本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配介面 VPC 端點使用 Amazon Keyspaces CDC 串流
介面 VPC 端點可讓您在 Amazon VPC 和 Amazon Keyspaces 中執行的虛擬私有雲端 (VPC) 之間進行私有通訊。介面 VPC 端點採用 技術 AWS PrivateLink,這是一種 AWS 可在 VPCs和服務 AWS 之間進行私有通訊的服務。
AWS PrivateLink 透過在您的 VPC 中使用具有私有 IP 地址的彈性網路介面來啟用此功能,讓網路流量不會離開 Amazon 網路。介面 VPC 端點不需要網際網路閘道、NAT 裝置、VPN 連接或是 AWS Direct Connect 連線。如需詳細資訊,請參閱 Amazon Virtual Private Cloud 和介面 VPC 端點 (AWS PrivateLink)。
主題
使用 Amazon Keyspaces CDC 串流的介面 VPC 端點
您可以使用介面 VPC 端點,讓 Amazon Keyspaces CDC 串流與 Amazon VPC 資源之間的流量開始流經介面 VPC 端點。您可以使用 VPC 端點政策來限制對 CDC 串流的存取。
如需 Amazon Keyspaces CDC 串流的詳細資訊,請參閱 在 Amazon Keyspaces 中使用變更資料擷取 (CDC) 串流。
Amazon Keyspaces CDC 串流介面 VPC 端點
當您建立介面端點時,Amazon Keyspaces CDC 串流會為串流產生兩種類型的端點特定 DNS 名稱:區域和區域。
- 區域性
區域 DNS 名稱包含下列資訊:
唯一的 Amazon VPC 端點 ID
服務識別符
的 AWS 區域
vpce.amazonaws.com尾碼
對於 ID 為 的 Amazon VPC 端點
vpce-1a2b3c4d,產生的 DNS 名稱可能看起來類似下列範例:vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com。- 區域
除了區域 DNS 名稱中的資訊之外,區域 DNS 名稱還包含可用區域
。具有 ID 的 Amazon VPC 端點產生的 DNS 名稱 vpce-1a2b3c4d看起來如下範例所示,請注意, AWS 區域 現在包含可用區域:vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com如果您的架構隔離可用區域,您可以使用此選項。例如,您可以將其用於故障遏止或降低區域資料傳輸成本。
注意
為了獲得最佳可靠性,建議您將服務部署到至少三個可用區域。
建立 Amazon Keyspaces CDC 串流介面 VPC 端點
您可以使用 AWS CLI 或 AWS SDK,透過 Amazon Keyspaces CDC Streams 介面端點存取 Amazon Keyspaces CDC Streams API 操作。如需所有可用 API 操作的完整清單,請參閱 Amazon Keyspaces Streams API 參考。
如需如何建立 VPC 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點。
若要建立 VPC 端點,您可以在下列範例中使用 語法。
aws ec2 create-vpc-endpoint \ --regionus-east-1\ --service-name api.aws.us-east-1.cassandra-streams \ --vpc-idclient-vpc-id\ --subnet-idsclient-subnet-id\ --vpc-endpoint-type Interface \ --security-group-idsclient-sg-id
更新 Amazon Keyspaces CDC 串流介面 VPC 端點
若要更新 VPC 端點,您可以在下列範例中使用 語法。
aws ec2 modify-vpc-endpoint \ --regionus-east-1\ --vpc-endpoint-idclient-vpc-id\ --policy-documentpolicy-document\ #example optional parameter --add-security-group-idssecurity-group-ids\ #example optional parameter
使用 Amazon Keyspaces CDC 串流介面 VPC 端點列出串流
若要列出使用 VPC 端點的串流,您可以使用下列範例中的語法。請務必使用您自己的資訊取代 VPC 端點 ID 的區域和 DNS 名稱。
aws keyspacesstreams \ --endpointhttps://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com\ --regionus-east-1\ list-streams
為 Amazon Keyspaces CDC 串流介面 VPC 端點建立政策
您可以將端點政策連接至 Amazon VPC 端點,以控制對 Amazon Keyspaces CDC 串流的存取。此政策會指定下列資訊:
可執行動作的 AWS Identity and Access Management (IAM) 委託人
可執行的動作
可在其中執行動作的資源
若要限制對特定 Amazon Keyspaces CDC 串流的存取,使其僅允許 Amazon VPC 存取中的特定 AWS 服務,您可以使用下列範例。
下列串流政策會針對 動作cassandra:GetStream和2025-02-20T11:22:33.444連接至/keyspace/mykeyspace/table/mytable/屬於帳戶 之資源cassandra:GetRecords的指定串流,授予任何 IAM 主體的存取權123456788901。若要使用此端點政策,請務必使用串流標籤取代區域、帳戶 ID 和資源。
{ "Version": "2012-10-17", "Id": "Policy1216114807515", "Statement": [ { "Sid": "Access-to-specific-stream-only", "Principal": "*", "Action": [ "cassandra:GetStream", "cassandra:GetRecords" ], "Effect": "Allow", "Resource": ["arn:aws:cassandra:us-east-1:123456788901:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"] } ] }
注意
Amazon Keyspaces 不支援 CDC 串流的閘道端點。
