创建 IPv4仅供文档数据库集群使用的 VPC - Amazon DocumentDB
步骤 1:创建包含私有和公有子网的 VPC步骤 2:为公共应用程序创建 VPC 安全组步骤 3:为私有集群创建 VPC 安全组步骤 4:创建子网组删除 VPC
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 IPv4仅供文档数据库集群使用的 VPC

常见场景包括基于 Amazon VPC 服务的虚拟私有云 (VPC) 中的集群。例如,此 VPC 可以与在同一 VPC 中运行的服务或应用程序共享数据。在本主题中,您将为此场景创建 VPC。

您的集群需要仅对您的应用程序可用,而不能用于公共互联网。因此,请创建包含公有子网和私有子网的 VPC。该应用程序托管在公有子网中,因此它可以访问公共互联网。集群托管在私有子网中。应用程序可以连接到集群,因为它托管在同一 VPC 中。但是该集群不适用于公共互联网,从而提供了更高的安全性。

本主题中的步骤在单独的可用区中配置额外的公有子网和私有子网。该过程不使用这些子网。一个 DocumentDB 子网组需要在至少两个可用区中有一个子网。额外的子网使配置多个 DocumentDB 实例变得更加容易。

本主题介绍如何为 Amazon DocumentDB 集群配置 VPC。有关 Amazon VPC 的更多信息,请参阅《Amazon VPC 用户指南》。

提示

在创建集群时,您可以自动在 Amazon EC2 实例和 DocumentDB 集群之间设置网络连接。网络配置类似于本场景中描述的配置。有关更多信息,请参阅 EC2 自动连接 Amazon

步骤 1:创建包含私有和公有子网的 VPC

使用以下步骤创建包含公有和私有子网的 VPC。

创建 VPC 和子网

  1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

  2. 在的右上角 Amazon Web Services 管理控制台,选择要在其中创建 VPC 的区域。此示例使用 美国西部(俄勒冈) 区域。

  3. 在左上角,选择 VPC Dashboard(VPC 控制面板)。要开始创建 VPC,请选择 Create VPC(创建 VPC)。

  4. 对于 VPC Settings(VPC 设置)下的 Resources to create(要创建的资源),选择 VPC and more(VPC 及更多)。

  5. 对于 VPC settings(VPC 设置),请设置以下值:

    • 姓名标签自动生成 — example

    • IPv4 CIDR 块 — 10.0.0.0/16

    • IPv6 CIDR 块没有 IPv6 CID R 块

    • 租赁-默

    • 可用区数量 (AZs)2

    • 自定义 AZs-保留默认值

    • 公有子网数量 — 2

    • 私有子网数量 — 2

    • 自定义子网 CIDR 块-保留默认值

    • NAT 网关 ($)-

    • VPC 终端节点

    • DNS 选项-保留默认值

  6. 选择创建 VPC

步骤 2:为公共应用程序创建 VPC 安全组

接下来,创建一个供公众访问的安全组。要连接到您的 VPC 中的公有 EC2 实例,您需要向 VPC 安全组添加入站规则。这些规则允许流量从互联网进行连接。

创建 VPC 安全组

  1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

  2. 依次选择 VPC 控制面板)安全组创建安全组

  3. 创建安全组页面上,设置以下值:

    • 安全组名称example-securitygroup

    • 描述Application security group

    • VPC — 选择您之前创建的 VPC,例如:vpc-example

  4. 将入站规则添加到安全组。

    1. 使用安全外壳 (SSH) 确定用于连接您的 VPC 中的 EC2 实例的 IP 地址。要确定您的公有 IP 地址,可以在不同的浏览器窗口或选项卡中使用该服务https://checkip.amazonaws.com。IP 地址的一个示例为 203.0.113.25/32

      在许多情况下,您可能通过互联网服务提供商(ISP)进行连接,或者在不使用静态 IP 地址的情况下从防火墙之后进行连接。如果是这样,请找出客户端计算机使用的 IP 地址范围。

      警告

      如果您使用 0.0.0.0/0 进行 SSH 访问,则所有 IP 地址可能能够使用 SSH 访问您的公有实例。在测试环境下短时间内,此方法尚可接受,但它对于生产环境并不安全。在生产环境中,将仅向特定 IP 地址或地址范围授权使用 SSH 访问您的实例。

    2. 入站规则部分中,选择添加规则

    3. 为您的新入站规则设置以下值,以允许 SSH 访问您的 Amazon EC2 实例。完成此操作后,您可以连接到您的 EC2 实例以安装应用程序和其他实用程序。您还可以连接到您的 EC2 实例,为您的应用程序上传内容。

      • 类型SSH

      • 来源-您在步骤 a 中创建的 IP 地址或范围,例如:203.0.113.25/32

    4. 选择添加规则

    5. 为您的新入站规则设置以下值,以允许 HTTP 访问您的应用程序:

