Eine IPv4 Nur-VPC zur Verwendung mit einem DocumentDB-Cluster erstellen - Amazon DocumentDB
Schritt 1: Erstellen Sie eine VPC mit privaten und öffentlichen SubnetzenSchritt 2: Erstellen Sie eine VPC-Sicherheitsgruppe für eine öffentliche AnwendungSchritt 3: Erstellen Sie eine VPC-Sicherheitsgruppe für einen privaten ClusterSchritt 4: Erstellen Sie eine SubnetzgruppeLöschen einer VPC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine IPv4 Nur-VPC zur Verwendung mit einem DocumentDB-Cluster erstellen

Ein gängiges Szenario beinhaltet einen Cluster in einer Virtual Private Cloud (VPC), der auf dem Amazon VPC-Service basiert. Diese VPC könnte beispielsweise Daten mit einem Dienst oder einer Anwendung teilen, die in derselben VPC ausgeführt wird. In diesem Thema erstellen Sie die VPC für dieses Szenario.

Ihr Cluster muss nur für Ihre Anwendung und nicht für das öffentliche Internet verfügbar sein. Daher erstellen Sie eine VPC sowohl mit öffentlichen als auch mit privaten Subnetzen. Die Anwendung wird im öffentlichen Subnetz gehostet, sodass sie das öffentliche Internet erreichen kann. Der Cluster wird in einem privaten Subnetz gehostet. Die Anwendung kann eine Verbindung zum Cluster herstellen, da sie in derselben VPC gehostet wird. Der Cluster ist jedoch nicht für das öffentliche Internet verfügbar, was für mehr Sicherheit sorgt.

Mit dem Verfahren in diesem Thema wird ein zusätzliches öffentliches und ein privates Subnetz in einer separaten Availability Zone konfiguriert. Diese Subnetze werden von dem Verfahren nicht verwendet. Eine DocumentDB-Subnetzgruppe erfordert ein Subnetz in mindestens zwei Availability Zones. Das zusätzliche Subnetz macht es einfacher, mehr als eine DocumentDB-Instanz zu konfigurieren.

In diesem Thema wird die Konfiguration einer VPC für Amazon DocumentDB-Cluster beschrieben. Weitere Informationen zur Amazon VPC-Sicherheit finden Sie unter Sicherheit im Amazon VPC-Benutzerhandbuch.

Tipp

Sie können die Netzwerkkonnektivität zwischen einer EC2 Amazon-Instance und einem DocumentDB-Cluster automatisch einrichten, wenn Sie den Cluster erstellen. Die Netzwerkkonfiguration ähnelt der in diesem Szenario beschriebenen. Weitere Informationen finden Sie unter Amazon EC2 automatisch Connect.

Schritt 1: Erstellen Sie eine VPC mit privaten und öffentlichen Subnetzen

Verwenden sie die folgenden Vorgänge, um eine VPC sowohl mit öffentlichen als auch mit privaten Subnetzen zu erstellen.

So erstellen Sie eine VPC und Subnetze

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

  2. Wählen Sie in der oberen rechten Ecke von die Region aus AWS-Managementkonsole, in der Sie Ihre VPC erstellen möchten. In diesem Beispiel wird die Region USA West (Oregon) verwendet.

  3. Wählen Sie links oben die Option VPC-Dashboard aus. Wählen Sie Create VPC (VPC erstellen) aus, um mit dem Erstellen einer VPC zu beginnen.

  4. Wählen Sie unter VPC Settings (VPC-Einstellungen) für Resources to create (Zu erstellende Ressourcen) VPC and more (VPC und mehr) aus.

