VPC でクラスターを管理する

トピック

• 概要
• VPC でクラスターを作成する
• クラスターの VPC セキュリティグループの管理
• Amazon Redshift クラスターまたは Amazon Redshift Serverless ワークグループのセキュリティグループ通信設定の構成
• AWS リソースでの Amazon Redshift と VPC 共有の連携
• Amazon Redshift クラスターサブネットグループ

概要

Amazon Redshift は、Amazon VPC サービスに基づいて Virtual Private Cloud (VPC) でクラスターを起動するため、EC2-VPC と EC2-Classic の両方のプラットフォームをサポートしています。詳細については、「クラスターの作成時に EC2-VPC を使用する」を参照してください。

注記

Amazon Redshift は、専有テナンシー VPC へのクラスターの起動をサポートしていません。詳細については、Amazon VPC ユーザーガイドのハードウェア専有インスタンスを参照してください。

VPC にクラスターをプロビジョニングするときは、次の操作を行います。

• VPC 情報を指定する

  VPC 内にクラスターを作成するように Amazon Redshift にリクエストするときは、クラスターサブネットグループを作成することにより、VPC 情報を提供する必要があります。この情報には、VPC の VPC ID とサブネットのリストが含まれます。クラスターの起動時に、Amazon Redshift が VPC 内のいずれかのサブネットにクラスターをプロビジョンできるように、クラスターサブネットグループを指定します。Amazon Redshift でサブネットグループを作成する詳細方法については、Amazon Redshift クラスターサブネットグループ を参照してください。VPC のセットアップの詳細については、「Amazon VPC 入門ガイド」の「Amazon VPC の開始方法」を参照してください。

• オプションで、パブリックにアクセス可能にするオプションを設定します。

  パブリックにアクセス可能となるようにクラスターを設定する場合、Amazon Redshift は外部 IP アドレスに Elastic IP アドレスを使用します。Elastic IP アドレスは、静的 IP アドレスです。EIP を使用すると、クライアントがクラスターに接続するために使用する IP アドレスに影響を与えることなく、基本的な設定を変更することができます。このアプローチは、障害発生後の復旧などの状況に役立ちます。Elastic IP アドレスを作成するかどうかは、アベイラビリティーゾーンの再配置設定によって異なります。2 つのオプションがあります。

  1. アベイラビリティーゾーンの再配置を有効にしていて、パブリックアクセスを有効にする場合は、Elastic IP アドレスを指定しないでください。Amazon Redshift によって管理される Elastic IP アドレスが割り当てられます。それは、AWS アカウントに関連付けられています。

  2. アベイラビリティーゾーンの再配置が無効になっていて、パブリックアクセスを有効にしたい場合は、Amazon Redshift クラスターを起動する前に、Amazon EC2 で VPC の Elastic IP アドレスを作成することを選択できます。IP アドレスを作成しない場合、 Amazon Redshift は VPC に使用する設定済み Elastic IP アドレスを提供します。この Elastic IP アドレスは、Amazon Redshift によって管理され、AWS アカウントには関連付けられません。

  詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの elastic IP アドレスを参照してください。

  VPC にパブリックアクセス可能なクラスターがあり、VPC 内からプライベート IP アドレスを使って接続したい場合があります。その場合は、次の VPC パラメータを true に設定します。

  • DNS resolution

  • DNS hostnames

  VPC にはパブリックアクセス可能なクラスターがあるが、VPC でこれらのパラメータを true に設定しないとします。このような場合、VPC 内から確立された接続は、プライベート IP アドレスではなくクラスターの Elastic IP アドレスに解決されます。VPC 内から接続する際には、これらのパラメータを true に設定し、パブリックにアクセス可能なクラスターにプライベート IP アドレスを使用することをお勧めします。詳細については、Amazon VPC ユーザーガイドの「VPC での DNS の使用」を参照してください。

  注記

  VPC 内にパブリックアクセス可能な既存のクラスターがある場合、VPC 内からの接続は、クラスターのサイズを変更するまで、そのクラスターに接続するために Elastic IP アドレスを使用し続けます。これは、前述のパラメータセットでも発生します。新しいクラスターはすべて、パブリックアクセス可能なクラスターに同じ VPC 内から接続する際に、プライベート IP アドレスを使用するという新しい動作に従います。

  Elastic IP アドレスは、VPC 外のクラスターにアクセスするための外部 IP アドレスです。これは、Amazon Redshift コンソールの [Connection details] (接続の詳細) に表示される [cluster node public IP addresses and private IP addresses] (クラスターノードのパブリック IP アドレスとプライベート IP アドレス) とは関係ありません。パブリックおよびプライベートクラスターノードの IP アドレスは、クラスターがパブリックにアクセス可能であるかどうかに関係なく表示されます。これらのアドレスは、リモートホスト上の進入ルールを設定するため、特定の環境でのみ使用されます。これらの環境は、Secure Shell (SSH) 接続を使って Amazon EC2 インスタンスまたは他のリモートホストからデータをロードした場合に発生します。詳細については、Amazon Redshift データベースデベロッパーガイドの「ステップ 1: クラスター公開キーおよびクラスターノード IP アドレスを取得する」を参照してください。

  クラスターを Elastic IP アドレスに関連付けるオプションは、クラスターを作成するか、スナップショットからクラスターを復元する場合に使用できます。場合によっては、クラスターを Elastic IP アドレスに関連付けたり、クラスターと関連付けられた Elastic IP アドレスを変更したりする必要が出てくることがあります。クラスターの作成後に Elastic IP アドレスをアタッチするには、まずクラスターを公開でアクセスできないように更新してから、公開でアクセスできるようにし、同じオペレーションで Elastic IP アドレスを追加します。

• VPC セキュリティグループを関連付けます。

  次に、VPC セキュリティグループを使用してインバウンドアクセスを許可します。この VPC セキュリティグループは、SQL クライアント ツールを使用して接続できるように、クラスターへのデータベースポート経由でのアクセスを許可する必要があります。これは、事前に設定するか、クラスターを起動した後ルールを追加できます。詳細については、「Amazon Redshift クラスターのセキュリティグループ通信設定の設定」を参照してください。クライアントとプロビジョニングされたクラスターまたは Amazon Redshift Serverless ワークグループとの間のインバウンドルールとアウトバウンドルールの設定に関するガイダンスを記載しています。セキュリティグループの理解に役立つ別のリソースは、「Amazon VPC ユーザーガイド」の「VPC のセキュリティ」です。Amazon Redshift クラスターセキュリティグループを使用してクラスターへのインバウンドアクセスを許可することはできないことに注意してください。

VPC 内でのクラスターの使用に関する詳細については、「VPC でクラスターを作成する」を参照してください。

VPC 内のクラスターのスナップショットを復元する

VPC 内のクラスターのスナップショットは、VPC の外部ではなく VPC の内部でのみ復元できます。これらは、アカウント内の同じ VPC または別の VPC 内で復元できます。スナップショットの詳細については、「Amazon Redshift スナップショットとバックアップ」を参照してください