Comment fonctionne le routage VPC amélioré dans Amazon Redshift ?

Lecture de 6 minute(s)

J'essaie d'activer le routage VPC amélioré dans Amazon Redshift. Comment fonctionne le routage VPC amélioré et quels sont les facteurs à prendre en compte pour son utilisation ?

Brève description

Dans Amazon Redshift, le trafic réseau créé par les commandes COPY, UNLOAD, et Amazon Redshift Spectrum passe par une interface réseau. Cette interface réseau est interne au cluster Amazon Redshift et se trouve en dehors de votre Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le trafic réseau est ensuite acheminé via l'Internet public pour atteindre sa destination.

Toutefois, lorsque vous activez le routage VPC amélioré Amazon Redshift, Amazon Redshift achemine le trafic réseau via un VPC à la place. Le routage VPC amélioré Amazon Redshift utilise une option de routage disponible, donnant la priorité à l'itinéraire le plus spécifique pour le trafic réseau. Le point de terminaison du VPC est prioritaire en tant que première priorité de routage. Si un point de terminaison de VPC n'est pas disponible, Amazon Redshift achemine le trafic réseau via une passerelle Internet, une instance NAT, ou une passerelle NAT.

Pour déterminer si vous devez activer le routage VPC amélioré Amazon Redshift, tenez compte des cas d'utilisation suivants :

Trafic Amazon S3 pour COPY ou UNLOAD via un point de terminaison de passerelle VPC au lieu de passer par l'Internet public.
Trafic SSH (depuis l'exécution de la commande COPY jusqu'à l'intégration SSH) à partir d'un hôte distant dans un VPC ou un serveur sur site.
Le trafic metastore AWS Glue, Amazon Athena ou Apache Hive pour Redshift Spectrum via des points de terminaison d'interface VPC.
Requêtes fédérées vers des instances privées Amazon Relational Database Service (Amazon RDS) situées dans un VPC appairé.

Pour déterminer si le routage VPC amélioré Amazon Redshift prend en charge les besoins de votre cluster, notez les facteurs à prendre en compte :

Vous permet de contrôler le trafic réseau.
Améliore la sécurité car il utilise une adresse IP privée pour le trafic réseau.
Affecte la façon dont Amazon Redshift accède aux autres ressources. Par conséquent, le routage VPC amélioré peut parfois créer une surcharge supplémentaire lorsque vous configurez un groupe de sécurité, une liste de contrôle d'accès réseau (ACL) ou une table de routage.
Remarque : si la configuration est incorrecte, le routage VPC amélioré peut entraîner l'échec de vos tâches COPY, UNLOAD, ou Redshift Spectrum.
N'améliore pas les performances du cluster.

Solution

Priorisation des méthodes de routage par Amazon Redshift

Important : lorsque le routage VPC amélioré est activé, il n'active pas automatiquement le flux de trafic via un VPC. Un point de terminaison de VPC doit être créé et spécifié dans la table de routage du sous-réseau.

S'il existe plusieurs chemins d'accès réseau, Amazon Redshift achemine le trafic via l'itinéraire le plus spécifique disponible.

Exemple n°1 : point de terminaison de passerelle Amazon Simple Storage Service (Amazon S3)

Dans l'exemple suivant, Amazon Redshift achemine le trafic réseau via un point de terminaison de passerelle Amazon S3 (« vpce-xxxxx ») :

Destination  |  Target
-------------------------
10.0.0.0/16  |  local
0.0.0.0/0    |  igw-xxxxx
pl-6fa54006  |  vpce-xxxxx

Remarque : chaque sous-réseau de votre VPC doit être associé à une table de routage.