  5. Legen Sie für VPC settings (VPC-Einstellungen) folgende Werte fest:

    • Automatische Generierung von Namensschildernexample

    • IPv4 CIDR-Block10.0.0.0/16

    • IPv6 CIDR-BlockKein IPv6 CIDR-Block

    • Mietverhältnis — Standard

    • Anzahl der Availability Zones (AZs) — 2

    • Anpassen AZs — Behalten Sie die Standardwerte bei

    • Anzahl der öffentlichen Subnetze — 2

    • Anzahl der privaten Subnetze — 2

    • CIDR-Blöcke der Subnetze anpassen — Behalten Sie die Standardwerte bei

    • NAT-Gateways ($) — Keine

    • VPC-Endpunkte — Keine

    • DNS-Optionen — Behalten Sie die Standardwerte bei

  6. Wählen Sie VPC erstellen aus.

Schritt 2: Erstellen Sie eine VPC-Sicherheitsgruppe für eine öffentliche Anwendung

Erstellen Sie als Nächstes eine Sicherheitsgruppe für den öffentlichen Zugriff. Um eine Verbindung zu öffentlichen EC2 Instances in Ihrer VPC herzustellen, fügen Sie Ihrer VPC-Sicherheitsgruppe Regeln für eingehenden Datenverkehr hinzu. Diese ermöglichen die Verbindung des Datenverkehrs aus dem Internet.

So erstellen Sie eine VPC-Sicherheitsgruppe

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

  2. Wählen Sie VPC Dashboard (VPC-Dashboard), Security Groups (Sicherheitsgruppen) und anschließend Create security group (Sicherheitsgruppe erstellen).

  3. Legen Sie auf der Seite Create security group (Sicherheitsgruppe erstellen) die folgenden Werte fest:

    • Name der Sicherheitsgruppeexample-securitygroup

    • BeschreibungApplication security group

    • VPC — Wählen Sie die VPC aus, die Sie zuvor erstellt haben, zum Beispiel: vpc-example.

  4. Fügen Sie der Sicherheitsgruppe Regeln für den eingehenden Datenverkehr hinzu.

    1. Ermitteln Sie die IP-Adresse, die verwendet werden soll, um mithilfe von Secure Shell (SSH) eine Verbindung zu EC2 Instances in Ihrer VPC herzustellen. Um Ihre öffentliche IP-Adresse in einem anderen Browserfenster oder einer anderen Registerkarte zu ermitteln, können Sie den Dienst unter verwenden. https://checkip.amazonaws.com Ein Beispiel für eine IP-Adresse ist 203.0.113.25/32.

      In vielen Fällen können Sie eine Verbindung über einen Internetdienstanbieter (ISP) oder hinter Ihrer Firewall ohne statische IP-Adresse herstellen. Suchen Sie in diesem Fall den Bereich der IP-Adressen, die von Client-Computern verwendet werden.

      Warnung

      Wenn Sie 0.0.0.0/0 für SSH-Zugriff verwenden, ermöglichen Sie für alle IP-Adressen den Zugriff auf Ihre öffentlichen Instances. Dieser Ansatz ist zwar für kurze Zeit in einer Testumgebung zulässig, aber für Produktionsumgebungen sehr unsicher. Für die Produktion wird nur eine bestimmte IP-Adresse bzw. ein bestimmter Adressbereich für den Zugriff auf Ihre Instances autorisiert.

    2. Wählen Sie im Abschnitt Eingehende Regeln die Option Regel hinzufügen aus.

    3. Legen Sie die folgenden Werte für Ihre neue Eingangsregel fest, um SSH-Zugriff auf Ihre EC2 Amazon-Instance zu ermöglichen. Nachdem Sie dies getan haben, können Sie eine Verbindung zu Ihrer EC2 Instance herstellen, um die Anwendung und andere Dienstprogramme zu installieren. Sie stellen auch eine Verbindung zu Ihrer EC2 Instance her, um Inhalte für Ihre Anwendung hochzuladen.

      • Geben Sie — ein SSH

      • Quelle — Die IP-Adresse oder der Bereich, die Sie in Schritt a erstellt haben, zum Beispiel: 203.0.113.25/32

    4. Wählen Sie Regel hinzufügen aus.

    5. Legen Sie die folgenden Werte für Ihre neue Regel für eingehende Nachrichten fest, um den HTTP-Zugriff auf Ihre Anwendung zu ermöglichen:

      • Geben Sie — ein HTTP

      • Quelle0.0.0.0/0

  5. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus, um die Sicherheitsgruppe zu erstellen.

