如何在VPC中的Redshift群集上解除Kinesis Firehose CIDR/IP？

Question

我们正在尝试将AWS Kinesis Firehose与Redshift输出结合使用。我们创建了Firehose Delivery Stream。我们在VPC安全组中有一个Redshift群集。 但似乎Firehose无法连接到群集。

这是我们创建VPC安全组的一个片段。

"RedshiftVPCSecurityGroup": { 
    "Type": "AWS::EC2::SecurityGroup", 
    "Properties": { 
    "SecurityGroupIngress": [ 
     { 
     "CidrIp": "52.19.239.192/27", 
     "FromPort": "5439", 
     "ToPort": "5439", 
     "IpProtocol": "tcp" 
     } 
    ], 
    "VpcId": { 
     "Ref": "VpcId" 
    }, 
    "GroupDescription": "Redshift VPC security group" 
    } 
} 

在此之后link，我们设置一个入口规则，允许从“52.19.239.192/27”连接。但是，这似乎并没有奏效，我们仍然得到以下错误。

到指定的Amazon Redshift群集的连接失败。确保安全设置允许Firehose连接，Amazon Redshift目标配置或JDBC URL中指定的群集或数据库是否正确，并且群集可用。

有谁知道我们做错了什么？

Answer 1

当FireHose访问您的Redshift群集时，它会从您的VPC外部进行访问。

为了流水访问您的红移集群，必须进行以下配置：

1. 红移集群必须在公共子网，这意味着它是在互联网网关子网。
2. Redshift群集必须具有公共IP地址。
3. 您的安全组必须允许传入访问流水端口5439.

如果没有上述两项要求得到满足，没有任何东西可以从您的VPC外部访问红移集群。

最后，要限制为仅流水外部访问，你可以限制端口5439的流水CIDR块规则：

• 52.70.63.192/27在美国东1