOAD-Befehl auf einem Cluster mit aktiviertem Enhanced VPC Routing ausführen, leitet Ihre VPC den Datenverkehr über den strengsten bzw. spezifischsten verfügbaren Netzwerkpfad zu der angegebenen Ressource.

Sie können beispielsweise die folgenden Wege in Ihrer VPC konfigurieren:

  • VPC-Endpunkte – Für Datenverkehr zu einem Amazon-S3-Bucket in derselben AWS-Region wie Ihr Cluster können Sie einen VPC-Endpunkt erstellen, mit dem der Datenverkehr direkt an den Bucket geleitet wird. Wenn Sie VPC-Endpunkte verwenden, können Sie eine Endpunktrichtlinie anfügen, um den Zugriff auf Amazon S3 zu verwalten. Weitere Informationen zur Verwendung von Endpunkten mit Amazon Redshift finden Sie unter Arbeiten mit VPC-Endpunkten. Wenn Sie Lake Formation verwenden, finden Sie weitere Informationen zum Herstellen einer privaten Verbindung zwischen der VPC und AWS Lake Formation unter AWS Lake Formation und Schnittstellen-VPC-Endpunkte (AWS PrivateLink).

  • NAT-Gateway – Sie können eine Verbindung zu einem Amazon-S3-Bucket in einer anderen AWS-Region herstellen und Sie können eine Verbindung zu einem anderen Service im AWS-Netzwerk herstellen. Sie können auch auf eine Host-Instance außerhalb des AWS-Netzwerks zugreifen. Dazu müssen Sie ein Network Address Translation (NAT)-Gateway erstellen, wie im Amazon-VPC-Benutzerhandbuch beschrieben.

  • Internet-Gateway – Zum Verbinden mit AWS-Services außerhalb Ihrer VPC können Sie ein Internet-Gateway an Ihr VPC-Subnetz anfügen, wie im Amazon-VPC-Benutzerhandbuch beschrieben. Zur Verwendung eines Internet-Gateways muss Ihr Cluster eine öffentliche IP haben, damit andere Services mit ihm kommunizieren können.

Weitere Informationen finden Sie unter VPC-Endpunkte im Amazon-VPC-Benutzerhandbuch.

Für die Nutzung von Enhanced VPC Routing fallen keine zusätzlichen Gebühren an. Möglicherweise fallen bei bestimmten Operationen Datenübertragungskosten an. Hierzu gehören beispielsweise Vorgänge wie UNLOAD in Amazon S3 in einer anderen AWS-Region. COPY aus Amazon EMR oder Secure Shell (SSH) mit öffentlichen IP-Adressen. Weitere Informationen zu Preisen finden Sie unter Amazon EC2 – Preise.