Exemple n°2 : passerelle Internet, passerelle NAT ou instance NAT

Dans l’exemple suivant de table de routage de sous-réseau, le trafic Amazon S3 est acheminé via la passerelle Internet (« igw-xxxxx ») :

Destination  |  Target
-------------------------
10.0.0.0/16  |  local
0.0.0.0/0    |  igw-xxxxx

Exemple n°3 : aucune route disponible vers la destination

Si aucune méthode de routage n'est disponible et que la table de routage ne peut pas atteindre S3, le trafic réseau pour COPY et UNLOAD expire comme suit :

Destination   |  Target
------------------------------
10.0.0.0/16   |  local

Après plusieurs tentatives, une méthode de routage qui ne peut pas atteindre S3 entraîne le message d'erreur suivant :

"ERROR:  S3CurlException: Connection timed out after 50001 milliseconds, CurlError 28, multiCurlError 0, CanRetry 1, UserError 0"

Vérification de l'activation du routage VPC amélioré

Vous pouvez vérifier si le routage VPC est activé dans Amazon Redshift, à l'aide de l'une des approches suivantes :

Console Amazon Redshift : vous pouvez vérifier si le routage VPC amélioré est activé à l'aide de la console Amazon Redshift. Pour plus d'informations, consultez la section Activation du routage VPC amélioré.
Interface de ligne de commande AWS (CLI AWS) : utilisez les commandes describe-clusters et grep pour vérifier si le routage VPC amélioré est défini sur « true ».
Journaux de flux VPC : utilisez les journaux de flux VPC pour capturer des informations sur le trafic IP vers et depuis les interfaces réseau dans votre VPC.

Voici un exemple de syntaxe de commande CLI AWS utilisée pour vérifier le paramètre de routage VPC amélioré :

$ aws redshift describe-clusters --cluster-id <cluster-id> | grep EnhancedVpcRouting 

|| EnhancedVpcRouting | True

Voici un exemple de journal de flux VPC, qui montre le trafic réseau COPY entre une adresse IP privée Amazon Redshift et un compartiment S3 :

Account_ID    ENI    Source_IP    Destination_IP    Source_Port    Destination_Port    Protocol   Packets    Bytes    Start_Time    End_Time
......
2 540754XXXXXX eni-01783841dad81XXXX 52.216.29.118 172.31.13.236 443 37516 6 279740 390798072 1589668161 1589668221 ACCEPT OK
2 540754XXXXXX eni-01783841dad81XXXX 172.31.13.236 52.216.29.118 37516 443 6 9206 368276 1589668161 1589668221 ACCEPT OK
......

Autres facteurs à prendre en compte

Si vous utilisez un point de terminaison VPC Amazon S3, le compartiment S3 doit se trouver dans la même région que le cluster Amazon Redshift.
La prise en charge DNS de votre VPC doit être activée. Si vous utilisez un DNS personnalisé, assurez-vous que vos points de terminaison de service Amazon S3 et AWS Glue peuvent être convertis.
Veillez à configurer votre point de terminaison d'interface AWS Glue de sorte que le trafic circule en privé depuis Redshift Spectrum vers AWS Glue via un VPC. Sinon, une passerelle NAT ou une passerelle Internet sont nécessaires.

Sujets

Analytique

Balises

Amazon Redshift

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

loi sur la protection des renseignements personnel et les documents électroniques du Canada (LPRDE)
Nadal
demandé il y a un an
Fonction Lambda : 15 tests et toujours le même statut "Statut failed" avec toujours le même message d'erreur...
BrunoAWSLambda
demandé il y a 6 mois
Créer un enregistrement
Réponse acceptée
Tikki
demandé il y a 4 mois
accélérer les stockage S3
Réponse acceptée
jerome
demandé il y a 14 jours
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a un an
Comment puis-je importer ou transférer des données entre Amazon Redshift et un compartiment Amazon S3 d'un autre compte à l'aide des commandes COPY et UNLOAD ?
AWS OFFICIELA mis à jour il y a un an
Comment résoudre les erreurs de chargement des données rencontrées lorsque j’utilise la commande COPY dans Amazon Redshift ?
AWS OFFICIELA mis à jour il y a 5 mois
Pourquoi Amazon Redshift exécute-t-il le processus COPY ANALYZE lorsque STATUPDATE est désactivé ?
AWS OFFICIELA mis à jour il y a un an
Comment résoudre les problèmes liés à la commande UNLOAD dans Amazon Redshift ?
AWS OFFICIELA mis à jour il y a 2 ans