Konfigurieren der Kommunikationseinstellungen von Sicherheitsgruppen für einen Amazon-Redshift-Cluster oder eine Amazon-Redshift-Serverless-Arbeitsgruppe - Amazon Redshift
Öffentlicher Zugriff mit Konfiguration der standardmäßigen oder einer benutzerdefinierten SicherheitsgruppePrivater Zugriff mit Konfiguration der standardmäßigen oder einer benutzerdefinierten Sicherheitsgruppe

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren der Kommunikationseinstellungen von Sicherheitsgruppen für einen Amazon-Redshift-Cluster oder eine Amazon-Redshift-Serverless-Arbeitsgruppe

Dieses Thema hilft Ihnen dabei, Ihre Sicherheitsgruppen so zu konfigurieren, dass Netzwerkverkehr ordnungsgemäß weitergeleitet und empfangen wird. Im Folgenden sind Beispiele für häufige Anwendungsfälle aufgeführt:

  • Sie aktivieren den öffentlichen Zugriff für einen Amazon-Redshift-Cluster oder eine Amazon-Redshift-Serverless-Arbeitsgruppe, aber diese(r) empfängt keinen Datenverkehr. Sie müssen dafür eine Regel für eingehenden Datenverkehr konfigurieren, damit der Cluster/die Arbeitsgruppe Datenverkehr aus dem Internet erhält.

  • Ihr Cluster oder Ihre Arbeitsgruppe ist nicht öffentlich zugänglich, und Sie verwenden die vorkonfigurierte VPC Standardsicherheitsgruppe von Redshift, um eingehenden Datenverkehr zuzulassen. Sie müssen jedoch eine andere Sicherheitsgruppe als die Standardsicherheitsgruppe verwenden und diese benutzerdefinierte Sicherheitsgruppe lässt keinen eingehenden Datenverkehr zu. Sie müssen sie so konfigurieren, dass die Kommunikation zugelassen wird.

Die folgenden Abschnitte helfen Ihnen dabei, die richtige Antwort für jeden Anwendungsfall auszuwählen und zeigen Ihnen, wie der Netzwerkverkehr gemäß Ihren Anforderungen konfiguriert wird. Sie können die Schritte optional verwenden, um die Kommunikation mit anderen privaten Sicherheitsgruppen einzurichten.

Anmerkung

Die Einstellungen für den Netzwerkverkehr werden in Amazon Redshift in den meisten Fällen nicht automatisch konfiguriert. Dies liegt daran, dass sie auf granularer Ebene unterschiedlich sein können, je nachdem, ob die Quelle des Datenverkehrs das Internet oder eine private Sicherheitsgruppe ist, und weil die Sicherheitsanforderungen variieren.

Öffentlicher Zugriff mit Konfiguration der standardmäßigen oder einer benutzerdefinierten Sicherheitsgruppe

Wenn Sie einen Cluster erstellen oder bereits erstellt haben, führen Sie die folgenden Konfigurationsschritte durch, um den Cluster öffentlich zugänglich zu machen. Dies gilt sowohl für die Auswahl der Standardsicherheitsgruppe als auch für eine benutzerdefinierte Sicherheitsgruppe:

  1. Suchen Sie nach den Netzwerkeinstellungen:

    • Wählen Sie für einen bereitgestellten Amazon Redshift Redshift-Cluster die Registerkarte Eigenschaften und dann unter Netzwerk- und Sicherheitseinstellungen die VPC für Ihren Cluster aus.

    • Wählen Sie für eine Amazon-Redshift-Serverless-Arbeitsgruppe die Option Arbeitsgruppenkonfiguration aus. Wählen Sie die Arbeitsgruppe aus der Liste aus. Wählen Sie dann unter Datenzugriff im Fenster Netzwerk und Sicherheit die Option Bearbeiten aus.

  2. Konfigurieren Sie das Internet-Gateway und die Routing-Tabelle für Ihren. VPC Sie starten die Konfiguration, indem Sie den VPC Namen auswählen. Es öffnet das VPC Dashboard. Wenn über das Internet eine Verbindung mit einem öffentlich zugänglichen Cluster hergestellt werden soll, muss der Routing-Tabelle ein Internet-Gateway hinzugefügt werden. Sie können dies konfigurieren, indem Sie im VPC Dashboard Routing-Tabellen auswählen. Vergewissern Sie sich, dass das Ziel des Internet-Gateways mit der Quelle 0.0.0.0/0 oder einer öffentlichen IP festgelegt ist. CIDR Die Routing-Tabelle muss dem Ort zugeordnet sein, VPC an dem sich Ihr Cluster befindet. Weitere Informationen zur Einrichtung des Internetzugangs für einVPC, wie hier beschrieben, finden Sie in der VPC Amazon-Dokumentation unter Internetzugang aktivieren. Weitere Informationen zum Konfigurieren einer Routing-Tabelle finden Sie unter Konfigurieren von Routing-Tabellen.

  3. Nachdem Sie das Internet-Gateway und die Routing-Tabelle konfiguriert haben, kehren Sie zu den Netzwerkeinstellungen für Redshift zurück. Öffnen Sie den eingehenden Zugriff, indem Sie die Sicherheitsgruppe und dann die Regeln für eingehenden Datenverkehr auswählen. Wählen Sie Edit inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) aus.

