创建用于文档数据库集群的双栈 VPC - Amazon DocumentDB
步骤 1:创建包含私有和公有子网的 VPC步骤 2:为公有 Amazon EC2 实例创建 VPC 安全组步骤 3:为私有集群创建 VPC 安全组步骤 4:创建子网组步骤 5:在双堆栈模式下创建 Amazon EC2 实例步骤 6:在双堆栈模式下创建集群步骤 7:连接到您的 Amazon EC2 实例和数据库集群删除 VPC
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建用于文档数据库集群的双栈 VPC

常见场景包括基于 Amazon VPC 服务的虚拟私有云 (VPC) 中的集群。此 VPC 与在同一 VPC 中运行的公有 Amazon EC2 实例共享数据。在本主题中,您将为此场景创建 VPC。

在此过程中,您将为此场景创建 VPC,该VPC适用于在双堆栈模式下运行的数据库。双栈模式允许通过 IPv6 寻址协议进行连接。有关 IP 地址的更多信息,请参阅 亚马逊 DocumentDB IP 地址

大多数地区都支持双栈网络集群。有关更多信息,请参阅 双栈模式地区和版本可用性。要查看双堆栈模式的限制,请参阅 双栈网络集群的限制

本主题和 IPv4仅限主题在同一 VPC 中创建公有子网和私有子网。有关在一个 VPC 中创建 Amazon DocumentDB 集群并在另一个 VPC 中创建亚马逊 EC2 实例的信息,请参阅。访问 VPC 中的亚马逊文档数据库集群

您的 DocumentDB 集群只需要对您的亚马逊 EC2 实例可用,不能用于公共互联网。因此,请创建包含公有子网和私有子网的 VPC。该 EC2 实例托管在公有子网中,因此它可以访问公共互联网。集群托管在私有子网中。该 EC2 实例可以连接到集群,因为它托管在同一 VPC 中。但是,该集群不适用于公共互联网,从而提供了更高的安全性。

本主题中的步骤在单独的可用区中配置额外的公有子网和私有子网。该过程不使用这些子网。一个 DocumentDB 子网组需要在至少两个可用区中有一个子网。通过额外的子网,可以轻松配置多个 DocumentDB 实例。

要创建使用双堆栈模式的集群,请为网络类型设置指定双堆栈模式 e。您也可以修改具有相同设置的集群。有关创建集群的更多信息,请参阅创建 Amazon DocumentDB 集群。有关修改数据库集群的更多信息,请参阅 修改 Amazon DocumentDB 集群

本主题介绍如何为 Amazon DocumentDB 集群配置 VPC。有关 Amazon VPC 的更多信息,请参阅《Amazon VPC 用户指南》。

步骤 1:创建包含私有和公有子网的 VPC

使用以下步骤创建包含公有和私有子网的 VPC。

创建 VPC 和子网

  1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

  2. 在的右上角 Amazon Web Services 管理控制台,选择要在其中创建 VPC 的区域。此示例使用 美国西部(俄勒冈) 区域。

  3. 在左上角,选择 VPC Dashboard(VPC 控制面板)。要开始创建 VPC,请选择 Create VPC(创建 VPC)。

  4. 对于 VPC Settings(VPC 设置)下的 Resources to create(要创建的资源),选择 VPC and more(VPC 及更多)。

  5. 对于 VPC settings(VPC 设置),请设置以下值:

    • 姓名标签自动生成 — example-dual-stack

    • IPv4 CIDR 块 — 10.0.0.0/16

    • IPv6 CIDR 块亚马逊 IPv6 提供的 CIDR 块

    • 租赁-默

    • 可用区数量 (AZs)2

    • 自定义 AZs-保留默认值

    • 公有子网数量 — 2

    • 私有子网数量 — 2

    • 自定义子网 CIDR 块-保留默认值

    • NAT 网关 ($)-

    • 仅限出口 Internet 网关 — 否

    • VPC 终端节点

    • DNS 选项-保留默认值

  6. 选择创建 VPC

步骤 2:为公有 Amazon EC2 实例创建 VPC 安全组

接下来创建安全组以便公共访问。要连接到您的 VPC 中的公共 EC2 实例,请向您的 VPC 安全组添加允许流量从互联网连接的入站规则。

创建 VPC 安全组

  1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

  2. 依次选择 VPC 控制面板)安全组创建安全组

  3. 创建安全组页面上,设置以下值:

    • 安全组名称example-dual-stack-securitygroup

    • 描述Dual-stack security group

    • VPC — 选择您之前创建的 VPC,例如:vpc-example-dual-stack

  4. 将入站规则添加到安全组。

    1. 使用安全外壳 (SSH) 确定用于连接您的 VPC 中的 EC2 实例的 IP 地址。要确定您的公有 IP 地址,可以在不同的浏览器窗口或选项卡中使用该服务https://checkip.amazonaws.com

      互联网协议版本 4 (IPv4) 地址范围的一个示例是203.0.113.25/32。互联网协议版本 6 (IPv6) 地址范围的一个示例是2001:db8:1234:1a00::/64

