針對從 AWS Glue 到 Amazon RDS 資料存放區的 JDBC 連線設定 Amazon VPC
使用 JDBC 連線到 Amazon RDS 中的資料庫時,需要執行額外的設定。若要讓 AWS Glue 元件與 Amazon RDS 通訊,必須在 Amazon VPC 中設定對 Amazon RDS 資料存放區的存取。要讓 AWS Glue 在其元件之間通訊,請指定一個安全群組並為所有 TCP 連接埠建立自我參考的傳入規則。建立自我參考的規則後,您就可以將資源限制給 VPC 中相同的安全群組。自我參考規則不會向所有網路開啟 VPC。VPC 的預設安全群組可能已經有了 ALL Traffic 的自我參考傳入規則。
若要設定 AWS Glue 和 Amazon RDS 資料存放區之間的存取
登入 AWS Management Console,開啟位於 https://console.aws.amazon.com/rds/
的 Amazon RDS 主控台。 -
在 Amazon RDS 主控台中,識別用來控制 Amazon RDS 資料庫存取的安全群組。
在左側導覽窗格中,選擇資料庫,然後從主窗格清單中選取要連接的執行個體。
在資料庫詳細資訊頁面的連線與安全索引標籤中,找到 VPC 安全群組。
-
根據您的網路架構,識別最適合修改的關聯安全群組,以允許 AWS Glue 服務的存取。儲存其名稱
database-security-group以供日後參考。如果沒有適當的安全群組,請遵循 Amazon RDS 文件中的指示,透過建立安全群組來存取 VPC 中的資料庫執行個體。 -
登入 AWS Management Console,並在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在 Amazon VPC 主控台中,識別如何更新
database-security-group。在左側導覽窗格中,選擇安全群組,然後從主窗格清單中選取
database-security-group。 -
找到
database-security-group的安全群組 ID,database-sg-id。儲存其以供日後參考。在安全群組詳細資訊頁面中,找到安全群組 ID。
-
變更
database-security-group的傳入規則,新增自我參考規則,以允許 AWS Glue 元件進行通訊。具體來說,新增或確認有這樣一個規則,其類型為All TCP,通訊協定為TCP,連接埠範圍包含所有連接埠,且來源為database-sg-id。確認您為來源輸入的安全群組與您編輯的安全群組相同。在安全群組詳細資訊頁面中,選取編輯傳入規則。
傳入規則類似:
Type 通訊協定 連接埠範圍 來源 所有 TCP
TCP
0–65535
database-sg-id -
新增傳出流量的規則。
在安全群組詳細資訊頁面中,選取編輯傳出規則。
如果安全群組允許所有傳出流量,則不需要單獨的規則。例如:
Type 通訊協定 連接埠範圍 目的地 所有流量
ALL
ALL
0.0.0.0/0
如果網路架構旨在限制傳出流量,請建立下列傳出規則:
建立自我參考規則,其中類型為
All TCP,通訊協定為TCP,連接埠範圍包含所有連接埠,目的地為database-sg-id。確認您為目的地輸入的安全群組與您編輯的安全群組相同。如果使用 Amazon S3 VPC 端點,則請新增 HTTPS 規則,以允許從 VPC 到 Amazon S3 的流量。建立一個規則,其中類型為
HTTPS,通訊協定為TCP,連接埠範圍為443,目的地為 Amazon S3 閘道端點受管字首清單的 IDs3-prefix-list-id。如需字首清單和 Amazon S3 閘道端點的詳細資訊,請參閱 Amazon VPC 文件中的 Amazon S3 的閘道端點。例如:
Type 通訊協定 連接埠範圍 目的地 所有 TCP
TCP
0–65535
database-sg-idHTTPS
TCP
443
s3- 字首清單 ID
