VPC 内の Amazon DocumentDB クラスターへのアクセス - Amazon DocumentDB
同じ VPC 内の Amazon EC2 インスタンス別の VPC の Amazon EC2 インスタンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC 内の Amazon DocumentDB クラスターへのアクセス

Amazon DocumentDB は、VPC 内のクラスターにアクセスするための以下のシナリオをサポートしています。

同じ VPC 内の Amazon EC2 インスタンスによってアクセスされる VPC 内のクラスター

VPC 内のクラスターの一般的な用途は、同じ VPC 内の Amazon EC2 インスタンスで実行されているアプリケーションサーバーとデータを共有することです。

同じ VPC 内の EC2 インスタンスとクラスター間のアクセスを管理する方法として最も簡単なのは、次の方法です。

  • クラスターの VPC セキュリティグループを作成します。このセキュリティグループを使用して、クラスターへのアクセスを制限できます。たとえば、このセキュリティグループのカスタムルールを作成できます。これにより、クラスターの作成時に割り当てたポートと、開発やその他の目的でクラスターにアクセスするために使用する IP アドレスを使用して TCP アクセスを許可する場合があります。

  • EC2 インスタンス (ウェブサーバーとクライアント) が属する VPC セキュリティグループを作成します。このセキュリティグループは、必要に応じて、VPC のルーティングテーブルを介したインターネットから EC2 インスタンスへのアクセスを許可できます。例えば、ポート 22 経由で EC2 インスタンスへの TCP アクセスを許可するルールをこのセキュリティグループに設定できます。

  • EC2 インスタンス用に作成したセキュリティグループからの接続を許可するクラスターのセキュリティグループにカスタムルールを作成します。これらのルールは、セキュリティグループのメンバーにクラスターへのアクセスを許可する場合があります。

別のアベイラビリティーゾーンに、追加のパブリックサブネットとプライベートサブネットがあります。DocumentDB サブネットグループには、少なくとも 2 つのアベイラビリティーゾーンにサブネットが必要です。サブネットを追加すると、将来的にマルチ AZ クラスターデプロイへの切り替えが容易になります。

このシナリオでパブリックサブネットとプライベートサブネットの両方を持つ VPC を作成する方法については、「」を参照してくださいDocumentDB クラスターで使用する IPv4-only VPC を作成する

ヒント

クラスターの作成時に、Amazon EC2 インスタンスと DocumentDB クラスター間のネットワーク接続を自動的に設定できます。詳細については、「Amazon EC2 への自動接続」を参照してください。

別のセキュリティグループからの接続を許可する VPC セキュリティグループにルールを作成するには、次の手順を実行します。

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、セキュリティグループを見つけて選択します。

  3. 他のセキュリティグループのメンバーからのアクセスを許可するセキュリティグループを、選択または作成します。これは、クラスターに使用するセキュリティグループです。[インバウンドルール] タブを選択してから、[インバウンドルールの編集] を選択します。

  4. [インバウンドルールの編集] ページで、[ルールの追加] を選択します。

  5. Type でカスタム TCP など、クラスターの作成時に使用したポートに対応するエントリを選択します。

  6. Source フィールドに、一致するセキュリティグループを一覧表示するセキュリティグループの ID の入力を開始します。このセキュリティグループによって保護されているリソースへのアクセスを許可するメンバーが所属しているセキュリティグループを選択します。前述のシナリオで、これは EC2 インスタンス向けに使用するセキュリティグループです。

  7. 必要に応じて、すべての TCP をタイプとしてルールを作成し、ソースフィールドにセキュリティグループを作成して、TCP プロトコルの手順を繰り返します。UDP プロトコルを使用する場合は、[All UDP] (すべての UDP) を [Type] (タイプ) と [Source] (送信元) のセキュリティグループとして使用してルールを作成します。

  8. [Save Rules] (ルールの保存) を選択してください。

次の画面には、ソース用のセキュリティグループを含むインバウンドルールが表示されます。

セキュリティグループをソースとするルールを示すインバウンドルールタブ

EC2 インスタンスからクラスターに接続する方法の詳細については、「」を参照してくださいAmazon EC2 への自動接続

別の VPC 内の Amazon EC2 インスタンスによってアクセスされる VPC 内のクラスター

クラスターがアクセスに使用している EC2 インスタンスとは異なる VPC にある場合、VPC ピアリングを使用してクラスターにアクセスできます。

VPC ピア接続は、プライベート IP アドレスを使用して 2 つの VPC 間でトラフィックをルーティングすることを可能にするネットワーク接続です。どちらの VPC のリソースも、同じネットワーク内に存在しているかのように、相互に通信できます。独自の VPC 間、別の AWS アカウントの VPCs 間、または別のアカウントの VPC との間で VPC ピアリング接続を作成できます AWS リージョン。VPC ピア接続の詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPC ピア接続」を参照してください。