在 VPC 中使用数据库实例 - Amazon Aurora
在 VPC 中使用数据库实例使用数据库子网组从 Internet 隐藏 VPC 中的数据库实例在 VPC 中创建数据库实例
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

在 VPC 中使用数据库实例

您的数据库实例会位于 Virtual Private Cloud (VPC) 中。VPC 是逻辑上与 AWS 云中的其他虚拟网络隔离开的虚拟网络。利用 Amazon VPC,您可以在 VPC 中启动 AWS 资源,如 Amazon Aurora 或 Amazon EC2 实例。VPC 可以是您的账户附带的默认 VPC,也可以是您创建的 VPC。所有 VPC 均与您的 AWS 账户关联。

默认 VPC 具有可用来隔离 VPC 内的资源的 3 个子网。默认 VPC 还具有一个互联网网关,可用来从 VPC 外部访问 VPC 内部的资源。

有关涉及 VPC 内外的 Amazon Aurora 数据库实例的方案的列表,请参阅在 VPC 中访问数据库实例的方案

有关说明如何创建您可用于常见 Amazon Aurora 方案的 VPC 的教程,请参阅教程:创建 Amazon VPC 以用于数据库实例

要了解如何在 VPC 中使用数据库实例,请参阅以下内容:

在 VPC 中使用数据库实例

下面是一些有关在 VPC 中使用数据库实例的提示:

  • 您的 VPC 必须至少有两个子网。这些子网必须位于要部署数据库实例的 AWS 区域中两个不同的可用区中。子网是 VPC 的 IP 地址范围段,您可以指定子网,利用子网并根据安全和操作需要对实例进行分组。

  • 如果要让 VPC 中的数据库实例实现公开访问,必须启用 VPC 属性 DNS 主机名DNS 解析

  • 您的 VPC 必须具有您创建的数据库子网组 (有关更多信息,请参阅下一节)。您可通过指定已创建的子网来创建数据库子网组。然后,Amazon Aurora 使用该数据库子网组和您首选的可用区来选择一个子网及该子网内的 IP 地址,从而将其分配给您的数据库实例。

  • 您的 VPC 必须具有允许访问数据库实例的 VPC 安全组。

  • 每个子网必须包含足够大的 CIDR 数据块,以便在维护活动(包括故障转移和扩展计算)期间有可供 Amazon Aurora 使用的备用 IP 地址。

  • VPC 的 instance tenancy 属性可能为 defaultdedicated。所有默认 VPC 的“instance tenancy”属性设置为“default”,则默认的 VPC 可支持任何数据库实例类。

    如果您选择将数据库实例放在“instance tenancy”属性设置为“dedicated”的专用 VPC 中,则数据库实例的数据库实例类必须是已批准的 Amazon EC2 专用实例类型之一。例如,m3.medium EC2 专用实例对应于 db.m3.medium 数据库实例类。有关 VPC 中实例租期的信息,请参阅 Amazon Elastic Compute Cloud 用户指南 中的专用实例

    注意

    当您将实例租赁属性设置为专用于 Amazon RDS 数据库实例时,它不能保证数据库实例将在专用主机上运行。

使用数据库子网组

子网是您指定的用来根据安全和操作需要对资源进行分组的 VPC 的 IP 地址范围段。数据库子网组是您在 VPC 中创建并随后指定给数据库实例的子网 (通常为私有子网) 集合。使用数据库子网组,您可以在使用 CLI 或 API 创建数据库实例时指定特定 VPC;如果您使用控制台,您就只能选择要使用的 VPC 和子网。

每个数据库子网组应包含给定 AWS 区域中至少两个可用区的子网。在 VPC 中创建数据库实例时,您必须选择一个数据库子网组。Amazon Aurora 使用该数据库子网组和首选的可用区选择一个子网以及该子网中的 IP 地址,以便与您的数据库实例相关联。如果某一多可用区部署的主数据库实例出现故障,Amazon Aurora 可以提升相应的备用副本,并随后在另外一个可用区中使用子网的 IP 地址来创建一个新的备用副本。

数据库子网组中的子网要么是公有子网,要么是私有子网。它们不能是公有子网和私有子网的组合。根据您为网络访问控制列表(网络 ACL)和路由表设置的配置,这些子网是公有子网或私有子网。

Amazon Aurora 在 VPC 中创建数据库实例时,会使用从数据库子网组中选取的 IP 地址将网络接口分配给数据库实例。不过,我们强烈建议您使用 DNS 名称来连接数据库实例,因为底层 IP 地址会在故障转移期间发生变化。

注意

对于在 VPC 中运行的每个数据库实例,请确保数据库子网组的每个子网中预留至少一个地址,以供 Amazon Aurora 用来执行恢复操作。

从 Internet 隐藏 VPC 中的数据库实例

一个常见的 Amazon Aurora 方案是具有一个 VPC,其中有一个带有面向公众的 Web 应用程序的 EC2 实例以及一个带有不能公开访问的数据库的数据库实例。例如,您可创建包含公有子网和私有子网的 VPC。可将充当 Web 服务器的 Amazon EC2 实例部署在公有子网中,数据库实例部署在私有子网中。在此部署方案中,只有 Web 服务器才能访问数据库实例。有关此方案的说明,请参阅 VPC 中的数据库实例由同一 VPC 中的 EC2 实例访问

