Amazon Relational Database Service
用户指南 (API Version 2014-10-31)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

Amazon RDS 设置

首次使用 Amazon RDS 前,请完成以下任务:

注册 AWS

当您注册 Amazon Web Services (AWS) 时,您的 AWS 账户会自动注册 AWS 中的所有服务,包括 Amazon RDS。您只需为使用的服务付费。

借助 Amazon RDS,您仅需为实际使用的资源付费。您创建的 Amazon RDS 数据库实例处于活跃状态 (不在沙盒中运行)。您需要为实例支付标准 Amazon RDS 使用费,直到您终止该实例。有关 Amazon RDS 使用费率的更多信息,请参阅 Amazon RDS 产品页。如果您是 AWS 新客户,可以开始免费使用 Amazon RDS;有关更多信息,请参阅 AWS 免费使用套餐

如果您已有一个 AWS 账户,请跳到下一个任务。如果您还没有 AWS 账户,请使用以下步骤创建。

如何创建 AWS 账户

  1. 打开 http://www.amazonaws.cn/,然后选择 Create an AWS Account

    注意

    如果您之前已登录 AWS 管理控制台,则可能无法在浏览器中执行此操作。在此情况下,请选择 Sign In to the Console,然后选择 Create a new AWS account

  2. 按照屏幕上的说明进行操作。

    作为注册流程的一部分,您会收到一个电话,需要您使用电话键盘输入一个 PIN 码。

请记住您的 AWS 账户,因为进行下一个任务时需要用到该账户。

创建 IAM 用户

AWS 中的服务 (例如 Amazon RDS) 要求您在访问时提供凭证,以便服务可以确定您是否有权限访问其资源。控制台要求您的密码。您可以为您的 AWS 账户创建访问密钥以访问命令行界面或 API。但是,我们不建议您使用 AWS 账户的凭证访问 AWS,而建议您使用 AWS Identity and Access Management (IAM)。您应创建一个 IAM 用户,然后将该用户添加到具有管理权限的 IAM 组或向此用户授予管理权限。然后您就可以使用特别的 URL 和 IAM 用户的凭证访问 AWS。

如果您已注册 AWS 但尚未为自己创建一个 IAM 用户,则可以使用 IAM 控制台自行创建。

为您自己创建一个 IAM 用户并将该用户添加到管理员组

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users,然后选择 Add user

  3. 对于 User name,键入用户名,例如 Administrator。名称可包含字母、数字以及以下字符:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。名称不区分大小写,且最大长度可为 64 个字符。

  4. 选中 AWS 管理控制台 access 旁边的复选框,选择 Custom password,然后在文本框中键入新用户的密码。您可以选择 Require password reset 以强制用户在下次登录时选择新密码。

  5. 选择 Next: Permissions

  6. Set permissions for user 页面上,选择 Add user to group

  7. 选择 Create group

  8. Create group 对话框中,为新组键入名称。名称可包含字母、数字以及以下字符:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。名称不区分大小写,且最大长度可为 128 个字符。

  9. 对于 Filter,选择 Job function

  10. 在策略列表中,选中 AdministratorAccess 的复选框。然后选择 Create group

  11. 返回到组列表中,选中您的新组所对应的复选框。如有必要,选择 Refresh 以在列表中查看该组。

  12. 选择 Next: Review 以查看要添加到新用户的组成员资格的列表。如果您已准备好继续,请选择 Create user

您可使用此相同的流程创建更多的组和用户,并允许您的用户访问 AWS 账户资源。要了解有关使用策略将用户权限限制到特定 AWS 资源的信息,请转到访问管理管理 AWS 资源的策略示例

要以该新 IAM 用户的身份登录,请从 AWS 控制台退出,然后使用以下 URL,其中 your_aws_account_id 是您的不带连字符的 AWS 账户 (例如,如果您的 AWS 账户是 1234-5678-9012,则您的 AWS 账户 ID 是 123456789012):

Copy
https://your_aws_account_id.signin.www.amazonaws.cn/console/

输入您刚创建的 IAM 用户名和密码。登录后,导航栏显示 your_user_name @ your_aws_account_id

如果您不希望您的登录页面 URL 包含 AWS 账户 ID,可以创建账户别名。从 IAM 控制面板中,单击 自定义 然后输入一个别名,例如您的公司名称。要在创建账户别名后登录,请使用以下 URL:

Copy
https://your_account_alias.signin.www.amazonaws.cn/console/

要为您的账户验证 IAM 用户的登录链接,请打开 IAM 控制台并在控制面板的 AWS Account Alias 下进行检查。

确定要求

Amazon RDS 的基本构建基块是数据库实例。数据库实例是指创建数据库的位置。数据库实例提供了称为终端节点的网络地址。每当您的应用程序需要访问在数据库实例中创建的数据库时,它们就会连接到该数据库实例公开的终端节点。创建数据库实例时指定的信息控制着各个配置元素,如存储、内存、数据库引擎和版本、网络配置、安全性以及维护时段。

在创建安全组和数据库实例之前,必须要知道数据库实例和网络需求。例如,必须知道以下情况:

  • 应用程序或服务的内存和处理器要求是什么?在您确定创建数据库实例时将要使用的数据库实例类时,将会使用这些设置。有关数据库实例类的规范,请参阅 数据库实例类

  • 您的数据库实例最可能在 Virtual Private Cloud (VPC) 中;某些旧实例不在 VPC 中,但如果您是新 RDS 用户 (使用时间为两年或更短) 或要访问新的区域,您最可能在 VPC 内创建数据库实例。连接到数据库实例所需的安全组规则取决于数据库实例是位于默认 VPC 中、位于用户定义 VPC 中还是位于 VPC 外。有关如何确定您的账户在某区域是否具有默认 VPC 的信息,请参阅 确定您使用的是 EC2-VPC 还是 EC2-Classic 平台。下面的列表说明了每个 VPC 选项的规则:

    • 默认 VPC - 如果您的 AWS 账户在该区域内拥有默认 VPC,则该 VPC 将配置为支持数据库实例。如果您在创建数据库实例时指定默认 VPC,则:

      • 您必须创建一个 VPC 安全组,该安全组对从应用程序或服务到该数据库的 Amazon RDS 数据库实例的连接进行授权。请注意,您必须使用 VPC 控制台中的 Amazon EC2 APISecurity Group 选项创建 VPC 安全组。有关信息,请参阅 步骤 4:创建 VPC 安全组

      • 您必须指定默认数据库子网组。如果这是您在该区域内创建的第一个数据库实例,则 Amazon RDS 将在创建数据库实例时创建默认的数据库子网组。

    • 用户定义的 VPC - 如果您希望创建数据库实例时指定用户定义的 VPC,则:

      • 您必须创建一个 VPC 安全组,该安全组对从应用程序或服务到该数据库的 Amazon RDS 数据库实例的连接进行授权。请注意,您必须使用 VPC 控制台中的 Amazon EC2 APISecurity Group 选项创建 VPC 安全组。有关信息,请参阅步骤 4:创建 VPC 安全组

      • 该 VPC 必须满足特定要求才能托管数据库实例,例如至少拥有两个子网,每个子网分别位于一个独立的可用区中。有关信息,请参阅 Amazon Virtual Private Cloud (VPCs) 和 Amazon RDS

      • 您必须指定数据库子网组,以定义数据库实例可以使用该 VPC 中的哪些子网。有关信息,请参阅 在 VPC 中使用数据库实例 中的“数据库子网组”部分。

    • 无 VPC - 如果您的 AWS 账户没有默认 VPC,且未指定用户定义的 VPC:

      • 您必须创建一个数据库安全组,这样就可以授权那些运行相关应用程序或实用程序的设备和 Amazon RDS 实例进行连接,以访问数据库实例中的数据库。有关更多信息,请参阅 使用数据库安全组 (EC2-Classic 平台)

  • 是否需要故障转移支持?在 Amazon RDS 上,可在发生故障转移时使用的数据库实例的备用副本称为多可用区部署。如果您拥有生产工作负载,则应使用多可用区部署。对于测试目的,您通常可以使用单一实例,即非多可用区部署。

  • 您的 AWS 账户是否具有相应策略来授予执行 Amazon RDS 操作所需的权限?如果使用 IAM 凭证连接到 AWS,您的 IAM 账户必须拥有 IAM 政策来授予执行 Amazon RDS 操作所需的权限。有关更多信息,请参阅 Amazon RDS 的身份验证和访问控制

  • 您的数据库将要监听哪个 TCP/IP 端口?有些公司的防火墙可能会阻止与您的数据库引擎的默认端口进行连接。如果您公司的防火墙不允许连接默认端口,请为新数据库实例选择其他端口。请注意,在创建对指定端口进行监听的数据库实例后,您可以通过修改该数据库实例来更改端口。

