本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
访问 VPC 中的亚马逊文档数据库集群
Amazon DocumentDB 支持以下场景来访问 VPC 中的集群:
VPC 中的集群,由同一 VPC 中的 Amazon EC2 实例访问
VPC 中集群的常见用途是与在同一 VPC 中的 Amazon EC2 实例中运行的应用程序服务器共享数据。
管理同一 VPC 中 EC2 实例和集群之间访问权限的最简单方法是执行以下操作:
为您的集群创建一个 VPC 安全组。此安全组可用于限制对集群的访问权限。例如,您可以为该安全组创建自定义规则。这可能允许使用您在创建集群时分配给集群的端口以及用于开发或其他目的访问集群的 IP 地址进行 TCP 访问。
为您的 EC2 实例(Web 服务器和客户端)创建一个 VPC 安全组。如果需要,该安全组可以允许使用 VPC 的路由表从互联网访问 EC2 实例。例如,您可以在此安全组上设置规则,允许 TCP 通过端口 22 访问 EC2 实例。
在安全组中为集群创建自定义规则,允许来自您为 EC2 实例创建的安全组的连接。这些规则可能允许安全组中的任何成员访问集群。
在单独的可用区中还有一个额外的公有和私有子网。一个 DocumentDB 子网组需要在至少两个可用区中有一个子网。额外的子网使将来可以轻松切换到多可用区集群部署。
有关如何针对此场景创建同时包含公有子网和私有子网的 VPC 的说明,请参阅创建 IPv4仅供文档数据库集群使用的 VPC。
提示
在创建集群时,您可以自动在 Amazon EC2 实例和 DocumentDB 集群之间设置网络连接。有关更多信息,请参阅 EC2 自动连接 Amazon。
要在 VPC 安全组中创建允许来自其他安全组的连接的规则,请执行以下操作:
登录 Amazon Web Services 管理控制台 并打开亚马逊 VPC 控制台,网址为 https://console.aws.amazon.com/
vpc。 在导航窗格中,找到并选择安全组。
选择或创建要允许另一个安全组的成员访问的安全组。这是您用于集群的安全组。选择 Inbound rules(入站规则)选项卡,然后选择 Edit inbound rules(编辑入站规则)。
在 Edit inbound rules(编辑入站规则)页面上,选择 Add rule(添加规则)。
对于类型,选择与您创建集群时使用的端口相对应的条目,例如自定义 TCP。
在来源字段中,开始键入安全组的 ID,其中列出了匹配的安全组。选择您希望其成员可以访问此安全组保护的资源的安全组。在前面的场景中,这是您用于 EC2 实例的安全组。
如有必要,请重复执行 TCP 协议的步骤,方法是创建一条以 “全部 TCP” 作为类型,在 “源” 字段中设置您的安全组的规则。如果您打算使用 UDP 协议,请在 Source(源)框中创建 Type(类型)为 All UDP(所有 UDP)的规则以及安全组。
选择保存规则。
以下屏幕显示了包含其来源的安全组的入站规则。
有关从您的 EC2 实例连接到集群的更多信息,请参阅 EC2 自动连接 Amazon。
VPC 中的集群,由其他 VPC 中的 Amazon EC2 实例访问
当您的集群与您用于访问集群的 EC2 实例位于不同的 VPC 中时,您可以使用 VPC 对等连接来访问集群。
VPC 对等连接是两者之间的网络连接 VPCs ,允许您使用私有 IP 地址在两者之间路由流量。这两个 VPC 中的资源可以彼此通信,就像它们在同一网络中一样。您可以在自己的账户 VPCs、另一个 Amazon 账户中的 VPC 或其他账户中的 VPC 之间创建 VPC 对等连接。 Amazon Web Services 区域要了解有关 VPC 对等的更多信息,请参阅 Amazon Virtual Private Cloud 用户指南 中的 VPC 对等。