      • 类型HTTP

      • 来源0.0.0.0/0

  5. 请选择 Create security group(创建安全组)以创建安全组。

    请记下安全组 ID,因为您稍后需要在其他步骤中使用它。

步骤 3:为私有集群创建 VPC 安全组

要使您的集群保持私有性,请创建第二个安全组以供私有访问。要连接到 VPC 中的私有集群,您需要向 VPC 安全组添加入站规则,仅允许来自您的应用程序的流量。

创建 VPC 安全组

  1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

  2. 依次选择 VPC 控制面板)安全组创建安全组

  3. 创建安全组页面上,设置以下值:

    • 安全组名称example-securitygroup

    • 描述Instance security group

    • VPC — 选择您之前创建的 VPC,例如:v pc-example

  4. 将入站规则添加到安全组。

    1. 入站规则部分中,选择添加规则

    2. 为您的新入站规则设置以下值,以允许来自您的亚马逊实例的端口 27017 上的 DocumentDB 流量。 EC2 完成此操作后,您可以从应用程序连接到集群。这样,您就可以将应用程序中的数据存储和检索到数据库中。

      • 类型Custom TCP

      • 来源-您之前在本主题中创建的应用程序安全组的标识符,例如:sg- 9edd5cfb。

    3. 选择添加规则

    4. 为您的新入站规则设置以下值,以允许 HTTP 访问您的应用程序:

      • 类型HTTP

      • 来源0.0.0.0/0

  5. 请选择 Create security group(创建安全组)以创建安全组。

步骤 4:创建子网组

子网组是您在 VPC 中创建并随后为集群指定的子网的集合。子网组允许您在创建集群时指定特定 VPC。

创建子网组

  1. 在 VPC 中识别数据库的私有子网。

    1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

    2. 选择 VPC Dashboard(VPC 控制面板),然后选择 Subnets(子网)。

    3. 记下您在步骤 1 中创建 IDs 的名为:example-subnet-private1-us-west-2a 和 2-us-west-2b 的子网。example-subnet-private创建子网组 IDs 时需要子网。

  2. 登录 Amazon Web Services 管理控制台,然后在 /docdb 上打开亚马逊文档数据库控制台。https://console.aws.amazon.com

    确保连接到亚马逊 DocumentDB 控制台,而不是亚马逊 VPC 控制台。

  3. 在导航窗格中,选择子网组

  4. 选择创建

  5. 创建子网组页面上,在子网组详细信息部分设置以下值:

    • 姓名example-db-subnet-group

    • 描述Instance security group

  6. 添加子网部分中,设置以下值:

    • VPC — 选择您之前创建的 VPC,例如:v pc-example

    • 可用区-选择步骤 1 中创建的两个可用区。示例:us-west-2a 和 us-west -2b

    • 子网-选择您在步骤 1 中创建的私有子网。

  7. 选择创建

您的新子网组将显示在 DocumentDB 控制台的子网组列表中。您可以选择子网组以在详细信息窗格中查看详细信息。这些详细信息包括与该组关联的所有子网。

注意

如果您创建此 VPC 是为了将其与 DocumentDB 集群相关联,请按照中的说明创建集群。创建 Amazon DocumentDB 集群

删除 VPC

如果不再需要某个 VPC 以及其中使用的其他资源,则可以将其删除。

注意

如果您在本主题中创建的 VPC 中添加了资源,则可能需要先删除这些资源,然后才能删除 VPC。例如,这些资源可能包括 Amazon EC2 实例或 DocumentDB 集群。有关更多信息,请参阅 Amazon VPC 用户指南中的您的 VPC 的安全性

删除 VPC 和相关资源

  1. 删除子网组:

    1. 登录 Amazon Web Services 管理控制台,然后在 /docdb 上打开亚马逊文档数据库控制台。https://console.aws.amazon.com

    2. 在导航窗格中,选择子网组

    3. 选择要删除的子网组,例如example-db-subnet-group

    4. 选择 Delete (删除),然后在确认窗口中选择 Delete (删除)

  2. 记下 VPC ID:

    1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

    2. 选择 VPC 控制面板,然后选择您的 VPCs

    3. 在列表中,标识您创建的 VPC,例如 vpc-example

    4. 记下所创建 VPC 的 VPC ID。在后面的步骤中,您需要此 VPC ID。

  3. 删除安全组:

    1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

    2. 选择 VPC 控制面板,然后选择安全组

    3. 为 Amazon DocumentDB 集群选择安全组,例如 example-securitygroup。

    4. 在 “操作” 中,选择 “删除安全组”,然后在确认对话框中选择 “删除”。

    5. 返回安全组页面,为 Amazon EC2 实例选择安全组,例如 e xample- securitygroup。

    6. 在 “操作” 中,选择 “删除安全组”,然后在确认对话框中选择 “删除”。

  4. 删除 VPC:

    1. https://console.aws.amazon.com/vpc 上打开亚马逊 VPC 控制台。

    2. 选择 VPC 控制面板,然后选择您的 VPCs

    3. 选择要删除的 VPC,例如 vpc-example

    4. 对于操作,请选择删除 VPC。

      确认页面显示与 VPC 关联的其他资源,这些资源也将被删除,包括与其关联的子网。

    5. 在确认对话框中,输入delete,然后选择删除