  • 您希望您的数据库位于哪个区域内?通过让数据库紧邻应用程序或 Web 服务,可以减小网络延迟。

  • 您的存储要求是什么?是否需要使用预置的 IOPS?Amazon RDS 提供 3 种存储类型:磁性、通用型 (SSD) 和预配置 IOPS (每秒输入/输出操作数)。磁性存储 (也称为标准存储) 可以为具有较低或突发式 I/O 要求的应用程序提供经济高效的存储。支持 SSD 的通用型存储 (也称为 gp2) 可提供比基于磁盘的存储更快的访问。预置的 IOPS 存储为满足 I/O 密集型工作负载 (尤其是数据库工作负载) 的需求而设计。此类工作负载对随机存取 I/O 吞吐量的存储性能和一致性十分敏感。有关 Amazon RDS 存储的更多信息,请参阅 Amazon RDS 的存储

在了解创建安全组和数据库实例所需的信息之后,请继续执行下一步骤。

通过创建安全组提供对 VPC 中的数据库实例的访问

数据库实例最可能在 VPC 中创建。安全组提供了对 VPC 中的数据库实例的访问。它们充当关联数据库实例的防火墙,在实例级别控制入站和出站流量。默认情况下,系统将创建带防火墙和默认安全组的数据库实例,用来阻止对数据库实例的访问。因此,必须向安全组添加可让您连接到数据库实例的规则。使用在上一步骤中确定的网络和配置信息,以创建允许访问数据库实例的规则。

您需要创建的安全组将是 VPC 安全组,除非您有不在需要数据库安全组 的 VPC 中的旧数据库实例。如果您在 2013 年 3 月以后创建了 AWS 账户,则最好使用默认 VPC,并在该 VPC 中创建数据库实例。VPC 中的数据库实例需要您向 VPC 安全组添加规则以允许访问该实例。

例如,如果您的某个应用程序将要访问 VPC 中数据库实例上的数据库,则必须添加自定义 TCP 规则以指定该应用程序用来访问数据库的端口范围和 IP 地址。如果您的应用程序在 Amazon EC2 实例上,则可以使用您为 Amazon EC2 实例设置的 VPC 或 EC2 安全组。

创建 VPC 安全组

  1. 登录 AWS 管理控制台并通过以下网址打开 Amazon VPC 控制台:https://console.amazonaws.cn/vpc。

  2. 在 AWS 管理控制台的右上角,选择要创建 VPC 安全组和数据库实例的区域。该区域的 Amazon VPC 资源列表应显示至少有一个 VPC 和多个子网。如果没有显示,则说明您在该区域中没有默认 VPC。

  3. 在导航窗格中,单击 Security Groups

  4. 单击 Create Security Group

  5. Create Security Group 窗口中,键入安全组的 Name tagGroup nameDescription。选择要在其中创建数据库实例的 VPC。单击 Yes, Create

  6. 所创建的 VPC 安全组应仍处于选中状态。控制台窗口底部的详细信息窗格显示了安全组的详细信息以及用于使用入站和出站规则的选项卡。单击 Inbound Rules 选项卡。

  7. Inbound Rules 选项卡上,单击 Edit。从 Type 列表中选择 Custom TCP Rule。在 PortRange 文本框中键入将用于数据库实例的端口值,然后键入您将从中访问实例的 IP 地址范围 (CIDR 值),或在 Source 文本框中选择安全组名称。

  8. 如果需要添加更多 IP 地址或不同端口范围,请单击 Add another rule

  9. 如果需要,可使用 Outbound Rules 选项卡添加用于出站流量的规则。

  10. 完成后,单击 Save

    在创建数据库实例时,您将使用刚创建的 VPC 安全组作为数据库实例的安全组。如果数据库实例不在 VPC 中,请参阅主题 使用数据库安全组 (EC2-Classic 平台) 以创建将在创建数据库实例时使用的数据库安全组。

    最后是有关 VPC 子网的简短说明:如果您使用默认 VPC,则已为您创建横跨所有 VPC 子网的默认子网组。当您使用 Launch a DB Instance 向导创建数据库实例时,可以选择该默认 VPC 并针对 DB Subnet Group 使用 default

    完成所需设置后,可以使用这些设置和创建的安全组来启动数据库实例。有关创建数据库实例的信息,请参阅下表中的相关文档: