通过 AWS VPN 连接到数据源
在此模型中,Power BI Desktop 安装使用以下两种 AWS VPN 方法之一连接到 AWS 网络中的数据源:AWS Site-to-Site VPN 或 AWS Client VPN。每种连接类型均能提供高度可用、有弹性的托管云 VPN 解决方案,以保护您的网络流量安全。
Site-to-Site VPN 在您的网络和 AWS VPN 或 AWS Transit Gateway 之间创建加密隧道。Client VPN 可使用免费的 VPN 软件客户端将您的用户连接到 AWS 或本地资源。
来自 Site-to-Site VPN 和 Client VPN 连接的 VPN 流量都会在您的 VPC 中停止。因此,它可以路由到私有 IP 地址,因此您的实例不再需要公开 IP 地址。对于具有可从公开服务终端节点(例如 Athena)访问的数据路径的服务,这些服务请求可以通过 Internet 进行路由,也可以通过 VPN 连接和 VPC 终端节点进行路由。
通过 Site-to-Site VPN 和 Client VPN 将 Power BI Desktop 连接到 AWS 数据源
Site-to-Site VPN 还可以连接到 AWS Transit Gateway,从而方便访问分布在多个 VPC 中的数据源。
使用 AWS VPN 的优势是,在访问存储在 AWS 中的数据源时采用加密,而无需显式配置每个数据源。配置完成后,VPN 技术基本上对终端用户来说是无缝的。
表 2 — 使用 AWS VPN 访问 AWS 数据源的注意事项
标准 | 使用 AWS VPN 访问 AWS 数据源的注意事项 |
---|---|
网络连接 | 可通过连接到 VPC 中的私有 IP 地址,或使用区域或 VPC 服务终端节点来获取数据源。Power BI Desktop 通过 VPN 连接并直接访问数据源(Amazon RDS、Amazon Redshift、基于 Amazon EC2 的数据源),或者使用私有 VPC 终端节点或区域终端节点访问具有区域终端节点 (Amazon Athena) 的服务,具体取决于 DNS 配置。 |
安全 | IP 访问控制
您可以结合使用路由组和安全组来控制对存储在 AWS 云中的数据源的访问。 传输中加密 这两种类型的 AWS VPN 均使用 IPsec 身份验证 Site-to-Site VPN 需要一次性配置,一旦建立后,对用户来说就是无缝的。终端用户无需进行身份验证即可使用 Site-to-Site VPN,但他们需要对数据源进行身份验证。 另一方面,Client VPN 确实需要终端用户进行身份验证才能建立连接。Client VPN 身份验证可通过 Active Directory(基于用户)、相互身份验证(基于证书)或 SAML SSO(基于用户)进行。通过身份验证后,连接对终端用户来说是无缝的。添加到 Power BI Desktop 的 AWS 数据源需要进行身份验证。 AWS 建议您使用仅对所需数据集具有只读访问权限的身份对 AWS 数据源进行身份验证。 |
性能 |
AWS VPN 的使用发生在 Internet 上。因此,其性能范围类似于所介绍的第一个场景。通过 Internet 访问 AWS 数据源时,一些因素可能会影响 Power BI Desktop 的整体性能。其中包括:
通常,AWS 建议在一天中的不同时间、使用不同的数据集以及在用户数量逐渐增加的情况下测试体验。 |
成本 | 驻留在 VPC 中并使用 AWS VPN 查询的数据源会产生标准 AWS VPN 数据传输费用。为了降低成本,我们建议限制查询并使用筛选条件来减少通过 Internet 检索的数据量。 |