Как получить доступ к ресурсам aws в VPC из клея AWS?

У меня есть задание по склеиванию, которое касается API, размещенного на экземпляре EC2.

Проблема в том, что экземпляр EC2 находится в VPC, что блокирует любой публичный доступ.

Я попытался создать интерфейс конечной точки в своем VPC, но все еще не могу получить доступ к REST API.

Хост всегда недоступен, но когда я пытаюсь получить доступ к API из VPC, он работает нормально.

Группа безопасности, связанная с экземпляром EC2, используется при создании конечной точки VPC.

Любая помощь приветствуется


amazon-web-services amazon-ec2 amazon-vpc aws-glue
person Shubham Jain    schedule 26.06.2020    source источник
comment
Можете ли вы создать фиктивное соединение JDBC внутри частной подсети и попытаться получить доступ к API с помощью задания Glue, прикрепляющего это соединение?   -  person Prabhakar Reddy    schedule 27.06.2020
comment
Я не могу получить доступ к какому-либо ресурсу в vpc, и есть ли ссылки для создания фиктивного соединения jdbc?   -  person Shubham Jain    schedule 27.06.2020

Ответы (1)


arrow_upward
1
arrow_downward

Если вы перейдете в консоль AWS Glue, в разделе «Подключения» создайте подключение. Под фиктивным соединением подразумевается несуществующая база данных или ресурс, например: jdbc:mysql://some-fake-endpoint-here:3306/mydb. После этого вы выбираете правильный VPC, подсеть и группу безопасности. Это означает, что тестовое соединение не будет работать в этом контексте, но оно дает способ представить вашему заданию информацию о вашем VPC, подсети и группе безопасности. Проверить такое соединение можно с помощью задания оболочки Python или запустить экземпляр ec2 в том же vpc или той же подсети и запустить что-то вроде nc -vz endport port.

Эта информация о метаданных подключения облегчит запуск эластичных сетевых интерфейсов в вашей учетной записи, которые позволят связующим DPU взаимодействовать с вашим ресурсом во время выполнения. Подробнее о том, как соединения в glue, можно узнать здесь.

person Eman    schedule 27.06.2020
comment
Спасибо @Eman, он сработал, создав фиктивное соединение JDBC и связав его с заданием Glue. Однако рекомендуется иметь в вашей подсети количество IP-адресов, равное или большее, чем требуется DPU для выполнения задания. Это не похоже на реальное решение. Это можно больше рассматривать как взлом для запуска заданий Glue внутри VPC? - person Shubham Jain; 28.06.2020
comment
Я полагаю, что взлом будет фальшивым соединением, но требования IP применимы для любого задания, которое запускается с соединением. Идея DPU и ENI проста в том, что каждый раз, когда вы запрашиваете, скажем, 10 DPU, у вас должно быть достаточно IP-адресов на время выполнения этого задания. По завершении задания неиспользуемые eni удаляются. Лучше всего иметь не менее восьми IP-адресов в каждой подсети, доступных для использования, но если у вас есть много заданий, которые вы собираетесь выполнять, используя соединения jdbc, вы можете либо иметь достаточно большую подсеть, либо использовать разные подсети, что будет означать разные соединения. за работу. - person Eman; 28.06.2020