Amazon Aurora
Aurora 用户指南 (API 版本 2014-10-31)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

教程:创建 Amazon VPC 以用于数据库实例

一种常见的方案包括 Amazon VPC 中的数据库实例,其与在同一 VPC 中运行的 Web 服务器共享数据。在本教程中,针对此方案创建 VPC。

下图说明了此情形。有关其他方案的信息,请参阅在 VPC 中访问数据库实例的方案


            VPC 和 EC2 安全组情况

由于数据库实例只需对 Web 服务器可用,而无需对公共 Internet 可用,因此,请创建包含公有子网和私有子网的 VPC。Web 服务器托管在公有子网中,以便它可访问公共 Internet。数据库实例托管于私有子网中。Web 服务器能够连接到数据库实例(因为它托管于同一 VPC 内),但数据库实例对公共 Internet 不可用,这样提高了安全性。

创建包含公有子网和私有子网的 VPC

使用以下步骤创建包含公有和私有子网的 VPC。

创建 VPC 和子网

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在 AWS 管理控制台的右上角,选择要在其中创建 VPC 的区域。此示例使用 美国西部(俄勒冈) 区域。

  3. 选择左上角的 VPC Dashboard。要开始创建 VPC,请选择 Launch VPC Wizard (启动 VPC 向导)

  4. Step 1: Select a VPC Configuration 页上,选择 VPC with Public and Private Subnets,然后选择 Select

  5. Step 2: VPC with Public and Private Subnets 页面上,设置以下值:

    • IPv4 CIDR block10.0.0.0/16

    • IPv6 CIDR block:无 IPv6 CIDR 块

    • VPC 名称:tutorial-vpc

    • Public subnet's IPv4 CIDR10.0.0.0/24

    • 可用区:us-west-2a

    • Public subnet nameTutorial public

    • Private subnet's IPv4 CIDR10.0.1.0/24

    • 可用区:us-west-2a

    • Private subnet nameTutorial Private 1

    • Instance typet2.small

      重要

      如果您未在控制台中看到 Instance type (实例类型) 框,请选择 Use a NAT instance instead (改用 NAT 实例)。此链接位于右侧。

      注意

      如果 t2.small 实例类型未列出,则可以选择不同的实例类型。

    • Key pair nameNo key pair

    • Service endpoints:跳过此字段。

    • 启用 DNS 主机名:Yes

    • 硬件租赁:Default

  6. 完成后,选择 Create VPC

创建额外子网

您必须具有两个私有子网或两个公有子网,且这些子网可用于为在 VPC 中使用的数据库实例创建数据库子网组。由于本教程的数据库实例为私有实例,请向 VPC 添加另一个私有子网。

创建额外子网

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 要向 VPC 添加另一个私有子网,请依次选择 VPC Dashboard (VPC 控制面板)Subnets (子网)Create subnet (创建子网)

  3. Create subnet (创建子网) 页面上,设置以下值:

    • 名称标签:Tutorial private 2

    • VPC:选择上一步骤中已创建的 VPC,例如:vpc-identifier (10.0.0.0/16) | tutorial-vpc

    • 可用区:us-west-2b

      注意

      选择与您为第一个私有子网选择的可用区不同的可用区。

    • IPv4 CIDR block10.0.2.0/24

  4. 完成后,选择 Create (创建)。接下来,在确认页面上选择 Close (关闭)

  5. 要确保创建的第二个私有子网使用与第一个私有子网相同的路由表,请依次选择 VPC DashboardSubnets 和已为 VPC 创建的第一个私有子网,即 Tutorial private 1

  6. 在子网列表下,选择路由表选项卡,然后记下路由表的值 — 例如:rtb-98b613fd

  7. 在子网列表中,取消选择第一个私有子网。

  8. 在子网列表中,选择第二个私有子网 Tutorial private 2,然后选择 Route Table 选项卡。

  9. 如果当前路由表不同于第一个私有子网的路由表,则选择 Edit route table association (编辑路由表关联)。对于 Route Table ID (路由表 ID),请选择之前记下的路由表 — 例如:rtb-98b613fd。接下来,要保存您的选择,请选择 Save (保存)

为公共 Web 服务器创建 VPC 安全组

接下来创建安全组以便公共访问。要连接到 VPC 中的公有实例,请将入站规则添加到 VPC 安全组以允许流量从 internet 连接。

创建 VPC 安全组

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 依次选择 VPC Dashboard (VPC 控制面板)Security Groups (安全组)Create security group (创建安全组)

  3. Create security group (创建安全组) 页面上,设置以下值:

    • 安全组名称:tutorial-securitygroup

    • 描述:Tutorial Security Group

    • VPC:选择之前创建的 VPC,例如:vpc-identifier (10.0.0.0/16) | tutorial-vpc

  4. 要创建安全组,请选择 Create (创建)。接下来,在确认页面上选择 Close (关闭)