      在许多情况下,您可能通过互联网服务提供商(ISP)进行连接,或者在不使用静态 IP 地址的情况下从防火墙之后进行连接。如果是这样,请找出客户端计算机使用的 IP 地址范围。

      警告

      如果您使用 f 0.0.0.0/0 or IPv4 或 ::0 for IPv6,则可以让所有 IP 地址使用 SSH 访问您的公有实例。在测试环境下短时间内,此方法尚可接受,但它对于生产环境并不安全。在生产环境中,请仅授权特定 IP 地址或地址范围访问您的实例。

    2. 入站规则部分中,选择添加规则

    3. 为您的新入站规则设置以下值,以允许 SSH 访问您的 Amazon EC2 实例。完成此操作后,您可以连接到您的 EC2 实例以安装应用程序或其他实用程序。指定 IP 地址以便您可以访问您的 EC2 实例:

      • 类型SSH

      • 来源-您在步骤 a 中创建的 IP 地址或范围。 IPv4 地址范围的示例是 203.0.113.25/3 2。 IPv6 地址范围的一个例子是2001:DB8::/32

    4. 选择添加规则

  5. 请选择 Create security group(创建安全组)以创建安全组。

    请记下安全组 ID,因为您稍后需要在其他步骤中使用它。

步骤 3:为私有集群创建 VPC 安全组

要使您的集群保持私有性,请创建第二个安全组以供私有访问。要连接到您的 VPC 中的私有集群,请将入站规则添加到您的 VPC 安全组。它们仅允许来自您的 Amazon EC2 实例的流量。

创建 VPC 安全组

  1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

  2. 依次选择 VPC 控制面板)安全组创建安全组

  3. 创建安全组页面上,设置以下值:

    • 安全组名称example-dual-stack-cluster-securitygroup

    • 描述Dual-stack cluster security group

    • VPC — 选择您之前创建的 VPC,例如:vpc-example-dual-stack

  4. 将入站规则添加到安全组。

    1. 入站规则部分中,选择添加规则

    2. 为您的新入站规则设置以下值,以允许来自您的亚马逊实例的端口 27017 上的 DocumentDB 流量。 EC2 完成此操作后,您可以从您的 EC2 实例连接到您的集群。这样,您就可以将数据从您的 EC2 实例发送到您的数据库。

      • 类型Custom TCP

      • 来源 — 您之前在本主题中创建 EC2 的安全组的标识符,例如:sg- 9edd5cfb。

  5. 请选择 Create security group(创建安全组)以创建安全组。

步骤 4:创建子网组

子网组是您在 VPC 中创建并随后为集群指定的子网集合。通过使用子网组,您可以在创建集群时指定特定 VPC。要创建DUAL兼容的子网组,所有子网都必须DUAL兼容。为了DUAL兼容,子网必须具有关联的 IPv6 CIDR。

创建子网组

  1. 在 VPC 中识别数据库的私有子网。

    1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

    2. 选择 VPC Dashboard(VPC 控制面板),然后选择 Subnets(子网)。

    3. 记下您在步骤 1 中创建 IDs 的名为:example-dual-stack-subnet-private1-us-west-2a 和-private2-us-west- 2b 的子网。example-dual-stack-subnet创建子网组 IDs 时需要子网。

  2. 登录 Amazon Web Services 管理控制台,然后在 /docdb 上打开亚马逊文档数据库控制台。https://console.aws.amazon.com

    确保连接到亚马逊 DocumentDB 控制台,而不是亚马逊 VPC 控制台。

  3. 在导航窗格中,选择子网组

  4. 选择创建

  5. 创建子网组页面上,在子网组详细信息部分设置以下值:

    • 姓名example-dual-stack-cluster-subnet-group

    • 描述Dual-stack cluster subnet group

  6. 添加子网部分中,设置以下值:

    • VPC — 选择您之前创建的 VPC,例如:vpc-example-dual-stack

    • 可用区-选择步骤 1 中创建的两个可用区。示例:us-west-2a 和 us-west -2b

    • 子网-选择您在步骤 1 中创建的私有子网。

  7. 选择创建

您的新子网组将显示在 DocumentDB 控制台的子网组列表中。您可以选择子网组以在详细信息窗格中查看详细信息。这些详细信息包括与该组关联的所有子网。

步骤 5:在双堆栈模式下创建 Amazon EC2 实例

要创建亚马逊 EC2 实例,请按照《亚马逊弹性计算云用户指南》中控制台中的使用启动实例向导启动实例中的说明进行操作。 EC2

Configure Instance Details(配置实例详细信息)页面上,设置以下值并将其他值保留为其原定设置值:

步骤 6:在双堆栈模式下创建集群

在此步骤中,您将创建一个以双堆栈模式运行的数据库集群。!!! 注意:主机 IPv6 更新后,需要编辑此部分!!!

