Conexión a un clúster de Amazon DocumentDB desde fuera de una Amazon VPC - Amazon DocumentDB

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conexión a un clúster de Amazon DocumentDB desde fuera de una Amazon VPC

Los clústeres de Amazon DocumentDB (con compatibilidad con MongoDB) se implementan en una instancia de Amazon Virtual Private Cloud (Amazon VPC). Se puede obtener acceso a ellos directamente mediante instancias de Amazon EC2 u otros servicios de AWS que se implementen en la misma Amazon VPC. Además, es posible obtener acceso a Amazon DocumentDB mediante instancias EC2 u otros servicios de AWS en diferentes VPC de la misma región de Región de AWS u otras regiones a través de la interconexión de VPC.

Sin embargo, supongamos que su caso de uso requiere que usted o su aplicación tengan acceso a los recursos de Amazon DocumentDB desde fuera de la VPC del clúster. En ese caso, puede utilizar la tunelización SSH (denominada también reenvío de puertos) para obtener acceso a sus recursos de Amazon DocumentDB.

La descripción detallada de la tunelización SSH queda fuera del alcance de este tema. Si desea obtener más información sobre la tunelización SSH, consulte los siguientes temas:

Para crear un túnel SSH, necesita una instancia de Amazon EC2 que se ejecute en la misma VPC de Amazon que el clúster de Amazon DocumentDB. Puede usar una instancia EC2 existente en la misma VPC que el clúster o crear una. Para obtener más información, consulte el tema correspondiente a su sistema operativo:

Es posible que normalmente se conecte a una instancia EC2 con el siguiente comando:

ssh -i "ec2Access.pem" ubuntu@ec2-34-229-221-164.compute-1.amazonaws.com

Si es así, puede configurar un túnel de SSH en el clúster de Amazon DocumentDB sample-cluster.node.us-east-1.docdb.amazonaws.com ejecutando el siguiente comando en el equipo local. La marca -L se utiliza para el reenvío de un puerto local. Cuando utilice un túnel SSH, es recomendable que se conecte al clúster utilizando el punto de conexión de dicho clúster y que no intente conectarse utilizando el modo de conjunto de réplicas (es decir, especificando replicaSet=rs0 en la cadena de conexión), ya que dará lugar a un error.

ssh -i "ec2Access.pem" -L 27017:sample-cluster.node.us-east-1.docdb.amazonaws.com:27017 ubuntu@ec2-34-229-221-164.compute-1.amazonaws.com -N

Una vez creado el túnel SSH, cualquier comando que envíe a localhost:27017 se reenvía al clúster de Amazon DocumentDB sample-cluster que se ejecuta en la VPC de Amazon. Si la seguridad de la capa de transporte (TLS) está habilitada en el clúster de Amazon DocumentDB, tiene que descargar la clave pública de Amazon DocumentDB desde https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem . La siguiente operación descarga este archivo:

wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem
nota

TLS está habilitado de forma predeterminada para los nuevos clústeres de Amazon DocumentDB. No obstante, sí puede deshabilitarlo. Para obtener más información, consulte Administración de la configuración de TLS del clúster de Amazon DocumentDB.

Para conectarse a su clúster de Amazon DocumentDB desde fuera de Amazon VPC, utilice el comando siguiente.

mongo --sslAllowInvalidHostnames --ssl --sslCAFile global-bundle.pem --username <yourUsername> --password <yourPassword>