Un’istanza Amazon EC2 nello stesso VPC Un'istanza EC2 in un VPC diverso Un'applicazione client tramite internet Una rete privata

Scenari per accedere a un'istanza database in un VPC

Amazon RDS supporta i seguenti scenari per accedere a un'istanza database in un VPC:

Un’istanza Amazon EC2 nello stesso VPC
Un'istanza EC2 in un VPC diverso
Un'applicazione client tramite internet
Una rete privata

Un’istanza database in un VPC a cui accede un’istanza Amazon EC2 nello stesso VPC

Un uso comune di un’istanza database in un VPC è quello di condividere dati con un server applicativo in esecuzione in un’istanza Amazon EC2 nello stesso VPC.

Il seguente diagramma mostra questo scenario.

Scenario VPC con un server web pubblico e un database privato

Il modo più semplice per gestire l'accesso tra istanze EC2 e istanze database nello stesso VPC consiste nel fare quanto segue:

Creare un gruppo di sicurezza VPC in cui si troveranno le istanze database. Questo gruppo di sicurezza può essere usato per limitare l'accesso alle istanze database. Ad esempio, puoi creare una regola personalizzata per questo gruppo di sicurezza. Ciò potrebbe consentire l'accesso TCP usando la porta assegnata all'istanza database al momento della creazione della stessa e un indirizzo IP utilizzato per accedere all'istanza database per lo sviluppo o per altri scopi.
Crea un gruppo di sicurezza VPC in cui si troveranno le istanze EC2 (server Web e client). Questo gruppo di sicurezza può, se necessario, consentire l'accesso all'istanza EC2 da Internet tramite la tabella di routing del VPC. Ad esempio, può impostare regole in questo gruppo di sicurezza per consentire l'accesso TCP all'istanza EC2 sulla porta 22.
Creare regole personalizzate nel gruppo di sicurezza per le istanze database che consentono connessioni dal gruppo di sicurezza creato per le istanze EC2. Queste regole potrebbero consentire a qualsiasi membro del gruppo di sicurezza di accedere alle istanze database.

È disponibile una sottorete pubblica e privata aggiuntiva in una zona di disponibilità separata. Un gruppo di sottoreti DB RDS richiede una sottorete in almeno due zone di disponibilità. La sottorete aggiuntiva semplifica il passaggio a un'implementazione Multi-AZ di un'istanza DB in futuro.

Per una dimostrazione che mostri come creare un VPC con sottoreti pubbliche e private per questo scenario, consulta Tutorial: Creazione di un Amazon VPC da utilizzare con un'istanza database (solo IPv4).

Suggerimento

Quando crei un'istanza database, puoi configurare automaticamente la connettività di rete tra un'istanza Amazon EC2 e un'istanza database. Per ulteriori informazioni, consulta Configurazione della connettività di rete automatica con un'istanza EC2.

Per creare una regola in un gruppo di sicurezza VPC che consente delle connessioni da un altro gruppo di sicurezza, esegui la procedura seguente:

Accedere ad Console di gestione AWS e aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc.
Fai clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
Scegli o crea un gruppo di sicurezza per il quale desideri concedere l'accesso ai membri di un altro gruppo di sicurezza. Nello scenario precedente, questo è il gruppo di sicurezza utilizzato per le istanze database. Seleziona la scheda Regole in entrata, quindi scegli Modifica regola.
Nella scheda Modifica regole in entrata, seleziona Aggiungi regola.
Per Tipo, scegli la voce che corrisponde alla porta utilizzata durante la creazione dell'istanza database, ad esempio MySQL/Aurora.
Nella casella Origine iniziare a digitare l'ID del gruppo di sicurezza, che elenca i gruppi di sicurezza corrispondenti. Scegli il gruppo di sicurezza con i membri che desideri abbiano accesso alle risorse protette da questo gruppo di sicurezza. Nello scenario precedente, questo è il gruppo di sicurezza utilizzato per le istanze EC2.
Se necessario, ripeti i passaggi per il protocollo TCP creando una regola con All TCP (Tutti i TCP) come Tipo e il gruppo di sicurezza nella casella Source (Origine). Se desideri usare il protocollo UDP, crea una regola con All UDP (Tutti i UDP) come Type (Tipo) e il gruppo di sicurezza nella casella Source (Origine).
Scegliere Salva regole.

