VPC の JDBC データストアに接続する - AWS Glue

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC の JDBC データストアに接続する

通常、パブリックインターネットを通じてアクセスできないように、リソースは Amazon Virtual Private Cloud (Amazon VPC) 内に作成します。デフォルトでは、AWS Glue は VPC 内のリソースにアクセスできません。AWS Glue が VPC 内のリソースにアクセスできるようにするには、VPC サブネット ID やセキュリティグループ ID など、追加の VPC 固有設定情報を指定する必要があります。AWS Glue はこの情報を、関数がプライベート VPC 内の他のリソースに安全に接続できる Elastic Network Interface のセットアップに使用します。

Elastic Network Interface を使用して VPC データにアクセスする

AWS Glue が VPC 内の JDBC データストアに接続する場合、AWS Glue は VPC データにアクセスするために、アカウントに Elastic Network Interface (プレフィックス Glue_) を作成します。AWS Glue にアタッチされている限り、このネットワークインターフェースを削除することはできません。Elastic Network Interface 作成の一部として、AWS Glue はこれに 1 つ以上のセキュリティグループを関連付けます。AWS Glue がネットワークインターフェイスを作成できるようにするには、リソースに関連付けられているセキュリティグループがソースルールを使用したインバウンドアクセスを許可する必要があります。このルールには、リソースに関連付けられたセキュリティグループが含まれています。これにより、Elastic Network Interface は同じセキュリティグループを持つデータストアにアクセスできるようになります。

AWS Glue がコンポーネントと通信できるようにするには、すべての TCP ポートに対して自己参照のインバウンドルールを持つセキュリティグループを指定します。自己参照ルールを作成することで、ソースをすべてのネットワークではなく VPC 内の同じセキュリティグループに制限することができます。VPC のデフォルトのセキュリティグループには、すでに ALL Traffic の自己参照インバウンドルールがある場合があります。

Amazon VPC コンソールでルールを作成します。[] を使用してルール設定を更新するにはAWS Management Consoleから、VPC コンソール (https://console.aws.amazon.com/vpc/) を選択し、適切なセキュリティグループを選択します。ALL TCP のインバウンドルールを指定して、同じセキュリティグループ名をソースとして指定します。セキュリティグループルールの詳細については、「VPC のセキュリティグループ」を参照してください。

それぞれの Elastic Network Interface には、指定したサブネット内の IP アドレス範囲からプライベート IP アドレスが割り当てられます。ネットワークインターフェイスにパブリック IP アドレスが割り当てられることはありません。AWS Glueにはインターネットアクセスが必要です (たとえば、AWSVPC エンドポイントのないサービスなど) ネットワークアドレス変換 (NAT) インスタンスを VPC 内で設定するか、または Amazon VPC NAT ゲートウェイを使用することができます。詳細については、「」を参照してください。NAT ゲートウェイ()Amazon VPC ユーザーガイド。ネットワークインターフェースにはパブリック IP アドレスが必要なため、VPC にアタッチされたインターネットゲートウェイをサブネットルートテーブルのルートとして直接使用することはできません。

VPC ネットワーク属性の enableDnsHostnames および enableDnsSupport を true に設定する必要があります。詳細については、「Using DNS with Your VPC」を参照してください。

重要

インターネットアクセスのないパブリックサブネットまたはプライベートサブネットにデータストアを配置しないでください。代わりに、NAT インスタンスまたは Amazon VPC NAT ゲートウェイを介して、インターネットアクセスのあるプライベートサブネットにのみアタッチしてください。

Elastic Network Interface プロパティ

Elastic Network Interface を作成するには、次のプロパティを指定する必要があります。

VPC

データストアを含む VPC 名。

サブネット

データストアを含む VPC 内のサブネット。

セキュリティグループ

データストアに関連付けられているセキュリティグループ。AWS Glue は、VPC サブネットにアタッチされている Elastic Network Interface にこれらのセキュリティグループを関連付けます。AWS Glue コンポーネントの通信を可能にし、他のネットワークからのアクセスを禁止するには、少なくとも 1 つの選択されたセキュリティグループにおいて、すべての TCP ポートの自己参照のインバウンドルールを指定する必要があります。

Amazon Redshift を使用した VPC の管理の詳細については、「」を参照してください。Amazon Virtual Private Cloud (VPC) でクラスターを管理する

Amazon Relational Database Service (Amazon RDS) を使用して VPC を管理する方法については、、「」を参照してください。VPC の Amazon RDS DB インスタンスの使用