Zugriff auf VPC-Daten über Elastic Network-Schnittstellen Eigenschaften der Elastic Network-Schnittstelle

Herstellen einer Verbindung mit einem JDBC-Datenspeicher in einer VPC

Typischerweise erstellen Sie diese Ressourcen innerhalb von Amazon Virtual Private Cloud (Amazon VPC), so dass sie nicht über das öffentliche Internet zugänglich sind. Standardmäßig kann AWS Glue nicht auf Ressourcen innerhalb einer VPC zugreifen. Soll AWS Glue jedoch auf Ressourcen in Ihrer VPC zugreifen können, müssen Sie zusätzliche VPC-spezifische Konfigurationsinformationen angeben, beispielsweise VPC-Subnetz-IDs und Sicherheitsgruppen-IDs. So aktivieren Sie . Mithilfe dieser Informationen richtet AWS Glue Elastic Network-Schnittstellen ein, über die Ihre Funktion eine sichere Verbindung zu anderen Ressourcen in Ihrer privaten VPC aufbauen kann.

Wenn Sie einen VPC-Endpunkt verwenden, fügen Sie ihn zu Ihrer Routing-Tabelle hinzu. Weitere Informationen finden Sie unter Erstellen eines Schnittstellen-VPC-Endpunkts für AWS Glue und Voraussetzungen.

Wenn Sie die Verschlüsselung in Data Catalog verwenden, erstellen Sie den Endpunkt der Benutzeroberfläche von KMS und fügen ihn zu Ihrer Routing-Tabelle hinzu. Weitere Informationen finden Sie unter Erstellen eines VPC-Endpunkts für AWS KMS.

Zugriff auf VPC-Daten über Elastic Network-Schnittstellen

Wenn AWS Glue eine Verbindung mit einem JDBC-Datenspeicher in einer VPC herstellt, erstellt AWS Glue eine Elastic-Network-Schnittstelle (mit dem Präfix Glue_) in Ihrem Konto, um auf Ihre VPC-Daten zuzugreifen. Sie können diese Netzwerkschnittstelle nicht löschen, solange sie mit AWS Glue verbunden ist. Beim Erstellen der Elastic Network-Schnittstelle verknüpft AWS Glue eine oder mehrere Sicherheitsgruppen damit. Damit AWS Glue die Netzwerkschnittstelle erstellen kann, müssen die Sicherheitsgruppen, die mit der Ressource verknüpft sind, den eingehenden Zugriff mit einer Quellregel zulassen. Diese Regel enthält eine Sicherheitsgruppe, die mit der Ressource verknüpft ist. Dies bietet der Elastic Network-Schnittstelle Zugriff auf Ihren Datenspeicher mit der gleichen Sicherheitsgruppe.

Damit AWS Glue mit seinen Komponenten kommunizieren kann, geben Sie eine Sicherheitsgruppe mit einer selbstreferenzierenden eingehenden Regel für alle TCP-Ports an. Durch Erstellen einer selbstreferenzierenden Regel können Sie die Quelle auf die gleiche Sicherheitsgruppe in der VPC beschränken und vermeiden, dass sie für alle Netzwerke geöffnet wird. Die Standardsicherheitsgruppe für Ihre VPC verfügt möglicherweise bereits über eine selbstreferenzierende eingehende Regel für ALL Traffic.

Sie können Regeln in der Amazon VPC-Konsole erstellen. Um die Regeleinstellungen über die AWS Management Console zu aktualisieren, navigieren Sie zur VPC-Konsole (https://console.aws.amazon.com/vpc/) und wählen Sie die entsprechende Sicherheitsgruppe aus. Geben Sie die eingehende Regel für ALL TCP an, damit sie als Quelle denselben Sicherheitsgruppennamen hat. Weitere Informationen zu Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppen für Ihre VPC.

Jeder Elastic Network-Schnittstelle wird eine private IP-Adresse aus dem IP-Adressbereich innerhalb der von Ihnen angegebenen Subnetze zugeordnet. Die Netzwerkschnittstelle wird keinen öffentlichen IP-Adressen zugewiesen. AWS Glue benötigt Internetzugang (z. B. für den Zugriff auf AWS-Services, die über keine VPC-Endpunkte verfügen). Sie können eine NAT-Instance (Network Address Translation) in Ihrer VPC erstellen oder das NAT-Gateway von Amazon VPC verwenden. Weitere Informationen finden Sie unter NAT-Gateways im Amazon-VPC-Benutzerhandbuch. Sie können nicht direkt ein Internet-Gateway als Route in Ihrer Subnetzroutentabelle verwenden, das an Ihre VPC angefügt ist, da dafür die Netzwerkschnittstelle über öffentliche IP-Adressen verfügen muss.

Die VPC-Netzwerkattribute enableDnsHostnames und enableDnsSupport müssen auf "true" gesetzt werden. Weitere Informationen finden Sie unter Verwenden von DNS in Ihrer VPC.

Wichtig

Richten Sie Ihren Datenspeicher nicht in einem öffentlichen Subnetz oder in einem privaten Subnetz ein, das über keinen Internetzugang verfügt. Binden Sie sie stattdessen ausschließlich an private Subnetze an, die über eine NAT-Instance oder ein Amazon-VPC-NAT-Gateway auf das Internet zugreifen.

Eigenschaften der Elastic Network-Schnittstelle

Um die Elastic Network-Schnittstelle zu erstellen, müssen Sie die folgenden Eigenschaften angeben:

VPC: Der Name der VPC, die Ihren Datenspeicher enthält.
Subnetz: Das Subnetz in der VPC, die den Datenspeicher enthält.
Sicherheitsgruppen: Die Sicherheitsgruppen, die mit dem Datenspeicher verknüpft sind. AWS Glue ordnet diese Sicherheitsgruppen der Elastic Network-Schnittstelle zu, die mit Ihrem VPC-Subnetz verbunden ist. Damit AWS Glue-Komponenten kommunizieren können und den Zugriff von anderen Netzwerken verhindern, muss mindestens eine ausgewählte Sicherheitsgruppe eine auf sich selbst verweisende Regel für eingehenden Datenverkehr für alle TCP-Ports angeben.

Weitere Informationen zur Verwaltung einer VPC mit Amazon Redshift finden Sie im Artikel zum Verwalten von Clustern in einer Amazon Virtual Private Cloud (VPC).

Weitere Informationen zum Verwalten einer VPC mit Amazon Relational Database Service (Amazon RDS) finden Sie unter Working with an Amazon RDS DB Instance in a VPC (Arbeiten mit einer Amazon-RDS-DB-Instance in einer VPC).

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konfigurieren von AWS-Aufrufen, damit sie Ihre VPC durchlaufen

Verwenden einer MongoDB- oder MongoDB-Atlas-Verbindung