Ändern eines RDS-Proxy - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern eines RDS-Proxy

Sie können bestimmte Einstellungen ändern, die einem Proxy zugeordnet sind, nachdem Sie den Proxy erstellt haben. Dazu ändern Sie den Proxy selbst, die zugehörige Zielgruppe oder beides. Jedem Proxy ist eine Zielgruppe zugeordnet.

Wichtig

Die Werte in den Feldern Client authentication type (Client-Authentifizierungstyp) und IAM authentication (IAM-Authentifizierung) gelten für alle Secrets-Manager-Secrets, die diesem Proxy zugeordnet sind. Um für jedes Geheimnis unterschiedliche Werte anzugeben, ändern Sie Ihren Proxy, indem Sie stattdessen die AWS CLI oder die API verwenden.

So ändern Sie die Einstellungen für einen Proxy:

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Proxies (Proxys).

  3. Wählen Sie in der Liste der Proxys den Proxy aus, dessen Einstellungen Sie ändern möchten, oder gehen Sie zur Detailseite.

  4. Wählen Sie für Actions (Aktionen) die Option Modify (Ändern) aus.

  5. Geben Sie die zu ändernden Eigenschaften ein, oder wählen Sie sie aus. Sie können folgende Formen angeben:

    • Proxy-Identifikator - Benennen Sie den Proxy um, indem Sie einen neuen Identifikator eingeben.

    • Zeitüberschreitung für Client-Verbindungsleerlauf— Geben Sie einen Zeitraum für das Timeout für die Clientleerlauf ein.

    • IAM-Rolle - Ändern Sie die IAM-Rolle, die zum Abrufen der Geheimnisse von Secrets Manager verwendet wird.

      Anmerkung

      Sie können keine neue IAM-Rolle erstellen, wenn Sie das Standardauthentifizierungsschema auf IAM-Authentifizierung festlegen.

    • Secrets Manager-Secrets— Hinzufügen oder entfernen Sie Secrets Manager Geheimnisse. Diese Secrets entsprechen Datenbankbenutzernamen und Passwörtern.

    • Client-Authentifizierungstyp — Ändern Sie den Authentifizierungstyp für Client-Verbindungen zum Proxy.

    • IAM authentication (IAM-Authentifizierung) – Verlangen oder unterbinden Sie die IAM-Authentifizierung für Verbindungen mit dem Proxy.

    • Standardauthentifizierungsschema — Ändern Sie das Standardauthentifizierungsschema, das der Proxy für Client-Verbindungen zum Proxy und Verbindungen vom Proxy zur zugrunde liegenden Datenbank verwendet.

    • Require Transport Layer Security— Aktivieren oder deaktivieren Sie die Anforderung für Transport Layer Security (TLS).

    • VPC-Sicherheitsgruppe - Fügen Sie VPC-Sicherheitsgruppen hinzu oder entfernen Sie sie, damit der Proxy sie verwenden kann.

    • Aktivieren der erweiterten Protokollierung— Aktivieren oder deaktivieren Sie die erweiterte Protokollierung.

  6. Wählen Sie Ändern aus.

Wenn Sie die Einstellungen, die Sie ändern möchten, in der Liste nicht gefunden haben, verwenden Sie das folgende Verfahren, um die Zielgruppe für den Proxy zu aktualisieren. Die Zielgruppe, die einem Proxy zugeordnet ist, steuert die Einstellungen für die physischen Datenbankverbindungen. Jedem Proxy ist eine Zielgruppe mit dem Namen default zugeordnet, die automatisch zusammen mit dem Proxy erstellt wird. Sie können die Standardzielgruppe nicht umbenennen.

Sie können die Zielgruppe nur über die Proxy-Detailseite ändern, nicht über die Liste auf der Seite Proxies (Proxys).

So ändern Sie die Einstellungen für eine Proxy-Zielgruppe:

  1. Gehen Sie auf der Seite Proxys zur Detailseite für einen Proxy.

  2. Wählen Sie für Target groups (Zielgruppen) den default-Link aus. Derzeit haben alle Proxys eine einzelne Zielgruppe mit dem Namen default.

  3. Wählen Sie auf der Detailseite für die Standard-Zielgruppe die Option Modify (Ändern).

  4. Wählen Sie neue Einstellungen für die Eigenschaften aus, die Sie ändern können:

    • Datenbank – Wählen Sie einen anderen Aurora-Cluster aus.

    • Maximale Verbindungen des Verbindungspools - Legen Sie fest, wie viel Prozent der maximal verfügbaren Verbindungen der Proxy nutzen kann.

    • Vortrags-Anheftungsfilter – Wählen Sie optional einen Vortrags-Anheftungsfilter aus. Dadurch werden die standardmäßigen Sicherheitsmaßnahmen für das Multiplexing von Datenbankverbindungen über Client-Verbindungen hinweg umgangen. Derzeit wird die Einstellung für PostgreSQL nicht unterstützt. Die einzige Wahlmöglichkeit ist EXCLUDE_VARIABLE_SETS.

