Endpoint VPC gestiti da Redshift - Amazon Redshift
Considerazioni

Amazon Redshift non supporterà più la creazione di nuove UDF Python a partire dal 1º novembre 2025. Se desideri utilizzare le UDF Python, creale prima di tale data. Le UDF Python esistenti continueranno a funzionare normalmente. Per ulteriori informazioni, consulta il post del blog.

Endpoint VPC gestiti da Redshift

Per impostazione predefinita, un cluster Amazon Redshift o un gruppo di lavoro Amazon Redshift serverless viene sottoposto a provisioning in un cloud privato virtuale (VPC). Puoi accedervi da un altro VPC o da un’altra sottorete quando consenti l’accesso pubblico o configuri un gateway Internet, un dispositivo NAT o una connessione AWS Direct Connect per instradare il traffico al cluster. In alternativa puoi accedere a un cluster o un gruppo di lavoro configurando un endpoint VPC gestito da Redshift (con tecnologia AWS PrivateLink).

Puoi configurare un endpoint VPC gestito da Redshift come connessione privata tra un VPC che contiene un cluster o un gruppo di lavoro e un VPC che esegue uno strumento client. Se il cluster o il gruppo di lavoro si trova in un altro account, il proprietario dell’account (concedente) deve concedere l’accesso all’account che desidera stabilire una connessione (beneficiario). Con questo approccio puoi accedere al data warehouse senza utilizzare un indirizzo IP pubblico o senza instradare il traffico tramite Internet.

Questi sono i motivi comuni per consentire l’accesso utilizzando un endpoint VPC gestito da Redshift:

  • L’account AWS A desidera consentire a un VPC nell’account AWS B di avere accesso a un cluster o un gruppo di lavoro.

  • L’account AWS A desidera consentire a un VPC che si trova anch’esso nell’account AWS A di avere accesso a un cluster o un gruppo di lavoro.

  • L’account AWS A desidera consentire a una sottorete diversa nel VPC all’interno dell’account AWS A di avere accesso a un cluster o un gruppo di lavoro.

Il flusso di lavoro per configurare un endpoint VPC gestito da Redshift per l’accesso a un cluster o un gruppo di lavoro in un altro account è il seguente:

  1. L’account proprietario concede l’autorizzazione di accesso a un altro account e specifica l’ID account AWS e l’identificatore VPC (o tutti i VPC) del beneficiario.

  2. All'account beneficiario viene notificato che dispone dell'autorizzazione per creare un endpoint VPC gestito da RedShift.

  3. L'account beneficiario crea un endpoint VPC gestito da RedShift.

  4. L’account beneficiario può ora accedere al cluster o al gruppo di lavoro dell’account proprietario utilizzando l’endpoint VPC gestito da Redshift.

A questo scopo puoi utilizzare la console Amazon Redshift, AWS CLI o l’API Amazon Redshift.

Considerazioni sull'utilizzo degli endpoint VPC gestiti da RedShift

Nota

Per creare o modificare endpoint VPC gestiti da Redshift, è necessaria l'autorizzazione ec2:CreateVpcEndpoint o ec2:ModifyVpcEndpoint nella policy IAM, oltre alle altre autorizzazioni specificate nella policy AmazonRedshiftFullAccess gestita da AWS.

Quando si utilizzano gli endpoint VPC gestiti da RedShift, tenere presente quanto riportato di seguito:

  • Se utilizzi un cluster con provisioning, questo deve avere il tipo di nodo RA3. Un gruppo di lavoro Amazon Redshift serverless funziona anche per la configurazione di un endpoint VPC.

  • Per i cluster con provisioning, assicurati che il cluster sia abilitato per la rilocazione del cluster o Multi-AZ. Per informazioni sui requisiti per attivare la rilocazione del cluster, consultare Rilocazione di un cluster. Per ulteriori informazioni sull’abilitazione di Multi-AZ, consulta Configurazione di implementazioni multi-AZ durante la creazione di un nuovo cluster.

  • Assicurati che il cluster o il gruppo di lavoro a cui accedere attraverso il gruppo di sicurezza sia disponibile all’interno degli intervalli di porte validi 5431-5455 e 8191-8215. Il valore predefinito è 5439.

  • È possibile modificare i gruppi di sicurezza VPC associati a un endpoint VPC gestito da RedShift esistente. Per modificare altre impostazioni, eliminare l'endpoint VPC gestito da RedShift corrente e crearne uno nuovo.

  • Il numero di endpoint VPC gestiti da RedShift che è possibile creare è limitato alla quota di endpoint VPC.

  • Gli endpoint VPC gestiti da RedShift non sono accessibili da Internet. Un endpoint VPC gestito da Redshift è accessibile solo all’interno del VPC in cui viene sottoposto a provisioning o da qualsiasi VPC con peering con il VPC in cui viene sottoposto a provisioning come previsto dalle tabelle di routing e dai gruppi di sicurezza.

  • Non è possibile utilizzare la console Amazon VPC per gestire endpoint VPC gestiti da RedShift.

  • Quando crei un endpoint VPC gestito da Redshift per un cluster con provisioning, il VPC scelto deve avere un gruppo di sottoreti. Per creare un gruppo di sottoreti, consulta Creazione di un gruppo di sottoreti del cluster.

  • Se una zona di disponibilità non è attiva, Amazon Redshift non crea una nuova interfaccia di rete elastica in un’altra zona di disponibilità. In questo caso potresti dover creare un nuovo endpoint.

Per informazioni sulle quote e sui vincoli di denominazione, consultare Quote e limiti in Amazon Redshift.

Per informazioni sui prezzi, consultare Prezzi di AWS PrivateLink.