Conexión a un almacén de datos de JDBC en una VPC - AWS Glue

Conexión a un almacén de datos de JDBC en una VPC

Normalmente, estos recursos se crean dentro de Amazon Virtual Private Cloud (Amazon VPC) de forma que no se pueda tener acceso a ellos a través de la red pública de Internet. De forma predeterminada, AWS Glue no puede tener acceso a los recursos dentro de una VPC. Para que AWS Glue pueda obtener acceso a los recursos dentro de su VPC, debe proporcionar información de configuración específica de VPC adicional que incluya los ID de subred y los ID de los grupos de seguridad de la VPC. AWS Glue utiliza esta información para configurar interfaces de red elásticas que permiten que la función se conecte de forma segura a otros recursos en la VPC privada.

Acceso a datos de VPC mediante interfaces de red elásticas

Al conectarse AWS Glue a un almacén de datos de JDBC en una VPC, AWS Glue crea una interfaz de red elástica (con el prefijo Glue_) en su cuenta para obtener acceso a sus datos de VPC. No puede eliminar esta interfaz de red siempre que se asocie a AWS Glue. Como parte de la creación de la interfaz de red elástica, AWS Glue asocia uno o varios grupos de seguridad a ella. Para permitir que AWS Glue cree la interfaz de red, los grupos de seguridad asociados al recurso deben permitir el acceso de entrada con una regla de origen. Esta regla contiene un grupo de seguridad que se asocia al recurso. Esto proporciona a la interfaz de red elástica acceso a su almacén de datos con el mismo grupo de seguridad.

Para que AWS Glue pueda comunicarse con sus componentes, especifique un grupo de seguridad con una regla de entrada con autorreferencia para todos los puertos TCP. Si crea una regla de entrada con autorreferencia, puede restringir el origen al mismo grupo de seguridad de la VPC y no abrirlo a todas las redes. Puede que el grupo de seguridad predeterminado de la VPC ya tenga una regla de entrada con autorreferencia para ALL Traffic.

Puede crear reglas en la consola de Amazon VPC. Para actualizar la configuración de la regla a través de la AWS Management Console, vaya a la consola de VPC (https://console.aws.amazon.com/vpc/) y seleccione el grupo de seguridad adecuado. Especifique la regla de entrada para que ALL TCP tenga como su origen el mismo nombre de grupo de seguridad. Para obtener más información acerca de las reglas de grupos de seguridad, consulte Grupos de seguridad de su VPC.

A cada interfaz de red elástica se le asigna una dirección IP privada del intervalo de direcciones IP de las subredes especificadas. No se asigna a la interfaz de red ninguna dirección IP pública. AWS Glue requiere acceso de Internet (por ejemplo, para obtener acceso a servicios de AWS que carecen de puntos de enlace de la VPC). Puede configurar una instancia de traducción de las direcciones de red (NAT) dentro de su VPC o puede usar la gateway NAT de Amazon VPC. Para obtener más información, consulte Gateways de NAT en la Guía del usuario de Amazon VPC. No puede usar directamente una gateway de Internet asociada a su VPC como ruta en su tabla de ruteo de la subred porque eso requiere que la interfaz de red tenga direcciones IP públicas.

Los atributos de red de VPC enableDnsHostnames y enableDnsSupport deben establecerse en true. Para obtener más información, consulte Utilización de DNS con su VPC.

importante

No ponga su almacén de datos en una subred pública o en una subred privada que no tenga acceso a Internet. En su lugar, asóciela únicamente a subredes privadas con acceso a Internet a través de una instancia NAT o una gateway NAT de Amazon VPC.

Propiedades de la interfaz de red elástica

Para crear la interfaz de red elástica, debe proporcionar las siguientes propiedades:

VPC

El nombre de la VPC que contiene su almacén de datos.

Subred

La subred de la VPC que contiene su almacén de datos.

Grupos de seguridad

Los grupos de seguridad que están asociados con el almacén de datos. AWS Glue asocia estos grupos de seguridad con la interfaz de red elástica que se asocia a su subred de VPC. Para permitir que los componentes de AWS Glue se comuniquen y también para evitar el acceso desde otras redes, al menos un grupo de seguridad elegido debe especificar una regla de entrada con autorreferencia para todos los puertos TCP.

Para obtener información acerca de cómo administrar una VPC con Amazon Redshift, consulte Administración de clústeres en una Amazon Virtual Private Cloud (VPC).

Para obtener más información sobre la administración de una VPC con Amazon Relational Database Service (Amazon RDS), consulte Trabajar con una instancia de base de datos de Amazon RDS en una VPC.