连接到 Amazon Web Services Transit Gateway

Redis 云

Amazon Web Services (AWS) Transit Gateway 充当区域虚拟路由器,用于处理 Virtual Private Cloud (VPC) 和本地网络之间的流量。您可以将不同的资源附加到 Transit Gateway,其中包括:

  • 一个或多个 VPC
  • 一个或多个虚拟专用网络 (VPN) 连接
  • 一个或多个 AWS Direct Connect 网关
  • 一个或多个 Transit Gateway Connect 挂载
  • 一个或多个中转网关对等连接

您可以将 Redis Cloud Pro 订阅连接到连接到应用程序 VPC 的 Transit Gateway。这使您的应用程序可以安全地连接到 Redis Cloud 数据库,同时优化性能。

注意:
Transit Gateway 仅适用于 Redis Cloud Pro。Redis Cloud Essentials 不支持此功能。

考虑

您可以使用 Transit Gateway 作为 VPC 对等连接的替代方案,也可以为您的订阅同时启用两者。

与 VPC 对等连接相比,Transit Gateway 可以:

  • 支持复杂的网络拓扑,例如多个 VPC 或站点到站点 VPN。

  • 使用安全组和网络 ACL 来控制 VPC 之间的流量。

  • 由于 Transit Gateway 基础设施成本,与 VPC 对等连接相比,具有更高的网络延迟和成本。

在以下情况下,请考虑并行使用 VPC 对等连接和 Transit Gateway:

  • 从一个连接解决方案迁移到另一个连接解决方案时。

  • 如果不同的应用程序需要连接到同一个数据库,但具有不同的延迟或安全要求。

先决条件

在设置 Transit Gateway 之前:

  1. Redis Cloud 控制台使用 Redis Cloud Pro 创建数据库

  2. AWS VPC 控制台创建中转网关

  3. AWS Resource Access Manager 共享中转网关

注意:
如果您拥有自行管理的 AWS 账户,则需要设置其 IAM 实例策略以包含 Transit Gateway。有关更多信息,请参阅使用 AWS 控制台创建 IAM 资源(已弃用)。

AWS 中转网关

要设置 Transit Gateway,请执行以下作:

  1. 将您的资源共享与 Redis AWS 账户关联

  2. 接受资源共享并创建附件

  3. 将使用者 CIDR 添加到附件中。

  4. 使用 Redis Cloud 创建者 CIDR 更新 AWS 路由表

将资源共享与 Redis 云关联

在此步骤中,您需要将资源共享与订阅的 AWS 账户相关联。您可以在 AWS 控制台中或使用 AWS CLI 执行此作。

AWS 控制台

要使用 AWS 控制台设置资源共享,请执行以下作:

  1. Redis Cloud 控制台中,选择 Subscriptions (订阅) 菜单,然后从列表中选择您的订阅。

  2. 选择 Connectivity > Transit Gateway (中转网关连接) 以查看中转网关设置。

  3. Share Transit Gateway 部分中,选择 AWS 控制台下的 Copy 以复制 Redis AWS 账号。

    Share Transit Gateway 部分。

  4. 按照指南在 AWS Resource Access Manager更新资源共享

    Grant access to principals (授予委托人访问权限) 步骤中,选择 Select principal type (选择委托人类型) 字段中的 AWS 账户。在 Enter an AWS Account ID 字段中输入复制的 AWS 账号。

    AWS Add principal 字段。

    添加主体后,可能需要一些时间才能关联它。您可以在资源共享页面的 Shared Principals (共享委托人) 下查看委托人的状态。

AWS 命令行界面

要使用 AWS CLI 设置资源共享,请执行以下作:

  1. Redis Cloud 控制台中,选择 Subscriptions (订阅) 菜单,然后从列表中选择您的订阅。

  2. 选择 Connectivity > Transit Gateway (中转网关连接) 以查看中转网关设置。

  3. Share Transit Gateway 部分中,选择 AWS CLI 命令下的 Copy 以复制 Redis AWS 账号。

    Share Transit Gateway 部分。

  4. 在终端 shell 中输入复制的 CLI 命令。取代<TGW ARN>替换为中转网关的 Amazon 资源名称。

接受资源共享并创建附件

将 Redis AWS 账户与资源共享关联后,您必须在 Redis Cloud 控制台中接受资源共享。

  1. 在 Redis Cloud 订阅的 Transit Gateway 设置中,您现在应该会看到资源共享可用。选择 Resource Shares (资源共享) 以查看您启动的资源共享。

    Share Transit Gateway 部分。

  2. 选择 Accept (接受) 以将资源共享与您的 Redis Cloud 控制台账户关联。

    Accept resource shares (接受资源共享) 部分。

  3. 选择 Close 以关闭 Accept resource shares 部分。

  4. 现在,您将在 Transit Gateways (中转网关) 部分看到您的中转网关。在 TGW 状态Available(可用)后,在 Attachment status(附件状态)下选择 Create Attachment(创建附件)。

    的 Create attachment (创建附件) 按钮。

    这将请求代表 Redis 的 AWS 账户的对等连接挂载到 Transit Gateway。

  5. 如果您的中转网关未自动接受对等连接挂载请求,则挂载将处于 Pending acceptance (等待接受) 状态。按照指南从 AWS VPC 控制台接受对等连接挂载请求

添加使用者 CIDR

  1. 在 Redis Cloud 订阅的 Transit Gateway 设置中,在 Transit Gateways 部分中,选择使用者 CIDR 下的添加 CIDR。

    Add CIDRs (添加 CIDR) 按钮。

  2. 输入您要连接到的 VPC 的 IPv4 CIDR,该 VPC 也连接到您的中转网关。要找到此链接,请转到 AWS VPC 控制台并选择您的 VPC。

    如果需要,选择 Add (添加) 以添加另一个 CIDR。

    添加 (Add) 按钮,用于添加其他 CIDR。

    选择 Save (保存) 以保存更改。

更新 AWS 路由表

要完成 Transit Gateway 设置,请使用以下详细信息更新对等连接的路由表

  1. Destination (目标) 字段中,输入创建者部署 CIDR。

    您可以在 Redis Cloud 控制台的 Transit Gateway 设置中找到创建者部署 CIDR,方法是在 Transit Gateway 部分中选择 More actions > View Attachment

    More actions (更多作) 菜单。 Attachment (附件) 设置中的创建者部署 CIDR。

  2. Target 字段中,选择 Transit Gateway,然后选择相关的 Transit Gateway ID

建立中转网关后,我们建议您将应用程序连接字符串切换到私有终端节点。

注意:
如果您已启用数据库的 CIDR 允许列表,则还必须将 Transit Gateway 的 IP 地址添加到 CIDR 允许列表中,以便通过私有终端节点连接到数据库。

在 Redis University 继续学习

请参阅 Redis Cloud 安全概述课程以了解更多信息。

为本页评分
返回顶部 ↑