Creación de un clúster de DAX mediante la AWS CLI - Amazon DynamoDB
Paso 1: crear un rol de servicioPaso 2: crear un grupo de subredesPaso 3: crear un clúster de DAXPaso 4: configurar las reglas de entrada del grupo de seguridad

Creación de un clúster de DAX mediante la AWS CLI

En esta sección se describe cómo crear un clúster de Amazon DynamoDB Accelerator (DAX) mediante la AWS Command Line Interface (AWS CLI). Si aún no lo ha hecho, debe instalar y configurar la AWS CLI. Para hacerlo, vea las siguientes instrucciones en la Guía del usuario de AWS Command Line Interface:

importante

Para administrar los clústeres de DAX con la AWS CLI, instale o actualice a la versión 1.11.110 o superior.

En todos los ejemplos relativos a la AWS CLI se utiliza la región us-west-2 e identificadores de cuenta ficticios.

Paso 1: crear un rol de servicio de IAM para que DAX obtenga acceso a DynamoDB mediante la AWS CLI

Antes de crear un clúster de Amazon DynamoDB Accelerator (DAX), tiene que crear una función del servicio para él. Una función del servicio es un rol de AWS Identity and Access Management (IAM) que autoriza a un servicio de AWS para actuar en su nombre. La función del servicio permitirá a DAX a acceder a las tablas de DynamoDB como si usted estuviese abriéndolas directamente.

En este paso, se crea una política de IAM y se asocia a un rol de IAM. Esto le permitirá asignar el rol a un clúster de DAX de tal forma que pueda llevar a cabo operaciones de DynamoDB en su nombre.

Para crear un rol de servicio de IAM para DAX

  1. Cree un archivo denominado service-trust-relationship.json con el siguiente contenido.

    JSON
    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "Service": "dax.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Cree el rol de servicio.

    aws iam create-role \
    --role-name DAXServiceRoleForDynamoDBAccess \
    --assume-role-policy-document file://service-trust-relationship.json

  3. Cree un archivo denominado service-role-policy.json con el siguiente contenido.

    JSON
    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:PutItem",
                "dynamodb:GetItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchGetItem",
                "dynamodb:BatchWriteItem",
                "dynamodb:ConditionCheckItem"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:dynamodb:us-west-2:111122223333:*"
            ]
        }
    ]
}

    Sustituya accountID por el ID de la cuenta de AWS. Para encontrar su ID de cuenta de AWS, en la esquina superior derecha de la consola, elija su ID de inicio de sesión. El ID de su cuenta de AWS aparece en el menú desplegable.

    En el nombre de recurso de Amazon (ARN) en el ejemplo, accountID debe ser un número de 12 dígitos. No utilice guiones ni ningún otro signo de puntuación.

  4. Cree una política de IAM para la función del servicio.

    aws iam create-policy \
    --policy-name DAXServicePolicyForDynamoDBAccess \
    --policy-document file://service-role-policy.json

    En el resultado, tome nota del ARN de la política que ha creado, como en el siguiente ejemplo.

    arn:aws:iam::123456789012:policy/DAXServicePolicyForDynamoDBAccess

  5. Asocie la política al rol de servicio. Sustituya arn en el siguiente código por el ARN real del rol del paso anterior.

    aws iam attach-role-policy \
    --role-name DAXServiceRoleForDynamoDBAccess \
    --policy-arn arn

A continuación, especifique un grupo de subredes para su VPC predeterminada. Un grupo de subredes es una colección de una o varias subredes de la VPC. Consulte Paso 2: crear un grupo de subredes.

Paso 2: crear un grupo de subredes

Siga este procedimiento para crear un grupo de subred para su clúster de Amazon DynamoDB Accelerator (DAX) mediante la AWS Command Line Interface (AWS CLI).

nota

Si ya ha creado un grupo de subredes para la VPC predeterminada, puede omitir este paso.

DAX está diseñado para ejecutarse dentro de un entorno de Amazon Virtual Private Cloud (Amazon VPC). Si creó la cuenta de AWS después del 4 de diciembre de 2013, ya dispone de una VPC predeterminada en cada región de AWS. Para obtener más información acerca de las VPC predeterminadas, consulte VPC predeterminada y subredes predeterminadas en la Guía del usuario de Amazon VPC.

nota

La VPC que tiene este clúster de DAX puede contener otros recursos e incluso puntos de conexión de VPC para los demás servicios, excepto el punto de conexión de VPC para ElastiCache y puede provocar errores en las operaciones del clúster de DAX.