    Notieren Sie sich die Sicherheitsgruppen-ID, da Sie sie später in einem anderen Verfahren benötigen.

Schritt 3: Erstellen Sie eine VPC-Sicherheitsgruppe für einen privaten Cluster

Um Ihren Cluster privat zu halten, erstellen Sie eine zweite Sicherheitsgruppe für den privaten Zugriff. Um eine Verbindung zu privaten Clustern in Ihrer VPC herzustellen, fügen Sie Ihrer VPC-Sicherheitsgruppe Regeln für eingehenden Datenverkehr hinzu, die nur Datenverkehr von Ihrer Anwendung zulassen.

So erstellen Sie eine VPC-Sicherheitsgruppe

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

  2. Wählen Sie VPC Dashboard (VPC-Dashboard), Security Groups (Sicherheitsgruppen) und anschließend Create security group (Sicherheitsgruppe erstellen).

  3. Legen Sie auf der Seite Create security group (Sicherheitsgruppe erstellen) die folgenden Werte fest:

    • Name der Sicherheitsgruppeexample-securitygroup

    • BeschreibungInstance security group

    • VPC — Wählen Sie die VPC aus, die Sie zuvor erstellt haben, zum Beispiel: vpc-example

  4. Fügen Sie der Sicherheitsgruppe Regeln für den eingehenden Datenverkehr hinzu.

    1. Wählen Sie im Abschnitt Eingehende Regeln die Option Regel hinzufügen aus.

    2. Legen Sie die folgenden Werte für Ihre neue Regel für eingehenden Datenverkehr fest, um DocumentDB-Verkehr auf Port 27017 von Ihrer Amazon-Instance aus zuzulassen. EC2 Nachdem Sie dies getan haben, können Sie von Ihrer Anwendung aus eine Verbindung zu Ihrem Cluster herstellen. Auf diese Weise können Sie Daten aus Ihrer Anwendung in Ihrer Datenbank speichern und abrufen.

      • Geben Sie — ein Custom TCP

      • Quelle — Der Bezeichner der Anwendungssicherheitsgruppe, die Sie zuvor in diesem Thema erstellt haben, z. B.: sg-9edd5cfb.

    3. Wählen Sie Regel hinzufügen aus.

    4. Legen Sie die folgenden Werte für Ihre neue Regel für eingehende Zugriffe fest, um den HTTP-Zugriff auf Ihre Anwendung zu ermöglichen:

      • Geben Sie — ein HTTP

      • Quelle0.0.0.0/0

  5. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus, um die Sicherheitsgruppe zu erstellen.

Schritt 4: Erstellen Sie eine Subnetzgruppe

Eine Subnetzgruppe ist eine Sammlung von Subnetzen, die Sie in einer VPC erstellen und die Sie dann für Ihre Cluster festlegen. Eine Subnetzgruppe ermöglicht es Ihnen, beim Erstellen von Clustern eine bestimmte VPC anzugeben.

Um eine Subnetzgruppe zu erstellen

  1. Identifizieren Sie die privaten Subnetze für Ihre Datenbank in der VPC.

    1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

    2. Wählen Sie VPC Dashboard (VPC-Dashboard) und dann Subnets (Subnetze) aus.

    3. Notieren Sie sich das Subnetz IDs der Subnetze, die Sie in Schritt 1 erstellt haben, mit dem Namen, zum Beispiel: 1-us-west-2a und 2-us-west-2b. example-subnet-private example-subnet-private Sie benötigen das Subnetz, wenn Sie Ihre Subnetzgruppe erstellen. IDs

  2. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter https://console.aws.amazon.com/docdb.

    Stellen Sie sicher, dass Sie eine Verbindung zur Amazon DocumentDB DocumentDB-Konsole herstellen, nicht zur Amazon VPC-Konsole.

