使用AWS DataSync在虛擬私有雲端 - AWS DataSync

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用AWS DataSync在虛擬私有雲端

您可以部署AWS DataSync在以 Amazon Virtual Private Cloud (VPC) 為基礎的 Virtual Private Cloud (VPC) 中使用 Virtual Private Cloud (Virtual PriVPC ate Cloud) 中。透過此功能,代理程式與 DataSync 服務之間的連線不會跨越公有網際網路,也不需要公有 IP 地址。這些連線限制會將網路流量保留在 VPC 內,以提高資料的安全性。

的 VPC 端點 DataSync 由 VPC 端點服務 (AWS PrivateLink。AWS PrivateLink是高度可用、可擴充AWS 服務可讓您將 VPC 私有連線至支援AWS 服務。如需詳細資訊,請參閱「」VPC 端點服務 (AWS PrivateLink)中的Amazon VPC User Guide

若要使用 VPC 端點,您可以使用AWS Direct Connect或虛擬私有網路 (VPN)。透過此類傳輸,您可以使用僅能從 VPC 內部存取的私有 IP 地址。

How DataSync 可搭配 VPC 端點

所以此 DataSync 代理程式在自我管理的儲存和AWS。您可以在與來源儲存體相同的區域網路中將代理程式部署為虛擬機器。這種方法可使用網路檔案系統 (NFS) 和伺服器訊息區塊 (例如網路檔案系統 (NFS) 和伺服器訊息區塊 (例如網路檔案系統 (SMB) 將與傳輸資料相關的網路負荷降 Amazon S3 最低。

當您使用 DataSync 使用 VPC 端點 DataSync 代理商可以直接與之溝通AWS沒有那種通信跨越公共互聯網。

設定 DataSync 使用私有 IP 地址進行數據傳輸

在以下程序中,您可以找到設定 DataSync 代理程式和與之通訊的任務AWS使用 VPC 端點。

下圖說明過程。

設定 DataSync 代理和任務溝通AWS使用 VPC 端點

  1. 選擇您要在其中設定 DataSync 私有 IP 地址

    藉由使用路由規則,VPC 應該可擴充到您的 SMB、NFS 或自我管理物件儲存體所在的本機環境AWS Direct Connect或 VPN 此設定可確保 DataSync 代理程式 DataSync Service (服務) 保留在 VPC 內。

  2. 部署 DataSync 代理程式靠近您的本機儲存體。代理程式必須能夠使用 NFS、SMB 或 Amazon S3 API 來存取來源儲存體位置。您可以下載.ova檔案的 DataSync 代理來自 DataSyncconsole ( 代理程式不需要公有 IP 地址。如需下載和部署.ova影像,請參閱建立AWS DataSync適用於的代理程式AWS CLI

    注意

    您只能將代理程式用於一種類型的端點 — 私有、公有或聯邦資訊處理標準 (FIPS)。如果您已將代理程式設定為透過公有網際網路傳輸資料,請部署新的代理程式,將資料傳輸至私有 DataSync 端點。如需詳細說明,請參閱部署您的 DataSync 代理人

  3. 在您於步驟 1 中選擇的 VPC 中,建立安全群組,以確保可存取私有 IP 地址 DataSync 使用 這些地址包括一個控制流量的 VPC 端點,四個網路界面以用於資料傳輸。您可以使用此安全群組來管理這些私有 IP 地址的存取權,並確保您的代理程式可以路由到這些地址。

    代理程式必須能夠建立與這些 IP 地址的連線。在連接至端點的安全群組中,設定輸入規則,以允許代理程式的私有 IP 地址連接到這些端點。

  4. 建立 DataSync Service (服務)

    若要執行此操作,請在 Amazon VPC VPC 主控台https://console.aws.amazon.com/vpc/,然後選擇端點從左側的導覽窗格。選擇 Create endpoint (建立端點)。

    對於 Service category (服務類別),選擇 AWS 服務。適用於 服務名稱,選擇DataSync在您的AWS 區域(例如,com.amazonaws.us-east-1.datasync。然後選擇您在步驟 1 和 3 中選擇的 VPC 和安全群組。確定已清除 Enable Private DNS Name (啟用私有 DNS 名稱) 核取方塊。

    重要

    如果您擁有部署 DataSync Amazon EC2 執行個體」中,選擇代理程式所在的可用區域,以避免可用區域之間的網路流量產生費用。

    如要進一步了解資料傳輸價AWS 區域,請參閱Amazon EC2 隨需定價

    如需建立 VPC 端點的其他詳細資訊,請參閱建立界面端點Amazon VPC User Guide

  5. 當您的新 VPC 端點可用時,請確定您的自我管理環境的網路設定允許代理程式啟用。

    Activation是一次性操作,可安全地為代理程式與您的AWS 帳戶。若要啟動代理程式,請使用可以使用連接埠 80 連接到代理程式的電腦。激活後,您可以撤消此訪問權限。代理程式必須能夠連接到您在步驟 4 中建立的 VPC 端點的私有 IP 地址。

    若要尋找此 IP 地址,請在開啟 Amazon VPC VPC 主控台https://console.aws.amazon.com/vpc/,然後選擇端點從左側的導覽窗格。選擇 DataSync 端點,並檢查子網您選擇的子網路的私有 IP 地址。這是您的 VPC 端點的 IP 地址。

    注意

    請確定使用連接埠 443、1024—1064 和連接埠 22 允許從代理程式到 VPC 端點的輸出流量。連接埠 22 是選擇性的,可用於AWS Support頻道。

  6. 啟用代理程式。如果您的電腦可以使用連接埠 80 路由到代理程式,而且可以存取 DataSync 控制台,打開控制台,選擇代理程式在左側導覽窗格中,然後選擇建立代理程式。在 中服務端點區段中,選擇VPC 端點AWS PrivateLink

    選擇步驟 4 中的 VPC 端點、步驟 1 中的子網路,以及步驟 3 中的安全群組。輸入代理程式的 IP 地址。

    如果您無法存取代理程式 DataSync 透過使用相同的電腦,從可以連接代理程式連接埠 80 的電腦使用命令列啟動代理程式。如需詳細資訊,請參閱 建立AWS DataSync適用於的代理程式AWS CLI

  7. 選擇取得金鑰,可選擇代理程式名稱和標籤,然後選擇建立代理程式。您的新代理程式現在會出現在代理程式的標籤 DataSync console ( 綠色VPC 端點banner 表示使用此代理程式執行的所有任務都是使用私有端點,而不會跨越公有網際網路。

  8. 設定資料傳輸的來源和目的地,以建立您的任務。如需如何選擇端點的詳細資訊,請參閱選擇服務端點AWS DataSync

    為了利用私有 IP 地址更方便進行傳輸,您的任務會在您選擇的 VPC 和子網路中建立四個網路界面。

  9. 請確定您的代理程式可以連接到任務所建立的四個網路界面和相關 IP 地址。

    若要尋找這些 IP 地址,請在開啟 Amazon EC2 EC2 主控台https://console.aws.amazon.com/ec2/,然後選擇網路界面儀表板上。在搜尋篩選條件中輸入任務 ID,以查看任務的四個網路界面。這些是 VPC 端點所使用的網路界面。請確定您允許使用連接埠 443 從代理程式到這些介面的輸出流量。

您現在可以開始任務了。對於使用此代理程式的其他每個任務,重複步驟 9,以允許任務的流量經過連接埠 443。