配置对 Amazon Kendra连接器的 Amazon VPC 支持
要配置 Amazon VPC 以便与 Amazon Kendra连接器结合使用,请执行以下步骤。
步骤
第 1 步:为 Amazon Kendra创建 Amazon VPC 子网
创建或选择现有的 Amazon VPC 子网,Amazon Kendra可利用该子网访问您的数据来源。准备好的子网必须位于以下 AWS 区域和可用区之一中:
-
美国西部(俄勒冈州)/us-west-2 - usw2-azz1、usw2-az2、usw2-az3
-
美国东部(弗吉尼亚州北部)/us-eaz-1 - useaz1、use1-az2、use1-az4
-
美国东部(俄亥俄州)/us-eaz-eaz-2 - useaz1、use2-azz2、use2-az3
-
亚太地区(东京)/ap-northeast-1 - apne1-azz1、apne1-azz2、apne1-azz4
-
亚太地区(孟买)/ap-south-1 - aps1-azz1、aps1-azz2、aps1-az3
-
亚太地区(新加坡)/ap-southeasteast-1 - apse1-azz1、apse1-azz2、apse1-az3
-
亚太地区(悉尼)/ap-southeasteast-2 - apse2-azz1、apse2-azz2、apse2-azz3
-
加拿大(中部)/ca-central-1 - cacz1、cac1-azz2、cac1-azz4
-
欧洲(爱尔兰)/euwest-1 - euww1-azz1、uew1-azz2、euw1-az3
-
欧洲地区(伦敦)/eu-west-2—euw2-az1、euw2-az2、euw2-az3
您的数据来源必须能够从您提供给 Amazon Kendra连接器的子网访问。
有关如何配置 Amazon VPC 子网的更多信息,请参阅《Amazon VPC 用户指南》中的Amazon VPC 的子网。
如果 Amazon Kendra必须在两个或多个子网之间路由连接,您可以准备多个子网。例如,包含您的数据来源的子网 IP 地址不在范围内。在这种情况下,您可以向 Amazon Kendra 提供一个额外的子网,该子网应具有足够的 IP 地址并连接到第一个子网。如果您列出多个子网,则子网必须能够相互通信。
第 2 步:为 Amazon Kendra创建 Amazon VPC 安全组
要将您的 Amazon Kendra数据来源连接器连接到 Amazon VPC,您必须准备 VPC 中的一个或多个安全组来分配给 Amazon Kendra。安全组将与 Amazon Kendra创建的弹性网络接口相关联。此网络接口控制在访问 Amazon VPC 子网时,往返于 Amazon Kendra上的入站和出站流量。
确保在您的安全组的出站规则中,允许了来自 Amazon Kendra数据来源连接器的流量访问子网和您要与之同步的数据来源。例如,您可以使用 MySQL 连接器从 MySQL 数据库进行同步。如果您使用默认端口,则安全组必须允许 Amazon Kendra 访问运行该数据库的主机上的端口 3306。
我们建议您使用以下值为 Amazon Kendra配置默认安全组以供使用:
-
入站规则 – 如果您选择将此项留空,则将阻止所有入站流量。
-
出站规则 – 添加一条规则以允许所有出站流量,这样 Amazon Kendra 就可以从您的数据来源发起同步请求。
-
IP 版本 – IPv4
-
类型 – 所有流量
-
协议 – 所有流量
-
端口范围 – 全部
-
目标 – 0.0.0.0/0
-
有关如何配置 Amazon VPC 安全组的更多信息,请参阅《Amazon VPC 用户指南》中的安全组规则。
第 3 步:配置外部数据来源和 Amazon VPC
确保您的外部数据来源具有正确的访问权限配置和网络设置,以便 Amazon Kendra进行访问。您可以在每个连接器页面的先决条件部分中,找到有关如何配置数据来源的详细说明。
此外,请检查您的 Amazon VPC 设置,并确保从您要分配到 Amazon Kendra的子网可以访问您的外部数据来源。为此,我们建议您在同一子网中创建具有相同安全组的 Amazon EC2 实例,并从该 Amazon EC2 实例测试对数据来源的访问。有关更多信息,请参阅 Amazon VPC 连接故障排除。
