Arbeiten mit von RedShift verwalteten VPC-Endpunkten in Amazon RedShift - Amazon Redshift

Arbeiten mit von RedShift verwalteten VPC-Endpunkten in Amazon RedShift

Standardmäßig wird ein Amazon-RedShift-Cluster in einer Virtual Private Cloud (VPC) bereitgestellt. Er kann von einer anderen VPC oder einem Subnetz aus aufgerufen werden, wenn Sie entweder den öffentlichen Zugriff zulassen oder ein Internet-Gateway, ein NAT-Gerät oder eine AWS Direct Connect-Verbindung zum Weiterleiten des Datenverkehrs an den Cluster einrichten. Sie können auch auf einen Cluster zugreifen, indem Sie einen von RedShift verwalteten VPC-Endpunkt einrichten (unterstützt von AWS PrivateLink).

Sie richten einen von RedShift verwalteten VPC-Endpunkt als private Verbindung zwischen einer VPC ein, die einen Cluster enthält, und einer VPC, auf der ein Client-Tool ausgeführt wird. Wenn sich der Cluster in einem anderen Konto befindet, muss der Kontobesitzer (Grantor) Zugriff auf das Konto (Grantee) gewähren, das eine Verbindung herstellen möchte. Mit diesem Ansatz können Sie auf das Data Warehouse zugreifen, ohne öffentliche IP-Adressen zu verwenden oder Datenverkehr über das Internet zu leiten.

In den folgenden Szenarien werden häufige Gründe für den Zugriff auf einen Cluster mit einem von RedShift verwalteten VPC-Endpunkt beschrieben:

  • AWS-Konto A möchte einer VPC in AWS-Konto B Zugriff auf einen Cluster gewähren.

  • AWS-Konto A möchte einer VPC in AWS-Konto A Zugriff auf einen Cluster gewähren.

  • AWS-Konto A möchte einem anderen Subnetz in der Cluster-VPC in AWS-Konto A Zugriff auf einen Cluster gewähren.

Der allgemeine Workflow zum Einrichten eines von RedShift verwalteten VPC-Endpunkts für den Zugriff auf einen Cluster in einem anderen Konto lautet wie folgt:

  1. Das Besitzerkonto des Clusters gewährt eine Zugriffsberechtigung für ein anderes Konto und gibt die AWS-Konto-ID und VPC-ID (oder alle VPCs) des Berechtigungsempfängers (Grantee) an.

  2. Das Konto des Berechtigungsempfängers wird benachrichtigt, dass er die Berechtigung zum Erstellen eines von RedShift verwalteten VPC-Endpunkts besitzt.

  3. Das Konto des Berechtigungsempfängers erstellt einen von RedShift verwalteten VPC-Endpunkt.

  4. Das Konto des Berechtigungsempfängers kann nun über den von RedShift verwalteten VPC-Endpunkt auf den Cluster des Besitzerkontos zugreifen.

Sie können diesen Prozess mit der Amazon-Redshift-Konsole, der AWS CLI oder der Amazon Redshift API verwalten.

Überlegungen bei der Verwendung von RedShift-verwalteten VPC-Endpunkten

Berücksichtigen Sie bei der Verwendung von RedShift-verwalteten VPC-Endpunkten Folgendes:

  • Stellen Sie sicher, dass es sich bei dem Cluster um einen RA3-Knotentyp handelt.

  • Stellen Sie sicher, dass die Clusterverschiebung für den Cluster aktiviert ist. Informationen zu den Anforderungen zum Aktivieren der Clusterverschiebung finden Sie unter Verwalten der Clusterverschiebung in Amazon Redshift.

  • Stellen Sie sicher, dass der Cluster über Port 5439 erreichbar ist.

  • Sie können die VPC-Sicherheitsgruppen ändern, die einem vorhandenen RedShift-verwalteten VPC-Endpunkt zugeordnet sind. Um andere Einstellungen zu ändern, löschen Sie den aktuellen RedShift-verwalteten VPC-Endpunkt und erstellen Sie einen neuen.

  • Die Anzahl der von RedShift verwalteten VPC-Endpunkte, die Sie erstellen können, ist durch Ihr VPC-Endpunktkontingent beschränkt.

  • Auf die RedShift-verwalteten VPC-Endpunkte kann nicht über das Internet zugegriffen werden. Auf einen von RedShift verwalteten VPC-Endpunkt kann nur innerhalb der VPC zugegriffen werden, in der der Endpunkt bereitgestellt wird, oder in allen Peering-VPCs, in denen der Endpunkt gemäß den Routing-Tabellen und Sicherheitsgruppen bereitgestellt wird.

  • Sie können die Amazon-VPC-Konsole nicht zum Verwalten der von Redshift verwalteten VPC-Endpunkte verwenden.