在双堆栈模式下创建集群

  1. 登录 Amazon Web Services 管理控制台,然后在 /docdb 上打开亚马逊文档数据库控制台。https://console.aws.amazon.com

  2. 在控制台的右上角,选择要 Amazon Web Services 区域 在哪里创建 DocumentDB 集群。此示例使用美国东部(俄亥俄州)区域。

  3. 在导航窗格中,选择集群

  4. 集群列表页面上,选择创建

  5. 创建 Amazon DocumentDB 集群页面上,确保选择了基于实例的集群选项。

  6. 在 “连接” 部分的网络类型下,选择双栈模式

    控制台中的网络类型部分,已选中双堆栈模式。

  7. 在页面底部,打开 “显示高级设置”

  8. “网络设置” 部分中,设置以下值:

    • 虚拟私有云 (VPC)-选择包含公有子网和私有子网的现有 VPC,例如中步骤 1:创建包含私有和公有子网的 VPC创建的 vpc-example-dual-stack(vpc-标识符)。

      VPC 的子网必须位于不同的可用区中。

    • 子网组-为 VPC 选择一个子网组,例如中创建的 example-dual-stack-cluster-subnet-g roup。步骤 4:创建子网组

    • 公共访问-选择 “”。

    • VPC 安全组(防火墙)-选择选择现有

    • 现有 VPC 安全组-选择配置为私有访问的现有 VPC 安全组,例如中创建的 example-dual-stack-cluster-securitygro up。步骤 3:为私有集群创建 VPC 安全组

      通过选择与其他每个安全组关联的 X 来删除该安全组,如默认安全组。

    • 可用区-选择您在步骤 1 中创建的可用区。示例:us-west-2a

      为避免跨可用区流量,请确保集群和 EC2 实例位于同一个可用区内。

  9. 对于其余部分,请指定您的群集设置。有关每项设置的信息,请参阅 创建 Amazon DocumentDB 集群

步骤 7:连接到您的 Amazon EC2 实例和数据库集群

在双堆栈模式下创建 Amazon EC2 实例和 DocumentDB 集群后,您可以使用协议连接到每个集群。 IPv6 要使用该 IPv6 协议连接 EC2 实例,请按照《亚马逊弹性计算云用户指南》中连接您的 EC2 实例中的说明进行操作。

要从 EC2 实例连接到您的 DocumentDB 集群,请按照 “ EC2 手动连接 Amazon” 主题中的第 5 步:安装 MongoDB 命令行管理程序说明进行操作(并继续执行后续步骤 6 和步骤 7 的相同过程)。

删除 VPC

如果不再需要 VPC 以及其中使用的其他资源,则可以将其删除。

注意

如果您在本主题中创建的 VPC 中添加了资源,则可能需要先删除这些资源,然后才能删除 VPC。例如,这些资源可能包括亚马逊 EC2 实例或文档数据库集群。有关更多信息,请参阅 Amazon VPC 用户指南中的您的 VPC 的安全性

删除 VPC 和相关资源

  1. 删除子网组:

    1. 登录 Amazon Web Services 管理控制台,然后在 /docdb 上打开亚马逊文档数据库控制台。https://console.aws.amazon.com

    2. 在导航窗格中,选择子网组

    3. 选择要删除的子网组,例如 example-dual-stack-cluster-subnet- group。

    4. 选择 Delete (删除),然后在确认窗口中选择 Delete (删除)

  2. 记下 VPC ID:

    1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

    2. 选择 VPC 控制面板,然后选择您的 VPCs

    3. 在列表中,标识您创建的 VPC,例如vpc-example-dual-stack

    4. 记下所创建 VPC 的 VPC ID。在后面的步骤中,您需要此 VPC ID。

  3. 删除安全组:

    1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

    2. 选择 VPC 控制面板,然后选择安全组

    3. 为 Amazon DocumentDB 集群选择安全组,例如。example-dual-stack-securitygroup

    4. 在 “操作” 中,选择 “删除安全组”,然后在确认对话框中选择 “删除”。

    5. 返回安全组页面,为 Amazon EC2 实例选择安全组,例如 e xample- securitygroup。

    6. 在 “操作” 中,选择 “删除安全组”,然后在确认对话框中选择 “删除”。

  4. 删除 NAT 网关:

    1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

    2. 选择 VPC 控制面板,然后选择安全组

    3. 选择您创建的 VPC 的 NAT 网关。使用 VPC ID 标识正确的 NAT 网关。

    4. 对于 Actions(操作),请选择 Delete NAT gateway(删除 NAT 网关)。

    5. 在确认对话框中输入delete,然后选择删除

  5. 删除 VPC:

    1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

    2. 选择 VPC 控制面板,然后选择您的 VPCs

    3. 选择要删除的 VPC,例如vpc-example-dual-stack

    4. 对于操作,请选择删除 VPC。

      确认页面显示与 VPC 关联的其他资源,这些资源也将被删除,包括与其关联的子网。

    5. 在确认对话框中输入delete,然后选择删除

  6. 释放弹性 IP 地址:

    1. https://console.aws.amazon.com/ec2 上打开 EC2 控制台。

    2. 选择EC2 控制面板,然后选择弹性 IPs

    3. 选择要释放的弹性 IP 地址。

    4. 对于 Actions(操作),请选择 Release Elastic IP addresses(释放弹性 IP 地址)。

    5. 在确认对话框中,选择发布