La connessione a un archivio dati JDBC in un VPC - AWS Glue
Accesso a dati VPC mediante interfacce di rete elasticheProprietà dell'interfaccia di rete elastica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

La connessione a un archivio dati JDBC in un VPC

In genere, le risorse vengono create in Amazon Virtual Private Cloud (Amazon VPC) per impedirne l'accesso tramite rete internet pubblica. Per impostazione predefinita, AWS Glue non è in grado di accedere alle risorse all'interno di un VPC. Per permettere ad AWS Glue di accedere a risorse all'interno del VPC, devi fornire altre informazioni di configurazione specifiche di VPC, tra cui gli ID sottorete VPC e gli ID gruppo di sicurezza. AWS Glue usa queste informazioni per configurare interfacce di rete elastiche che permettono alla funzione di connettersi in modo sicuro ad altre risorse nel VPC privato.

Quando utilizzi un endpoint VPC, aggiungilo alla tabella di routing. Per ulteriori informazioni, consulta le pagine Creating an interface VPC endpoint for AWS Glue e Prerequisiti.

Quando utilizzi la crittografia in Catalogo dati, crea l'endpoint dell'interfaccia KMS e aggiungilo alla tabella di routing. Per ulteriori informazioni, consulta la pagina Creating a VPC endpoint for AWS KMS.

Accesso a dati VPC mediante interfacce di rete elastiche

Quando AWS Glue si connette a un archivio dati JDBC in un VPC, AWS Glue crea un'interfaccia di rete elastica (con il prefisso Glue_) nel tuo account per accedere ai dati VPC. Non puoi eliminare questa interfaccia di rete finché è collegata ad AWS Glue. Come parte della creazione dell'interfaccia di rete elastica, AWS Glue associa all'interfaccia uno o più gruppi di sicurezza. Per permettere ad AWS Glue di creare l'interfaccia di rete, i gruppi di sicurezza associati alla risorsa devono permettere l'accesso in entrata con una regola di origine. Questa regola contiene un gruppo di sicurezza associato alla risorsa. In questo modo, l'interfaccia di rete elastica accede all'archivio dati con lo stesso gruppo di sicurezza.

Per permettere ad AWS Glue di comunicare con i suoi componenti, specifica un gruppo di sicurezza con una regola autoreferenziale per il traffico in entrata per tutte le porte TCP. Se crei una regola autoreferenziata, puoi limitare l'origine allo stesso gruppo di sicurezza nel VPC e non aprirla a tutte le reti. Il gruppo di sicurezza predefinito per il tuo VPC potrebbe già avere una regola autoreferenziata in entrata per ALL Traffic.

Puoi creare regole nella console Amazon VPC. Per aggiornare le impostazioni della regola tramite AWS Management Console, passa alla console VPC (https://console.aws.amazon.com/vpc/) e seleziona il gruppo di sicurezza appropriato. Specifica la regola in entrata per ALL TCP così da avere come origine lo stesso nome gruppo di sicurezza. Per ulteriori informazioni sulle regole dei gruppi di sicurezza, consulta Gruppi di sicurezza per il tuo VPC.

A ogni interfaccia di rete elastica viene assegnato un indirizzo IP privato dall'intervallo di indirizzi IP nelle sottoreti che hai specificato. All'interfaccia di rete non viene assegnato alcun indirizzo IP pubblico. AWS Glue richiede l'accesso a Internet, ad esempio per accedere ai servizi AWS che non hanno endpoint VPC. È·possibile configurare un'istanza NAT (Network Address Translation) all'interno del VPC oppure puoi usare il gateway NAT Amazon VPC. Per ulteriori informazioni, consulta Gateway NAT nella Guida per l'utente di Amazon VPC. Non puoi utilizzare direttamente un gateway internet collegato al VPC come percorso nella tabella di instradamento della sottorete perché ciò richiede che l'interfaccia di rete abbia indirizzi IP pubblici.

Gli attributi di rete VPC enableDnsHostnames e enableDnsSupport devono essere impostati su true. Per ulteriori informazioni, consulta Utilizzo del DNS con il tuo VPC.

Importante

Non inserire l'archivio dati in una sottorete pubblica o in una sottorete privata che non abbia accesso a Internet. Collegalo invece solo alle sottoreti private che hanno accesso a Internet tramite un'istanza NAT o un gateway NAT Amazon VPC.

Proprietà dell'interfaccia di rete elastica

Per creare l'interfaccia di rete elastica, sono necessarie le seguenti proprietà:

VPC

Il nome del VPC che contiene l'archivio dati.

Sottorete

Il nome della sottorete nel VPC che contiene l'archivio dati.

Gruppi di sicurezza

Gruppi di sicurezza associati all'archivio dati. AWS Glue associa questi gruppi di sicurezza all'interfaccia di rete elastica collegata alla sottorete VPC. Per consentire ai componenti di AWS Glue di comunicare e di impedire l'accesso da altre reti, almeno un gruppo di sicurezza a scelta deve specificare una regola in entrata autoreferenziale per tutte le porte TCP.

Per informazioni sulla gestione di un VPC con Amazon Redshift, consulta Gestione di cluster in Amazon Virtual Private Cloud (VPC).

Per ulteriori informazioni sulla gestione di un VPC con Amazon Relational Database Service (Amazon RDS), consulta Uso di un'istanza database Amazon RDS in un VPC.