Hinweise zu Kontingenten und Benennungseinschränkungen finden Sie unter Kontingente und Limits in Amazon Redshift.

Informationen zu Preisen finden Sie unter AWS PrivateLink-Preise.

Verwalten von RedShift-verwalteten VPC-Endpunkten mit der Amazon-RedShift-Konsole

Sie können die Verwendung von RedShift-verwalteten VPC-Endpunkten mithilfe der Amazon-Redshift-Konsole konfigurieren.

Gewähren des Zugriffs auf einen Cluster

Wenn sich die VPC, über die Sie auf Ihren Cluster zugreifen möchten, in einem anderen AWS-Konto befindet, stellen Sie sicher, dass Sie diese über das Konto des Besitzers (Grantors) autorisieren.

So gewähren Sie einer VPC in einem anderen AWS-Konto Zugriff auf Ihren Cluster

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Klicken Sie im Navigationsbereich auf CLUSTERS.

  3. Geben Sie für den Cluster, auf den Sie Zugriff gewähren möchten, die Cluster-Details an, indem Sie den Cluster-Namen auswählen. Wählen Sie die Registerkarte Properties (Eigenschaften) für den Cluster aus.

    Im Abschnitt Granted accounts (Berechtigte Konten) werden die Konten und die entsprechenden VPCs angezeigt, die Zugriff auf Ihren Cluster haben.

  4. Klicken Sie auf Grant access (Zugriff gewähren), um ein Formular zum Eingeben der Grantee information (Berechtigungsinformationen) anzuzeigen.

  5. Geben Sie als AWS-Konto-ID die ID des Kontos ein, dem Sie den Zugriff gewähren möchten. Sie können Zugriff auf bestimmte VPCs oder alle VPCs im angegebenen Konto gewähren.

  6. Klicken Sie auf Grant access (Zugriff gewähren), um die Zugriffsberechtigung zu erteilen.

Erstellen eines mit RedShift verwalteten VPC-Endpunkts

Wenn Sie Eigentümer eines Clusters sind oder Ihnen Zugriff darauf gewährt wurde, können Sie einen mit RedShift verwalteten VPC-Endpunkt für den Cluster erstellen.

So erstellen Sie einen mit RedShift verwalteten VPC-Endpunkt

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Wählen Sie im Navigationsbereich CONFIG (Konfiguration).

    Die Seite Configurations (Konfigurationen) zeigt die von RedShift verwalteten VPC-Endpunkte an, die erstellt wurden. Um Details für einen Endpunkt anzuzeigen, wählen Sie den Namen des Endpunkts.

  3. Klicken Sie auf Create endpoint (Endpunkt erstellen), um ein Formular zum Eingeben von Informationen über den hinzuzufügenden Endpunkt anzuzeigen.

  4. Geben Sie Werte für Endpoint name (Endpunktname), AWS account ID (AWS-Konto-ID), Cluster Identifier (Cluster-ID), Virtual Private Cloud (VPC), Subnet group (Subnetzgruppe) und andere Eigenschaften des Endpunkts an.

    Die Subnetzgruppe in Subnet group (Subnetzgruppe) definiert die Subnetze und IP-Adressen, auf denen Amazon Redshift den Endpunkt bereitstellt. Amazon Redshift wählt ein Subnetz mit IP-Adressen für die dem Endpunkt zugeordnete Netzwerkschnittstelle.

    Die optionale Sicherheitsgruppe in Security group (Sicherheitsgruppe) definiert Ports, Protokolle und Quellen für eingehenden Datenverkehr, den Sie für Ihren Endpunkt autorisieren. In der Regel erlauben Sie den Zugriff auf Port 5439 für die Sicherheitsgruppe oder den CIDR-Bereich, in dem Ihre Workloads ausgeführt werden.

  5. Klicken Sie auf Create endpoint (Endpunkt erstellen), um den Endpunkt zu erstellen.

Nachdem der Endpunkt erstellt wurde, können Sie über die URL auf den Cluster zugreifen, die in Endpoint URL (Endpunkt-URL) in den Konfigurationseinstellungen für Ihren RedShift-verwalteten VPC-Endpunkt angezeigt wird.

Verwalten von RedShift-verwalteten VPC-Endpunkten mit der AWS CLI

Sie können die folgenden Amazon-Redshift-CLI-Operationen für die Arbeit mit RedShift-verwalteten VPC-Endpunkten verwenden. Weitere Informationen finden Sie in der AWS CLI-Befehlsreferenz.

Verwalten von RedShift-verwalteten VPC-Endpunkten mit Amazon-RedShift-API-Operationen

Sie können die folgenden Amazon-Redshift-API-Operationen für die Arbeit mit RedShift-verwalteten VPC-Endpunkten verwenden. Weitere Informationen finden Sie in der Amazon-Redshift-API-Referenz.