  4. Wählen Sie das Protokoll und den Port für die Regel für eingehenden Datenverkehr gemäß Ihren Anforderungen, um Datenverkehr von Clients zuzulassen. Wählen Sie für einen RA3 Cluster einen Port in den Bereichen 5431-5455 oder 8191-8215 aus. Wenn Sie damit fertig sind, speichern Sie die einzelnen Regeln.

  5. Bearbeiten Sie die Einstellung Öffentlich zugänglich, um sie zu aktivieren. Sie können dies im Menü Aktionen Ihres Clusters oder Ihrer Arbeitsgruppe tun.

Wenn Sie die Einstellung für den öffentlichen Zugriff aktivieren, erstellt Redshift eine Elastic-IP-Adresse. Es ist eine statische IP-Adresse, die mit Ihrer verknüpft ist AWS Konto. Kunden außerhalb des VPC können es verwenden, um eine Verbindung herzustellen.

Weitere Informationen zum Konfigurieren Ihrer Sicherheitsgruppe finden Sie unter Amazon Redshift Redshift-Sicherheitsgruppen.

Sie können Ihre Regeln testen, indem Sie sich mit einem Client verbinden. Gehen Sie wie folgt vor, wenn Sie eine Verbindung zu Amazon Redshift Serverless herstellen. Nachdem Sie die Netzwerkkonfiguration abgeschlossen haben, stellen Sie eine Verbindung mit Ihrem Client-Tool wie Amazon Redshift RSQL her. Geben Sie unter Verwendung Ihrer Serverless-Domäne von Amazon Redshift als Host Folgendes ein:

rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439

Privater Zugriff mit Konfiguration der standardmäßigen oder einer benutzerdefinierten Sicherheitsgruppe

Wenn Sie nicht über das Internet mit Ihrem Cluster oder Ihrer Arbeitsgruppe kommunizieren, wird diese(r) als privat zugänglich bezeichnet. Wenn Sie bei der Erstellung die Standardsicherheitsgruppe ausgewählt haben, beinhaltetdie Sicherheitsgruppe die folgenden Standardkommunikationsregeln:

  • Eine Regel, die eingehenden Datenverkehr von allen Ressourcen zulässt, die der Sicherheitsgruppe zugewiesen sind.

  • Eine Regel, die den gesamten ausgehenden Datenverkehr zulässt. Das Ziel für diese Regel ist 0.0.0.0/0. In der klassenlosen Routing (CIDR) -Notation zwischen Domänen steht es für alle möglichen IP-Adressen.

Sie können die Regeln in der Konsole anzeigen, indem Sie die Sicherheitsgruppe für Ihren Cluster oder Ihre Arbeitsgruppe auswählen.

Wenn Ihr Cluster oder Ihre Arbeitsgruppe und Ihr Client beide die Standardsicherheitsgruppe benutzen, ist keine zusätzliche Konfiguration erforderlich, um Netzwerkverkehr zuzulassen. Wenn Sie jedoch Regeln in der Standardsicherheitsgruppe für Redshift oder den Client löschen oder ändern, gilt dies nicht mehr. In diesem Fall müssen Sie Regeln konfigurieren, um eingehende und ausgehende Kommunikation zuzulassen. Eine gängige Konfiguration für Sicherheitsgruppen ist die folgende:

  • Für eine EC2 Amazon-Kundeninstanz:

    • Eine Regel für eingehenden Datenverkehr, die die IP-Adresse des Clients zulässt.

    • Eine ausgehende Regel, die den IP-Adressbereich (CIDRBlock) aller Subnetze zulässt, die für die Redshift-Nutzung bereitgestellt werden. Oder Sie können 0.0.0.0/0 angeben, was alle IP-Adressbereiche umfasst.

  • Für Ihren Redshift-Cluster oder Ihre Arbeitsgruppe:

    • Eine Regel, die eingehenden Datenverkehr von der Client-Sicherheitsgruppe zulässt.

    • Eine Regel, die ausgehenden Datenverkehr zu 0.0.0.0/0 zulässt. Typischerweise lässt die Regel allen ausgehenden Datenverkehr zu. Optional können Sie eine Regel für ausgehenden Datenverkehr hinzufügen, um den Datenverkehr zur Client-Sicherheitsgruppe zuzulassen. In diesem optionalen Fall ist eine Regel für ausgehenden Datenverkehr nicht immer erforderlich, da der Antwortdatenverkehr für jede Anfrage die Instance erreichen darf. Weitere Informationen zum Anfrage- und Antwortverhalten finden Sie unter Sicherheitsgruppen im VPCAmazon-Benutzerhandbuch.

Wenn Sie die Konfiguration für Subnetze oder Sicherheitsgruppen ändern, die für die Verwendung von Redshift angegeben sind, müssen Sie möglicherweise die Datenverkehrsregeln entsprechend ändern, um die Kommunikation aufrechtzuerhalten. Weitere Informationen zum Erstellen von Regeln für eingehende und ausgehende Nachrichten finden Sie unter VPCCIDRBlöcke im VPCAmazon-Benutzerhandbuch. Weitere Informationen zum Verbinden mit Amazon Redshift von einem Client aus finden Sie unter Konfigurieren von Verbindungen in Amazon Redshift.