Para crear un grupo de subredes

  1. Para determinar el identificador de la VPC predeterminada, introduzca el siguiente comando.

    aws ec2 describe-vpcs

    En el resultado, tome nota del identificador de la VPC predeterminada, como en el siguiente ejemplo.

    vpc-12345678

  2. Determine los identificadores de las subredes asociadas a la VPC predeterminada. Sustituya vpcID por el ID de la VPC real (por ejemplo, vpc-12345678).

    aws ec2 describe-subnets \
    --filters "Name=vpc-id,Values=vpcID" \
    --query "Subnets[*].SubnetId"

    En la salida, anote los identificadores de subred (por ejemplo, subnet-11111111).

  3. Cree el grupo de subredes. Asegúrese de especificar al menos un ID de subred en el parámetro --subnet-ids.

    aws dax create-subnet-group \
    --subnet-group-name my-subnet-group \
    --subnet-ids subnet-11111111 subnet-22222222 subnet-33333333 subnet-44444444

Para crear el clúster, consulte Paso 3: crear un clúster de DAX mediante la AWS CLI.

Paso 3: crear un clúster de DAX mediante la AWS CLI

Siga este procedimiento para crear un grupo de subred para su clúster de Amazon DynamoDB Accelerator (DAX) en la Amazon VPC predeterminada mediante la AWS Command Line Interface (AWS CLI).

Creación de un clúster de DAX

  1. Obtenga el nombre de recurso de Amazon (ARN) del rol de servicio.

    aws iam get-role \
    --role-name DAXServiceRoleForDynamoDBAccess \
    --query "Role.Arn" --output text

    En el resultado, tome nota del ARN del rol de servicio, como en el siguiente ejemplo.

    arn:aws:iam::123456789012:role/DAXServiceRoleForDynamoDBAccess

  2. Crear un clúster de DAX. Sustituya roleARN por el ARN del paso anterior.

    aws dax create-cluster \
    --cluster-name mydaxcluster \
    --node-type dax.r4.large \
    --replication-factor 3 \
    --iam-role-arn roleARN \
    --subnet-group my-subnet-group \
    --sse-specification Enabled=true \
    --region us-west-2

    Todos los nodos en el clúster son del tipo dax.r4.large (--node-type). Hay tres nodos (--replication-factor), un nodo primario y dos réplicas.

    nota

    Ya que sudo y grep son palabras clave reservadas, no puede crear un clúster DAX con estas palabras en el nombre del clúster. Por ejemplo, sudo y sudocluster son nombres de clúster no válidos.

Para ver el estado del clúster, introduzca el siguiente comando.

aws dax describe-clusters

El estado se muestra en el resultado (por ejemplo: "Status": "creating").

nota

La creación del clúster tarda varios minutos. Cuando el clúster esté listo, su estado cambiará a available. Mientras tanto, continúe con Paso 4: configurar las reglas de entrada del grupo de seguridad mediante la AWS CLI y siga las instrucciones que se facilitan.

Paso 4: configurar las reglas de entrada del grupo de seguridad mediante la AWS CLI

Los nodos del clúster del Amazon DynamoDB Accelerator (DAX) utilizan el grupo de seguridad predeterminado para su Amazon VPC. Para el grupo de seguridad predeterminado, debe autorizar el tráfico entrante en el puerto TCP 8111 para clústeres no cifrados o en el puerto 9111 para clústeres cifrados. Esto permitirá que las instancias de Amazon EC2 de la Amazon VPC; accedan al clúster de DAX.

nota

Si ha lanzado el clúster de DAX con un grupo de seguridad distinto (que no sea default), tendrá que llevar a cabo este procedimiento para ese grupo.

Para configurar las reglas de entrada del grupo de seguridad

  1. Para determinar el identificador del grupo de seguridad predeterminado, introduzca el siguiente comando. Sustituya vpcID por el ID de la VPC real (de Paso 2: crear un grupo de subredes).

    aws ec2 describe-security-groups \
    --filters Name=vpc-id,Values=vpcID Name=group-name,Values=default \
    --query "SecurityGroups[*].{GroupName:GroupName,GroupId:GroupId}"

    En el resultado, tome nota del identificador del grupo de seguridad (por ejemplo, sg-01234567).

  2. A continuación, introduzca lo siguiente. Sustituya sgID por el identificador del grupo de seguridad real. Use el puerto 8111 para clústeres no cifrados y el 9111 para clústeres cifrados.

    aws ec2 authorize-security-group-ingress \
    --group-id sgID --protocol tcp --port 8111