搭配 VPC 端點使用AWS DataSync代理程式 - AWS DataSync
DataSync代理程式如何使用 VPC 端點DataSyncVPC 的限制設定您的DataSync代理程式以使用 VPC 端點

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 VPC 端點使用AWS DataSync代理程式

使用虛擬私有雲 (VPC) 端點,您不必在公有網際網路上移動您的資料。 AWS DataSync可以透AWS過以 Amazon VPC 服務為基礎的 VPC 傳輸資料。

DataSync代理程式如何使用 VPC 端點

VPC 端點由提供AWS PrivateLink。這些端點類型可讓您以私密方式連線AWS 服務到 VPC。搭配使用 VPC 端點時DataSync,DataSync代理程式之間的所有通訊都會保AWS留在您的 VPC 中。

如果您要從內部部署儲存系統進行傳輸,則必須將 VPC 延伸至儲存區所在的區域網路。您可以使用AWS Direct Connect或 virtual private cloud (VPN),如AWS Site-to-Site VPN. 這包括從您的區域網路設定路由表以存取 VPC 端點。如需詳細資訊,請參閱AWS PrivateLink指南中的閘道端點路由

一旦您的代理部署並啟用,您就可以建立轉移作業的工作。執行此操作時,DataSync會為資料流量建立網路介面。這些介面是只能從 VPC 內部存取的私有 IP 位址。

DataSyncVPC 的限制

  • 搭配使用的 VPCDataSync 必須具有預設租用。不支援具有專用租用的 VPC。如需詳細資訊,請參閱使用 VPC

  • DataSync不支援共用 VPC

設定您的DataSync代理程式以使用 VPC 端點

在下列程序中,瞭解如何將DataSync代理程式設定為使用 VPC 端點。

下圖說明設定程序。

設定DataSync代理程式以使AWS用 VPC 端點與之通訊

  1. 選擇您要設定 DataSync 私有 IP 地址的 VPC 和子網路。

    VPC 應該透過AWS Direct Connect或 VPN 延伸到您的本機環境 (您的自我管理物件儲存所在的位置)。

  2. 在您的儲存區附近部署DataSync代理程式。

    代理程式必須能夠使用 NFS、SMB 或 Amazon S3 API 存取您的來源儲存位置。您可以從DataSync主控台下載DataSync代理程式的.ova檔案。代理程式不需要公有 IP 地址。如需下載和部署.ova影像的詳細資訊,請參閱建立AWS DataSync代理程式AWS CLI

    注意

    您只能將代理程式用於一種端點類型 — 私人、公用或聯邦資訊處理標準 (FIPS)。如果您已將代理程式設定為透過公有網際網路傳輸資料,請部署新的代理程式,將資料傳輸至私有 DataSync 端點。如需詳細說明,請參閱部署您的AWS DataSync代理

  3. 在您於步驟 1 中選擇的 VPC 中,建立安全群組,以確保可存取 DataSync 所使用的私有 IP 地址。

    這些位址包括用於控制流量的一個 VPC 端點和四個用於資料傳輸流量的網路介面。您可以使用此安全群組來管理這些私有 IP 地址的存取權,並確保您的代理程式可以路由到這些地址。

    代理程式必須能夠建立與這些 IP 位址的連線。在連結至端點的安全群組中,設定輸入規則,以允許代理程式的私人 IP 位址連線到這些端點。

  4. 建立 DataSync 服務的 VPC 端點。

    若要這麼做,請在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台,然後從左側的導覽窗格中選擇端點。選擇 Create endpoint (建立端點)。

    對於 Service category (服務類別),選擇 AWS 服務。在「服務名稱DataSync中選擇AWS 區域 (例如com.amazonaws.us-east-1.datasync)。然後選擇您在步驟 1 和 3 中選擇的 VPC 和安全群組。確定已清除 Enable Private DNS Name (啟用私有 DNS 名稱) 核取方塊。

    重要

    如果您已在 Amazon EC2 執行個體上部署DataSync代理程式,請選擇代理程式所在的可用區域,以避免為可用區域之間的網路流量收取費用。

    若要進一步了解所有人的資料傳輸價格AWS 區域,請參閱 Amazon EC2 隨需定價

    如需建立 VPC 端點的其他詳細資訊,請參閱 Amazon VPC 使用者指南中的建立介面端點

  5. 當新的 VPC 端點可用時,請確定儲存環境的網路組態允許代理程式啟動。

    啟動是一次性作業,可將代理程式與您的AWS 帳戶. 若要啟動代理程式,請使用可以使用連接埠 80 連接到代理程式的電腦。激活後,您可以撤消此訪問權限。代理程式必須能夠連線到您在步驟 4 中建立的 VPC 端點的私人 IP 位址。

    若要尋找此 IP 位址,請在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台,然後從左側的導覽窗格中選擇端點。選擇 DataSync 端點,然後檢查 Subnets (子網路) 清單,尋找您所選擇的私有 IP 地址。這是您的 VPC 端點的 IP 地址。

    注意

    請確定允許使用通訊埠 443、1024—1064 和連接埠 22,從代理程式到 VPC 端點的輸出流量。端口 22 是可選的,用於AWS Support通道。

  6. 啟用代理程式。如果您的電腦可以使用通訊埠 80 路由到代理程式,而且可以存取主控台,請開啟DataSync主控台,在左側導覽窗格中選擇 [理程式],然後選擇 [建立代理程式]。在 [服務端點] 區段中,選擇使用的 VPC 端點AWS PrivateLink

    選擇步驟 4 中的 VPC 端點、步驟 1 中的子網路,以及步驟 3 中的安全群組。輸入代理程式的 IP 位址。

    如果您無法使用相同的電腦存取代理程式和DataSync主控台,請使用可連接代理程式通訊埠 80 的電腦上的命令列來啟動代理程式。如需詳細資訊,請參閱建立AWS DataSync代理程式AWS CLI

  7. 選擇取得金鑰,選擇性地輸入代理程式名稱和標記,然後選擇 [建立代理程式]

    您的新代理程式會顯示在DataSync主控台的代理程式索引標籤上。綠色 VPC 端點狀態表示使用此代理程式執行的所有工作都會使用私人端點,而不會跨越公用網際網路。

  8. 透過設定傳輸的來源和目的地位置來建立工作。

    如需詳細資訊,請參閱我可以在哪裡傳輸我的資料AWS DataSync?

    為了透過使用私有 IP 位址簡化傳輸,您的任務會在您選擇的 VPC 和子網路中建立四個網路介面。

  9. 請確定您的代理程式可以連線到您的工作建立的四個網路介面和相關 IP 位址。

    若要尋找這些 IP 位址,請在 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台,然後在儀表板上選擇網路界面。在搜尋篩選器中輸入作業 ID,以查看工作的四個網路介面。這些是 VPC 端點使用的網路介面。請確定您允許使用連接埠 443 從代理程式到這些介面的輸出流量。

您現在可以開始任務了。對於使用此代理程式的其他每個任務,重複步驟 9,以允許任務的流量經過連接埠 443。