    请记下安全组 ID,因为本教程的后面将需要它。

将入站规则添加到安全组

  1. 确定要用于连接到 VPC 中的实例的 IP 地址。要确定您的公有 IP 地址,可使用 https://checkip.amazonaws.com 上的服务。IP 地址的一个示例为 203.0.113.25/32

    如果您正通过 Internet 服务提供商 (ISP) 连接或者在不使用静态 IP 地址的情况下从防火墙后面连接,则需要找出客户端计算机使用的 IP 地址范围。

    警告

    如果使用 0.0.0.0/0,则可以允许所有 IP 地址访问您的公有实例。在测试环境下短时间内,此方法尚可接受,但它对于生产环境并不安全。在生产环境中,您将仅为特定 IP 地址或地址范围授权访问您的实例。

  2. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  3. 依次选择 VPC DashboardSecurity Groups 和在上一过程中创建的 tutorial-securitygroup

  4. 在安全组列表下,选择 Inbound Rules (入站规则) 选项卡,然后选择 Edit rules (编辑规则)

  5. Edit inbound rules (编辑入站规则) 页面上,选择 Add Rule (添加规则)

  6. 为新入站规则设置以下值以允许安全外壳 (SSH) 访问 EC2 实例。如果这样做,您就可以连接到 EC2 实例,以便安装 Web 服务器和其他实用程序并上传 Web 服务器的内容。

    • Type: SSH

    • :步骤 1 中的 IP 地址或范围,例如:203.0.113.25/32

  7. 选择 Add rule

  8. 为新入站规则设置以下值以允许针对 Web 服务器的 HTTP 访问。

    • Type: HTTP

    • Source: 0.0.0.0/0

  9. 要保存您的设置,请选择 Save rules (保存规则)。接下来,在确认页面上选择 Close (关闭)

为私有数据库实例创建 VPC 安全组

要保持您的数据库实例私有,请创建第二个安全组供私有访问。要连接到 VPC 中的私有实例,请将入站规则添加到 VPC 安全组以仅允许流量从 Web 服务器连接。

创建 VPC 安全组

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 依次选择 VPC Dashboard (VPC 控制面板)Security Groups (安全组)Create security group (创建安全组)

  3. Create security group (创建安全组) 页面上,设置以下值:

    • 安全组名称:tutorial-db-securitygroup

    • 描述:Tutorial DB Instance Security Group

    • VPC:选择之前创建的 VPC,例如:vpc-identifier (10.0.0.0/16) | tutorial-vpc

  4. 要创建安全组,请选择 Create (创建)。接下来,在确认页面上选择 Close (关闭)

将入站规则添加到安全组

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 依次选择 VPC DashboardSecurity Groups 和在上一过程中创建的 tutorial-db-securitygroup

  3. 在安全组列表下,选择 Inbound Rules (入站规则) 选项卡,然后选择 Edit rules (编辑规则)

  4. Edit inbound rules (编辑入站规则) 页面上,选择 Add Rule (添加规则)

  5. 为新入站规则设置以下值以允许 EC2 实例中端口 3306 上的 MySQL 流量。如果这样做,您就可以从 Web 服务器连接到数据库实例,以便从 Web 应用程序将数据存储和检索到数据库。

    • Type: MySQL/Aurora

    • Source:您在本教程的前面部分创建的 tutorial-securitygroup 安全组的标识符,例如:sg-9edd5cfb

  6. 要保存您的设置,请选择 Save rules (保存规则)。接下来,在确认页面上选择 Close (关闭)

创建数据库子网组

数据库子网组是您在 VPC 中创建并随后指定给数据库实例的子网集合。通过数据库子网组,您可以在创建数据库实例时指定特定的 VPC。

创建数据库子网组

  1. 通过以下网址打开 Amazon RDS 控制台:https://console.amazonaws.cn/rds/

  2. 在导航窗格中,选择子网组

  3. 选择 Create DB Subnet Group

  4. 创建数据库子网组页面的子网组详细信息中设置以下值:

    • 名称:tutorial-db-subnet-group

    • 描述:Tutorial DB Subnet Group

    • VPC: tutorial-vpc (vpc-identifier)

  5. Add subnets (添加子网) 部分中,选择 Add all the subnets related to this VPC (添加与此 VPC 相关的所有子网)

  6. 选择 Create

    您的新数据库子网组显示在 RDS 控制台的数据库子网组列表中。可单击该数据库子网组,在窗口底部的详细信息窗格中查看详细信息,其中包括与该组关联的所有子网。