      Die Aktivierung dieser Einstellung kann dazu führen, dass sich Sitzungsvariablen einer Verbindung auf andere Verbindungen auswirken. Dies kann zu Fehlern oder Problemen mit der Korrektheit führen, wenn Ihre Abfragen von Sitzungsvariablenwerten abhängen, die außerhalb der aktuellen Transaktion festgelegt wurden. Erwägen Sie, diese Option zu verwenden, nachdem Sie sich vergewissert haben, dass Ihre Anwendungen Datenbankverbindungen über mehrere Client-Verbindungen gemeinsam nutzen können.

      Die folgenden Muster können als sicher angesehen werden:

      • SET-Anweisungen, bei denen der effektive Wert der Sitzungsvariablen nicht geändert wird, d. h. dass keine Änderung an der Sitzungsvariablen vorgenommen wird.

      • Sie ändern den Wert der Sitzungsvariablen und führen eine Anweisung in derselben Transaktion aus.

      Weitere Informationen finden Sie unter Vermeiden von Pinning beim RDS-Proxy.

    • Connection borrow timeout— Passen Sie das Timeout-Intervall der Verbindung an. Diese Einstellung gilt, wenn für den Proxy bereits die maximale Anzahl von Verbindungen verwendet wird. Diese Einstellung legt fest, wie lange der Proxy wartet, bis eine Verbindung verfügbar ist, bevor ein Timeout-Fehler zurückgegeben wird.

    • Initialisierungsabfrage. (Optional) Fügen Sie eine Initialisierungsabfrage hinzu oder ändern Sie die aktuelle. Sie können eine oder mehrere SQL-Anweisungen für die Ausführung durch den Proxy beim Öffnen jeder neuen Datenbankverbindung festlegen. Diese Einstellung wird normalerweise mit SET-Anweisungen verwendet, um sicherzustellen, dass jede Verbindung identische Einstellungen aufweist. Stellen Sie sicher, dass die von Ihnen hinzugefügte Abfrage gültig ist. Verwenden Sie Komma als Trennzeichen, um mehrere Variablen in eine einzelne SET-Anweisung einzuschließen. Zum Beispiel:

      SET variable1=value1, variable2=value2

      Verwenden Sie für mehrere Anweisungen Semikola als Trennzeichen.

    Sie können bestimmte Eigenschaften, z. B. die Zielgruppenkennung und die Datenbank-Engine, nicht ändern.

  5. Wählen Sie Modify target group (Zielgruppe ändern).

Um einen Proxy mit dem zu ändern AWS CLI, verwenden Sie die Befehle modify-db-proxymodify-db-proxy-target-group deregister-db-proxy-targets, und register-db-proxy-targets.

Mit dem Befehl modify-db-proxy können Sie Eigenschaften wie die folgenden ändern:

  • Der Satz von Secrets Manager-Secrets, die vom Proxy verwendet werden.

  • Ob TLS erforderlich ist.

  • Das Timeout für Client-Leerlauf.

  • Ob zusätzliche Informationen aus SQL-Anweisungen zum Debuggen protokolliert werden sollen.

  • Die IAM-Rolle, die zum Abrufen von Secrets Manager-Secrets verwendet wird.

  • Die vom Proxy verwendeten Sicherheitsgruppen.

  • Das dem Proxy zugeordnete Standardauthentifizierungsschema.

Das folgende Beispiel zeigt, wie ein vorhandener Proxy umbenannt wird. 

aws rds modify-db-proxy --db-proxy-name the-proxy --new-db-proxy-name the_new_name

Um verbindungsbezogene Einstellungen zu ändern oder die Zielgruppe umzubenennen, verwenden Sie den Befehl modify-db-proxy-target-group. Derzeit haben alle Proxys eine einzelne Zielgruppe mit dem Namen default. Wenn Sie mit dieser Zielgruppe arbeiten, geben Sie den Namen des Proxys und default als Name der Zielgruppe an. Sie können die Standardzielgruppe nicht umbenennen.

Das folgende Beispiel zeigt, wie Sie zuerst die MaxIdleConnectionsPercent-Einstellung für einen Proxy überprüfen und dann mithilfe der Zielgruppe ändern. 

aws rds describe-db-proxy-target-groups --db-proxy-name the-proxy

{
    "TargetGroups": [
        {
            "Status": "available",
            "UpdatedDate": "2019-11-30T16:49:30.342Z",
            "ConnectionPoolConfig": {
                "MaxIdleConnectionsPercent": 50,
                "ConnectionBorrowTimeout": 120,
                "MaxConnectionsPercent": 100,
                "SessionPinningFilters": []
            },
            "TargetGroupName": "default",
            "CreatedDate": "2019-11-30T16:49:27.940Z",
            "DBProxyName": "the-proxy",
            "IsDefault": true
        }
    ]
}

aws rds modify-db-proxy-target-group --db-proxy-name the-proxy --target-group-name default --connection-pool-config '
{ "MaxIdleConnectionsPercent": 75 }'

