本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Amazon Keyspaces CDC 流与接口 VPC 终端节点一起使用
接口 VPC 端点可以在 Amazon VPC 中运行的虚拟私有云 (VPC) 与 Amazon Keyspaces 之间实现私有通信。接口 VPC 终端节点由提供支持 AWS PrivateLink,这是一项支持 VPCs 和 AWS 服务之间私有通信的 AWS 服务。
AWS PrivateLink 通过在您的 VPC 中使用带有私有 IP 地址的 elastic network interface 来实现这一点,这样网络流量就不会离开亚马逊网络。接口 VPC 端点不需要互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。有关更多信息,请参阅 Amazon Virtual Private Cloud 和 接口 VPC 端点 (AWS PrivateLink)。
主题
为 Amazon Keyspaces CDC 直播使用接口 VPC 终端节点
您可以使用接口 VPC 终端节点,以便 Amazon Keyspaces CDC 流和您的 Amazon VPC 资源之间的流量开始流经接口 VPC 终端节点。您可以使用 VPC 终端节点策略来限制对您的 CDC 直播的访问。
有关 Amazon Keyspaces CDC 直播的更多信息,请参阅。在 Amazon Keyspaces 中处理变更数据捕获 (CDC) 流
Amazon Keyspaces CDC 直播接口 VPC 终端节点
当您创建接口终端节点时,Amazon Keyspaces CDC 流会为该流生成两种类型的终端节点特定的 DNS 名称:区域和区域。
- 区域性
区域 DNS 名称包含以下信息:
唯一的亚马逊 VPC 终端节点 ID
服务标识符
的 AWS 区域
后
vpce.amazonaws.com缀
对于带有 ID 的 Amazon VPC 终端节点
vpce-1a2b3c4d,生成的 DNS 名称可能与以下示例类似:vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com。- 可用区
区域 DNS 名称除了区域 DNS 名称中的信息外,还包括可用区
。为带有 ID 的 Amazon VPC 终端节点生成 vpce-1a2b3c4d的 DNS 名称如下例所示,请注意, AWS 区域 现在包含可用区:vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com如果您的架构隔离了可用区,则可以使用此选项。例如,您可以将其用于故障控制或降低区域数据传输成本。
注意
为了实现最佳可靠性,我们建议将您的服务部署在至少三个可用区中。
创建 Amazon Keyspaces CDC 流接口 VPC 终端节点
您可以使用 AWS CLI 或软件开发工具包通过 Amazon AWS Keyspaces CDC Streams 接口终端节点访问 Amazon Keyspaces CDC Streams API 操作。有关所有可用 API 操作的完整列表,请参阅 Amazon Keyspaces Streams API 参考。
有关如何创建 VPC 终端节点的更多信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点。
要创建 VPC 终端节点,您可以使用以下示例中的语法。
aws ec2 create-vpc-endpoint \ --regionus-east-1\ --service-name api.aws.us-east-1.cassandra-streams \ --vpc-idclient-vpc-id\ --subnet-idsclient-subnet-id\ --vpc-endpoint-type Interface \ --security-group-idsclient-sg-id
更新 Amazon Keyspaces CDC 流接口 VPC 终端节点
要更新 VPC 终端节点,您可以使用以下示例中的语法。
aws ec2 modify-vpc-endpoint \ --regionus-east-1\ --vpc-endpoint-idclient-vpc-id\ --policy-documentpolicy-document\ #example optional parameter --add-security-group-idssecurity-group-ids\ #example optional parameter
使用 Amazon Keyspaces CDC 流接口 VPC 终端节点列出流
要列出使用 VPC 终端节点的流,您可以使用以下示例中的语法。请务必使用您自己的信息替换 VPC 终端节点 ID 的地区和 DNS 名称。
aws keyspacesstreams \ --endpointhttps://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com\ --regionus-east-1\ list-streams
为 Amazon Keyspaces CDC 流接口 VPC 终端节点创建策略
您可以将终端节点策略附加到控制对 Amazon Keyspaces CDC 流的访问权限的 Amazon VPC 终端节点。该策略指定以下信息:
可以执行操作的 AWS Identity and Access Management (IAM) 委托人
可执行的操作
可对其执行操作的资源
要将访问特定 Amazon Keyspaces CDC 流限制为仅允许访问您的 Amazon VPC 中的特定 AWS 服务,您可以使用以下示例。
以下直播策略授予任何 IAM 委托人的访问权限,cassandra:GetRecords以执行操作cassandra:GetStream以及2025-02-20T11:22:33.444关联到账户/keyspace/mykeyspace/table/mytable/资源的指定流123456788901。要使用此终端节点策略,请务必将区域、账户 ID 和资源替换为直播标签。
{ "Version": "2012-10-17", "Id": "Policy1216114807515", "Statement": [ { "Sid": "Access-to-specific-stream-only", "Principal": "*", "Action": [ "cassandra:GetStream", "cassandra:GetRecords" ], "Effect": "Allow", "Resource": ["arn:aws:cassandra:us-east-1:123456788901:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"] } ] }
注意
Amazon Keyspaces 不支持 CDC 直播的网关终端节点。