当您在 VPC 中启动数据库实例时,该数据库实例具有用于 VPC 内流量的私有 IP 地址。此私有 IP 地址不可公开访问。您可以使用公开访问选项指定数据库实例除了私有 IP 地址之外是否还具有公有 IP 地址。如果数据库实例被指定为可公开访问,则其 DNS 终端节点将解析为数据库实例 VPC 内的私有 IP 地址,并解析为数据库实例 VPC 外部的公有 IP 地址。对数据库实例的访问最终受其使用的安全组控制,并且如果分配给数据库实例的安全组不允许公开访问,即不允许。

您可以通过修改公开访问选项,修改数据库实例来启用或禁用公开可访问性。有关更多信息,请参阅数据库引擎的修改部分。

下图显示了其他连接配置部分中的公开访问选项。要设置此选项,请打开连接部分中的其他连接配置部分。

有关修改数据库实例以设置公开访问选项的信息,请参阅修改数据库集群中的数据库实例

注意

如果您的数据库实例不可公开访问,则您还可以使用 AWS 站点到站点 VPN 连接或 AWS Direct Connect 连接从专用网络访问该实例。有关更多信息,请参阅互联网络流量隐私

在 VPC 中创建数据库实例

下列步骤帮助您在 VPC 中创建数据库实例。如果您的账户具有默认 VPC,则可以从第 3 步开始,因为已为您创建 VPC 和数据库子网组。如果您的 AWS 账户没有默认 VPC,或者如果您想创建其他 VPC,则可创建新的 VPC。

注意

如果要让 VPC 中的数据库实例实现公开访问,则必须通过启用 VPC 属性 DNS 主机名DNS 解析,更新 VPC 的 DNS 信息。有关更新 VPC 实例的 DNS 信息的信息,请参阅更新对 VPC 的 DNS 支持

执行以下步骤可在 VPC 中创建数据库实例:

步骤 1:创建 VPC

如果您的 AWS 账户没有默认 VPC,或者如果您想要创建其他 VPC,请遵循有关创建新的 VPC 的说明。请参阅创建包含公有子网和私有子网的 VPC,或参阅 Amazon VPC 文档中的步骤 1:创建 VPC

步骤 2:向 VPC 添加子网

创建 VPC 后,至少需要在两个可用区中创建子网。您在创建数据库子网组时将使用这些子网。如果您具有默认 VPC,则会在该 AWS 区域中的每个可用区中自动为您创建子网。

有关如何在 VPC 中创建子网的说明,请参阅创建包含公有子网和私有子网的 VPC

步骤 3:创建数据库子网组

数据库子网组是您为 VPC 创建然后为数据库实例指定的子网 (通常为私有子网) 的集合。数据库子网组可让您在使用 CLI 或 API 创建数据库实例时指定特定的 VPC。如果您使用控制台,您就只能选择要使用的 VPC 和子网。每个数据库子网组必须包含 AWS 区域中至少两个可用区的至少一个子网。

对于希望可公开访问的数据库实例,数据库子网组中的子网必须具有 Internet 网关。有关子网的互联网网关的更多信息,请参阅 Amazon VPC 文档中的互联网网关

在 VPC 中创建数据库实例时,请确保选择数据库子网组。Amazon Aurora 随后使用该数据库子网组和首选可用区选择一个子网及该子网中的一个 IP 地址。Amazon Aurora 创建该数据库实例的弹性网络接口,并将该接口与此 IP 地址关联。对于多可用区部署,通过为 AWS 区域中的两个或更多可用区定义子网,Amazon Aurora 可在需求增加的情况下在另一个可用区中创建新的备用实例。即使是单一可用区部署,您也需要这样做,以防以后需要将它们转换为多可用区部署。

在此步骤中,您创建一个数据库子网组,然后添加为 VPC 创建的子网。

创建数据库子网组

  1. 通过以下网址打开 Amazon RDS 控制台:https://console.amazonaws.cn/rds/

  2. 在导航窗格中,选择子网组

  3. 选择创建数据库子网组

  4. 对于名称,键入您的数据库子网组的名称。

  5. 对于描述,键入您的数据库子网组的描述。

  6. 对于 VPC,选择已创建的 VPC。

  7. 添加子网部分中,从可用区中选择包含子网的可用区,然后从子网中选择子网。

    “创建数据库子网组”按钮

  8. 选择创建

    您的新数据库子网组显示在 RDS 控制台的数据库子网组列表中。可选择该数据库子网组,在窗口底部的详细信息窗格中查看详细信息,其中包括与该组关联的所有子网。

步骤 4:创建 VPC 安全组

创建数据库实例前,必须创建与数据库实例相关联的 VPC 安全组。有关如何为数据库实例创建安全组的说明,请参阅 为私有数据库实例创建 VPC 安全组,或参阅 Amazon VPC 文档中的您的 VPC 的安全组

步骤 5:在 VPC 中创建数据库实例

在此步骤中,创建一个数据库实例并使用在之前的步骤中创建的 VPC 名称、数据库子网组和 VPC 安全组。

注意

如果要让 VPC 中的数据库实例实现公开访问,必须启用 VPC 属性 DNS 主机名DNS 解析。有关更新 VPC 实例的 DNS 信息的信息,请参阅更新您的 VPC 的 DNS 支持

有关如何创建数据库实例的详细信息,请参阅 创建 Amazon Aurora 数据库集群

在出现提示时,在网络与安全部分中输入在之前的步骤中创建的 VPC 名称、数据库子网组和 VPC 安全组。

注意

Aurora 集群当前不支持更新 VPC。