{
    "DBProxyTargetGroup": {
        "Status": "available",
        "UpdatedDate": "2019-12-02T04:09:50.420Z",
        "ConnectionPoolConfig": {
            "MaxIdleConnectionsPercent": 75,
            "ConnectionBorrowTimeout": 120,
            "MaxConnectionsPercent": 100,
            "SessionPinningFilters": []
        },
        "TargetGroupName": "default",
        "CreatedDate": "2019-11-30T16:49:27.940Z",
        "DBProxyName": "the-proxy",
        "IsDefault": true
    }
}

Mit den Befehlen deregister-db-proxy-targets und register-db-proxy-targets ändern Sie, welchen Aurora-DB-Clustern der Proxy über die Zielgruppe zugeordnet ist. Derzeit kann jeder Proxy eine Verbindung zu einer einem Aurora-DB-Cluster herstellen. Die Zielgruppe verfolgt die Verbindungsdetails für alle alle DB-Instances in einem Aurora-Cluster.

Das folgende Beispiel beginnt mit einem Proxy, der einem Aurora MySQL-Cluster mit dem Namen zugeordnet is cluster-56-2020-02-25-1399. Das Beispiel zeigt, wie der Proxy so geändert wird, dass er eine Verbindung zu einem anderen Cluster namens herstellen kan provisioned-cluster.

Wenn Sie mit einem Aurora-DB-Cluster arbeiten, geben Sie die Option --db-cluster-identifier an.

Im folgenden Beispiel wird ein Aurora MySQL-Proxy geändert. Ein Aurora PostgreSQL-Proxy hat Port 5432. 

aws rds describe-db-proxy-targets --db-proxy-name the-proxy

{
    "Targets": [
        {
            "Endpoint": "instance-9814.demo.us-east-1.rds.amazonaws.com",
            "Type": "RDS_INSTANCE",
            "Port": 3306,
            "RdsResourceId": "instance-9814"
        },
        {
            "Endpoint": "instance-8898.demo.us-east-1.rds.amazonaws.com",
            "Type": "RDS_INSTANCE",
            "Port": 3306,
            "RdsResourceId": "instance-8898"
        },
        {
            "Endpoint": "instance-1018.demo.us-east-1.rds.amazonaws.com",
            "Type": "RDS_INSTANCE",
            "Port": 3306,
            "RdsResourceId": "instance-1018"
        },
        {
            "Type": "TRACKED_CLUSTER",
            "Port": 0,
            "RdsResourceId": "cluster-56-2020-02-25-1399"
        },
        {
            "Endpoint": "instance-4330.demo.us-east-1.rds.amazonaws.com",
            "Type": "RDS_INSTANCE",
            "Port": 3306,
            "RdsResourceId": "instance-4330"
        }
    ]
}

aws rds deregister-db-proxy-targets --db-proxy-name the-proxy --db-cluster-identifier cluster-56-2020-02-25-1399

aws rds describe-db-proxy-targets --db-proxy-name the-proxy

{
    "Targets": []
}

aws rds register-db-proxy-targets --db-proxy-name the-proxy --db-cluster-identifier provisioned-cluster

{
    "DBProxyTargets": [
        {
            "Type": "TRACKED_CLUSTER",
            "Port": 0,
            "RdsResourceId": "provisioned-cluster"
        },
        {
            "Endpoint": "gkldje.demo.us-east-1.rds.amazonaws.com",
            "Type": "RDS_INSTANCE",
            "Port": 3306,
            "RdsResourceId": "gkldje"
        },
        {
            "Endpoint": "provisioned-1.demo.us-east-1.rds.amazonaws.com",
            "Type": "RDS_INSTANCE",
            "Port": 3306,
            "RdsResourceId": "provisioned-1"
        }
    ]
}

Um einen Proxy mithilfe der RDS-API zu ändern, verwenden Sie die Operationen Modify DBProxy, Modify DBProxy TargetGroup, Deregister DBProxy Targets und Register DBProxy Targets.

Mit ModifyDBProxy können Sie Eigenschaften wie die folgenden ändern:

  • Der Satz von Secrets Manager-Secrets, die vom Proxy verwendet werden.

  • Ob TLS erforderlich ist.

  • Das Timeout für Client-Leerlauf.

  • Ob zusätzliche Informationen aus SQL-Anweisungen zum Debuggen protokolliert werden sollen.

  • Die IAM-Rolle, die zum Abrufen von Secrets Manager-Secrets verwendet wird.

  • Die vom Proxy verwendeten Sicherheitsgruppen.

Mit ModifyDBProxyTargetGroup können Sie verbindungsbezogene Einstellungen ändern. Derzeit haben alle Proxys eine einzelne Zielgruppe mit dem Namen default. Wenn Sie mit dieser Zielgruppe arbeiten, geben Sie den Namen des Proxys und default als Name der Zielgruppe an. Sie können die Standardzielgruppe nicht umbenennen.

Mit DeregisterDBProxyTargets und RegisterDBProxyTargets ändern Sie, welcher welchem Aurora-Cluster der Proxy über die Zielgruppe zugeordnet ist. Derzeit kann jeder Proxy eine Verbindung mit einem Aurora-DB-Cluster herstellen. Die Zielgruppe verfolgt die Verbindungsdetails für die DB-Instances in einem Aurora-Cluster.