Nella schermata seguente viene illustrata una regola in entrata con un gruppo di sicurezza per la relativa origine.

È possibile aggiungere un gruppo di sicurezza alle regole di un altro gruppo di sicurezza.

Per ulteriori informazioni sulla connessione all'istanza database dall'istanza EC2, consulta Connessione a un'istanza database Amazon RDS .

Un'istanza database in un VPC a cui accede un'istanza EC2 in un VPC diverso

Quando le istanze database si trova in un VPC diverso dall'istanza EC2 che si sta utilizzando per accedervi, puoi utilizzare il peering VPC per accedere all'istanza database.

Il seguente diagramma mostra questo scenario.

Istanza database in un VPC a cui accede un’istanza Amazon EC2 in un VPC diverso

Una connessione di peering di VPC è una connessione di rete tra due VPC che consentono di instradare il traffico tra loro utilizzando degli indirizzi IP privati. Le risorse in uno qualsiasi dei VPC possono comunicare tra loro come se fossero nella stessa rete. Puoi anche creare una connessione di peering VPC tra VPC, con un VPC in un altro account AWS o con un VPC in una Regione AWS diversa. Per ulteriori informazioni su VPC in peering, consulta Peering di VPC nella Guida per l'utente di Amazon Virtual Private Cloud.

Un'istanza database in un VPC a cui accede un'applicazione client tramite Internet

Per accedere a istanze database in un VPC da un'applicazione client tramite Internet, configura un VPC con una sottorete pubblica singola e un gateway Internet per abilitare la comunicazione in Internet.

Il seguente diagramma mostra questo scenario.

Un’istanza database in un VPC a cui accede un’applicazione client tramite Internet

È consigliabile utilizzare la seguente configurazione:

Un VPC di dimensione /16 (ad esempio, CIDR: 10.0.0.0/16). Questa dimensione fornisce indirizzi 65.536 indirizzi IP privati.
Una sottorete di dimensione /24 (ad esempio, CIDR: 10.0.0.0/24). Questa dimensione fornisce 256 indirizzi IP privati.
Un'istanza database Amazon RDS che è in associazione al VPC e alla sottorete. Amazon RDS assegna un indirizzo IP nella sottorete all'istanza database.
Un gateway Internet che collega il VPC a Internet e agli altri prodotti AWS.
Un gruppo di sicurezza associato all'istanza database. Le regole in entrata del gruppo di sicurezza consentono all'applicazione client di accedere all'istanza database.

Per informazioni su come creare un'istanza database in un VPC, consulta Creazione di un'istanza database in un VPC.

Un'istanza database in un VPC a cui si accede da una rete privata

Se l'istanza database non è accessibile pubblicamente, sono disponibili le seguenti opzioni per consentire l'accesso da una rete privata:

Una connessione Site-to-Site VPN AWS Per ulteriori informazioni, consulta Che cos'è AWS Site-to-Site VPN?
Una connessione Direct Connect. Per ulteriori informazioni, consulta Che cos'è Direct Connect?
Una connessione AWS Client VPN. Per ulteriori informazioni, consulta Che cos'è AWS Client VPN?

Il diagramma seguente mostra uno scenario con una connessione Site-to-Site VPN AWS.

Istanze database in un VPC a cui accede una rete privata

Per ulteriori informazioni, consulta Riservatezza del traffico Internet.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiornamento del VPC per un’istanza database

Tutorial: Creazione di un Amazon VPC da utilizzare con un'istanza database (solo IPv4)