  3. Wählen Sie im Navigationsbereich Subnetzgruppe aus.

  4. Wählen Sie Erstellen aus.

  5. Legen Sie auf der Seite Subnetzgruppe erstellen im Abschnitt Subnetzgruppendetails die folgenden Werte fest:

    • Name — example-db-subnet-group

    • BeschreibungInstance security group

  6. Legen Sie im Abschnitt Subnetze hinzufügen die folgenden Werte fest:

    • VPC — Wählen Sie die VPC aus, die Sie zuvor erstellt haben, zum Beispiel: vpc-example

    • Availability Zones — Wählen Sie beide Availability Zones aus, die in Schritt 1 erstellt wurden. Beispiel: us-west-2a und us-west-2b

    • Subnetze — Wählen Sie die privaten Subnetze aus, die Sie in Schritt 1 erstellt haben.

  7. Wählen Sie Erstellen aus.

Ihre neue Subnetzgruppe wird in der Liste der Subnetzgruppen auf der DocumentDB-Konsole angezeigt. Sie können die Subnetzgruppe auswählen, um Details im Detailbereich anzuzeigen. Diese Informationen umfassen alle Subnetze, die der Gruppe zugeordnet sind.

Anmerkung

Wenn Sie diese VPC erstellt haben, um sie mit einem DocumentDB-Cluster zu verknüpfen, erstellen Sie den Cluster, indem Sie den Anweisungen unter folgen. Einen Amazon DocumentDB-Cluster erstellen

Löschen einer VPC

Sie können eine VPC und die anderen Ressourcen, die darin verwendet werden, löschen, wenn sie nicht mehr benötigt werden.

Anmerkung

Wenn Sie der VPC, die Sie in diesem Thema erstellt haben, Ressourcen hinzugefügt haben, müssen Sie diese möglicherweise löschen, bevor Sie die VPC löschen können. Zu diesen Ressourcen können beispielsweise EC2 Amazon-Instances oder DocumentDB-Cluster gehören. Weitere Informationen finden Sie unter Löschen Ihrer VPC im Amazon VPC User Guide.

So löschen Sie eine VPC und zugehörige Ressourcen

  1. Löschen Sie die Subnetzgruppe:

    1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter https://console.aws.amazon.com/docdb.

    2. Wählen Sie im Navigationsbereich Subnetzgruppe aus.

    3. Wählen Sie die Subnetzgruppe aus, die Sie löschen möchten, z. B. example-db-subnet-group

    4. Wählen Sie Löschen, und wählen Sie dann im Bestätigungsfenster Löschen.

  2. Notieren Sie sich die VPC-ID.

    1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

    2. Wählen Sie VPC Dashboard und dann Your VPCs aus.

    3. Identifizieren Sie in der Liste die VPC, die Sie erstellt haben, z. B. vpc-example.

    4. Notieren Sie die VPC ID (VPC-ID) der VPC, die Sie erstellt haben. Sie benötigen die VPC-ID in späteren Schritten.

  3. Löschen der Sicherheitsgruppen:

    1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

    2. Wählen Sie VPC Dashboard und dann Sicherheitsgruppen.

    3. Wählen Sie die Sicherheitsgruppe für den Amazon DocumentDB-Cluster aus, z. B. example-securitygroup.

    4. Wählen Sie für Aktionen die Option Sicherheitsgruppen löschen und wählen Sie dann im Bestätigungsdialogfeld Löschen aus.

    5. Zurück auf der Seite Sicherheitsgruppen wählen Sie die Sicherheitsgruppe für die EC2 Amazon-Instance aus, z. B. example-securitygroup.

    6. Wählen Sie für Aktionen die Option Sicherheitsgruppen löschen und wählen Sie dann im Bestätigungsdialogfeld Löschen aus.

  4. Löschen der VPC:

    1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

    2. Wählen Sie VPC Dashboard und dann Your VPCs aus.

    3. Wählen Sie die VPC aus, die Sie löschen möchten, z. B. vpc-example.

    4. Wählen Sie für Aktionen die Option VPC löschen aus.

      Auf der Bestätigungsseite werden weitere Ressourcen angezeigt, die der VPC zugeordnet sind, die ebenfalls gelöscht werden, einschließlich der damit verknüpften Subnetze.

    5. Geben Sie im Bestätigungsdialogfeld die Eingabetaste eindelete, und wählen Sie dann Löschen aus.