Zugreifen auf einen Amazon DocumentDB-Cluster in einer VPC - Amazon DocumentDB
Eine EC2 Amazon-Instance in derselben VPCEine EC2 Amazon-Instance in einer anderen VPC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugreifen auf einen Amazon DocumentDB-Cluster in einer VPC

Amazon DocumentDB unterstützt die folgenden Szenarien für den Zugriff auf einen Cluster in einer VPC:

Ein Cluster in einer VPC, auf den eine EC2 Amazon-Instance in derselben VPC zugreift

Ein Cluster in einer VPC wird häufig verwendet, um Daten mit einem Anwendungsserver gemeinsam zu nutzen, der in einer EC2 Amazon-Instance in derselben VPC ausgeführt wird.

Der einfachste Weg, den Zugriff zwischen EC2 Instances und Clustern in derselben VPC zu verwalten, ist wie folgt:

  • Erstellen Sie eine VPC-Sicherheitsgruppe, in der sich Ihre Cluster befinden sollen. Diese Sicherheitsgruppe kann verwendet werden, um den Zugriff auf die Cluster einzuschränken. Sie können beispielsweise eine benutzerdefinierte Regel für diese Sicherheitsgruppe erstellen. Dies ermöglicht möglicherweise den TCP-Zugriff über den Port, den Sie dem Cluster bei der Erstellung zugewiesen haben, und über eine IP-Adresse, mit der Sie zu Entwicklungs- oder anderen Zwecken auf den Cluster zugreifen.

  • Erstellen Sie eine VPC-Sicherheitsgruppe, in der sich Ihre EC2 Instances (Webserver und Clients) befinden sollen. Diese Sicherheitsgruppe kann bei Bedarf mithilfe der Routingtabelle der VPC den Zugriff auf die EC2 Instance aus dem Internet ermöglichen. Sie können beispielsweise Regeln für diese Sicherheitsgruppe festlegen, um den TCP-Zugriff auf die EC2 Instance über Port 22 zu ermöglichen.

  • Erstellen Sie in der Sicherheitsgruppe für Ihre Cluster benutzerdefinierte Regeln, die Verbindungen von der Sicherheitsgruppe aus zulassen, die Sie für Ihre EC2 Instances erstellt haben. Diese Regeln können jedem Mitglied der Sicherheitsgruppe den Zugriff auf die Cluster ermöglichen.

Es gibt ein zusätzliches öffentliches und privates Subnetz in einer separaten Availability Zone. Eine DocumentDB-Subnetzgruppe erfordert ein Subnetz in mindestens zwei Availability Zones. Das zusätzliche Subnetz macht es einfach, in future auf eine Multi-AZ-Cluster-Bereitstellung umzusteigen.

Anweisungen zum Erstellen einer VPC mit öffentlichen und privaten Subnetzen für dieses Szenario finden Sie unter. Eine IPv4 Nur-VPC zur Verwendung mit einem DocumentDB-Cluster erstellen

Tipp

Sie können die Netzwerkkonnektivität zwischen einer EC2 Amazon-Instance und einem DocumentDB-Cluster automatisch einrichten, wenn Sie den Cluster erstellen. Weitere Informationen finden Sie unter Amazon EC2 automatisch Connect.

Gehen Sie wie folgt vor, um eine Regel in einer VPC-Sicherheitsgruppe zu erstellen, die Verbindungen von einer anderen Sicherheitsgruppe zulässt:

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

  2. Suchen Sie im Navigationsbereich nach Sicherheitsgruppen und wählen Sie diese aus.

  3. Erstellen oder wählen Sie eine Sicherheitsgruppe aus, der Sie den Zugriff zu Teilen einer anderen Sicherheitsgruppe erlauben möchten. Dies ist die Sicherheitsgruppe, die Sie für Ihre Cluster verwenden. Wählen Sie die Registerkarte Inbound Rules (Eingehende Regeln) und anschließend Edit Inbound Rules (Eingehende Regeln bearbeiten) aus.

  4. Wählen Sie auf der Seite Edit inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) die Option Add Rule (Regel hinzufügen).

  5. Wählen Sie unter Typ den Eintrag aus, der dem Port entspricht, den Sie bei der Erstellung Ihres Clusters verwendet haben, z. B. Custom TCP.

  6. Beginnen Sie im Feld Quelle mit der Eingabe der ID der Sicherheitsgruppe, in der die entsprechenden Sicherheitsgruppen aufgeführt sind. Wählen Sie die Sicherheitsgruppe mit den Mitgliedern aus, die Zugriff auf die durch diese Sicherheitsgruppe geschützten Ressourcen erhalten sollen. Im vorherigen Szenario ist dies die Sicherheitsgruppe, die Sie für Ihre EC2 Instance verwenden.

  7. Falls erforderlich, wiederholen Sie die Schritte für das TCP-Protokoll, indem Sie eine Regel mit All TCP als Typ und Ihrer Sicherheitsgruppe im Feld Quelle erstellen. Wenn Sie das UDP-Protokoll verwenden möchten, erstellen Sie eine Regel mit Alle UDP als Typ und Ihrer Sicherheitsgruppe im Quelle.

  8. Wählen Sie Save rules (Regeln speichern) aus.

Der folgende Bildschirm zeigt eine eingehende Regel mit einer Sicherheitsgruppe für ihre Quelle.

Die Registerkarte „Regeln für eingehende Nachrichten“ zeigt die Regel mit der Sicherheitsgruppe als Quelle

Weitere Informationen zum Herstellen einer Verbindung zu einem Cluster von Ihrer EC2 Instance aus finden Sie unterAmazon EC2 automatisch Connect.

Ein Cluster in einer VPC, auf den eine EC2 Amazon-Instance in einer anderen VPC zugreift

Wenn sich Ihre Cluster in einer anderen VPC befinden als die EC2 Instance, die Sie für den Zugriff verwenden, können Sie VPC-Peering verwenden, um auf den Cluster zuzugreifen.

Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs , mit der Sie den Verkehr zwischen ihnen mithilfe privater IP-Adressen weiterleiten können. Ressourcen in jeder der VPCs können so miteinander kommunizieren, als befänden sie sich im selben Netzwerk. Sie können eine VPC-Peering-Verbindung zwischen Ihrem eigenen VPCs, mit einer VPC in einem anderen AWS Konto oder mit einer VPC in einem anderen Konto herstellen. AWS-Region Weitere Informationen über VPC-Peering finden Sie unter VPC-Peering im Amazon Virtual Private Cloud-Benutzerhandbuch.