Amazon Relational Database Service
用户指南 (API Version 2014-10-31)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

教程:创建 Amazon VPC 以用于 Amazon RDS 数据库实例

一种常见的方案包括 Amazon VPC 中的 Amazon RDS 数据库实例,其与在同一 VPC 中运行的 Web 服务器共享数据。在本教程中,针对此方案创建 VPC。

下图演示了此情形。有关其他方案的信息,请参阅在 VPC 中访问数据库实例的方案

 VPC 和 EC2 安全组情况

由于 Amazon RDS 数据库实例只需对 Web 服务器可用,而无需对公共 Internet 可用,因此请创建包含公有子网和私有子网的 VPC。Web 服务器托管在公有子网中,以便它可访问公共 Internet。Amazon RDS 数据库实例托管在私有子网中。Web 服务器能够连接到 Amazon RDS 数据库实例 (因为它托管在同一 VPC 内),但 Amazon RDS 数据库实例对公共 Internet 不可用,这样提高了安全性。

创建包含公有子网和私有子网的 VPC

使用以下步骤创建包含公有和私有子网的 VPC。

创建 VPC 和子网

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在 AWS 管理控制台的右上角,选择要在其中创建 VPC 的区域。此示例使用美国西部(俄勒冈)区域。

  3. 选择左上角的 VPC Dashboard。要开始创建 VPC,请选择 Start VPC Wizard

  4. Step 1: Select a VPC Configuration 页上,选择 VPC with Public and Private Subnets,然后选择 Select

  5. Step 2: VPC with Public and Private Subnets 页面上,设置以下值:

    • IPv4 CIDR block10.0.0.0/16

    • IPv6 CIDR block:无 IPv6 CIDR 块

    • VPC nametutorial-vpc

    • Public subnet's IPv4 CIDR10.0.0.0/24

    • Availability Zoneus-west-2a

    • Public subnet nameTutorial public

    • Private subnet's IPv4 CIDR10.0.1.0/24

    • Availability Zoneus-west-2a

    • Private subnet nameTutorial Private 1

    • Instance typet2.micro

      重要

      如果您未在控制台中看到 Instance type 框,请单击 Use a NAT instance instead。此链接位于右侧。

    • Key pair nameNo key pair

    • Service endpoints:跳过此字段。

    • Enable DNS hostnamesYes

    • Hardware tenancyDefault

  6. 完成后,选择 Create VPC

创建额外子网

您必须具有两个私有子网或两个公有子网,且这些子网可用于为在 VPC 中使用的 RDS 数据库实例创建 Amazon RDS 数据库子网组。由于本教程的 RDS 数据库实例为私有实例,请向 VPC 添加另一个私有子网。

创建额外子网

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 要向 VPC 添加另一个私有子网,请依次选择 VPC DashboardSubnetsCreate Subnet

  3. Create Subnet 页面上,设置以下值:

    • Name tagTutorial private 2

    • VPC:选择上一步骤中已创建的 VPC,例如:vpc-f1b76594 (10.0.0.0/16) | tutorial-vpc

    • Availability Zoneus-west-2b

      注意

      选择与您为第一个私有子网选择的可用区不同的可用区。

    • IPv4 CIDR block10.0.2.0/24

  4. 完成后,选择 Yes, Create

  5. 要确保创建的第二个私有子网使用与第一个私有子网相同的路由表,请依次选择 VPC DashboardSubnets 和已为 VPC 创建的第一个私有子网,即 Tutorial private 1

  6. 在子网列表下,选择 Route Table 选项卡,然后记下 Route Table 的值 - 例如:rtb-98b613fd

  7. 在子网列表中,选择第二个私有子网 Tutorial private 2,然后选择 Route Table 选项卡。

  8. 如果当前路由表不同于第一个私有子网的路由表,则选择 Edit。对于 Change to,请选择之前记下的路由表 - 例如:rtb-98b613fd

  9. 要保存您的选择,请选择 Save

为公共 Web 服务器创建 VPC 安全组

接下来创建安全组以便公共访问。要连接到 VPC 中的公有实例,请将入站规则添加到 VPC 安全组以允许流量从 internet 连接。

创建 VPC 安全组

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 依次选择 VPC DashboardSecurity GroupsCreate Security Group

  3. Create Security Group 页面上,设置以下值:

    • 名称标签:tutorial-securitygroup

    • 组名:tutorial-securitygroup

    • 说明:Tutorial Security Group

    • VPC:选择之前创建的 VPC,例如:vpc-f1b76594 (10.0.0.0/16) | tutorial-vpc

  4. 要创建安全组,请选择 Yes, Create

将入站规则添加到安全组

  1. 确定将用于连接 VPC 中的实例的 IP 地址。要确定公有 IP 地址,您可以使用 http://checkip.amazonaws.com 上的服务。如果您正通过 Internet 服务提供商 (ISP) 连接或者在不使用静态 IP 地址的情况下从防火墙后面连接,则需要找出客户端计算机使用的 IP 地址范围。

    警告

    如果使用 0.0.0.0/0,则可以允许所有 IP 地址访问您的公有实例。在测试环境下短时间内,此方法尚可接受,但它对于生产环境并不安全。在生产环境中,您将仅为特定 IP 地址或地址范围授权访问您的实例。

  2. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  3. 依次选择 VPC DashboardSecurity Groups 和在上一过程中创建的 tutorial-securitygroup

  4. 选择 Inbound Rules 选项卡,然后选择 Edit

  5. 为新入站规则设置以下值以允许安全外壳 (SSH) 访问 EC2 实例。如果这样做,您就可以连接到 EC2 实例,以便安装 Web 服务器和其他实用程序并上传 Web 服务器的内容。

    • Type: SSH (22)

    • Source:上一步骤中的 IP 地址或范围,例如:203.0.113.25/32

  6. 选择 Add another rule

  7. 为新入站规则设置以下值以允许针对 Web 服务器的 HTTP 访问。

    • Type: HTTP (80)

    • 源: 0.0.0.0/0.

  8. 要保存您的设置,请选择 Save

为私有 Amazon RDS 数据库实例创建 VPC 安全组

要保持您的 Amazon RDS 数据库实例私有,请创建第二个安全组供私有访问。要连接到 VPC 中的私有实例,请将入站规则添加到 VPC 安全组以仅允许流量从 Web 服务器连接。

创建 VPC 安全组

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 依次选择 VPC DashboardSecurity GroupsCreate Security Group

  3. Create Security Group 页面上,设置以下值:

    • 名称标签:tutorial-db-securitygroup

    • 组名:tutorial-db-securitygroup

    • 说明:Tutorial DB Instance Security Group

    • VPC:选择之前创建的 VPC,例如:vpc-f1b76594 (10.0.0.0/16) | tutorial-vpc

  4. 要创建安全组,请选择 Yes, Create

将入站规则添加到安全组

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 依次选择 VPC DashboardSecurity Groups 和在上一过程中创建的 tutorial-db-securitygroup

  3. 选择 Inbound Rules 选项卡,然后选择 Edit

  4. 为新入站规则设置以下值以允许 EC2 实例中端口 3306 上的 MySQL 流量。如果这样做,您就可以从 Web 服务器连接到数据库实例,以便从 Web 应用程序将数据存储和检索到数据库。

    • Type: MySQL/Aurora (3306)

    • Source:您在本教程的前面部分创建的 tutorial-securitygroup 安全组的标识符,例如:sg-9edd5cfb

  5. 要保存您的设置,请选择 Save