VPC での Amazon DocumentDB クラスターへのアクセス - Amazon DocumentDB
同じ VPC 内の Amazon EC2 インスタンス別の VPC 内の Amazon EC2 インスタンス

VPC での Amazon DocumentDB クラスターへのアクセス

Amazon DocumentDB は、VPC 内のクラスターにアクセスするための以下のシナリオをサポートしています。

同じ VPC 内の Amazon EC2 インスタンスがアクセスする、VPC 内のクラスター

VPC 内のクラスターの一般的な用途は、同じ VPC 内の Amazon EC2 インスタンスで実行されるアプリケーションサーバーとデータを共有することです。

同じ VPC 内の EC2 インスタンスとクラスター間のアクセスを管理する方法として最も簡単なのは、次の方法です。

  • クラスターが存在する VPC セキュリティグループを作成します。このセキュリティグループを使用して、クラスターへのアクセスを制限できます。例えば、このセキュリティグループのカスタムルールを作成できます。これにより、クラスターを作成したときに割り当てたポートと、開発またはそのほかの目的でクラスターにアクセスするのに使用する IP アドレスを使用して TCP へのアクセスを許可できます。

  • EC2 インスタンス (ウェブサーバーとクライアント) が属する VPC セキュリティグループを作成します。このセキュリティグループは、必要に応じて、VPC のルーティングテーブルを介したインターネットから EC2 インスタンスへのアクセスを許可できます。例えば、ポート 22 経由で EC2 インスタンスへの TCP アクセスを許可するルールをこのセキュリティグループに設定できます。

  • EC2 インスタンス用に作成したセキュリティグループからの接続を許可するクラスターのセキュリティグループで、カスタムルールを作成します。このルールは、セキュリティグループのメンバーにクラスターへのアクセスを許可します。

別のアベイラビリティーゾーンに、追加のパブリックサブネットとプライベートサブネットがあります。DocumentDB サブネットグループには、2 つ以上のアベイラビリティーゾーンにサブネットが必要です。サブネットが追加されたことで、将来的にマルチ AZ クラスター配置に簡単に切り替えることができるようになります。

このシナリオのパブリックとプライベートの両方のサブネットを使用する VPC を作成する方法の手順については、「DocumentDB クラスターで使用する IPv4-only VPC を作成する」を参照してください。

ヒント

DB クラスターの作成時に、Amazon EC2 インスタンスと DocumentDB クラスター間で自動的にネットワーク接続を設定できるようになります。詳細については、「Amazon EC2 への自動接続」を参照してください。

他のセキュリティグループからの接続を許可する VPC セキュリティグループにルールを作成するには、以下を実行します。

  1. AWS マネジメントコンソール にサインインして、Amazon VPC コンソール (https://console.aws.amazon.com/vpc) を開きます。

  2. ナビゲーションペインで、[Security Groups] (セキュリティグループ) を見つけて選択します。

  3. 他のセキュリティグループのメンバーからのアクセスを許可するセキュリティグループを、選択または作成します。これは、クラスターで使用するセキュリティグループです。[インバウンドルール] タブを選択してから、[インバウンドルールの編集] を選択します。

  4. [インバウンドルールの編集] ページで、[ルールの追加] を選択します。

  5. [タイプ] では、クラスターの作成時に使用したポートに対応するエントリ ([カスタム TCP] など) を選択します。

  6. [ソース] フィールドで、セキュリティグループの ID の入力をスタートすると、一致するセキュリティグループが一覧表示されます。このセキュリティグループによって保護されているリソースへのアクセスを許可するメンバーが所属しているセキュリティグループを選択します。前述のシナリオで、これは EC2 インスタンス向けに使用するセキュリティグループです。

  7. 必要に応じて、[タイプ] に [すべての TCP] を、[ソース] フィールドにお客様のセキュリティグループを指定してルールを作成することで、TCP プロトコルのステップを繰り返します。UDP プロトコルを使用する場合は、[All UDP] (すべての UDP) を [Type] (タイプ) と [Source] (送信元) のセキュリティグループとして使用してルールを作成します。

  8. [Save Rules] (ルールの保存) を選択してください。

次の画面には、ソース用のセキュリティグループを含むインバウンドルールが表示されます。

セキュリティグループをソースとするルールを示すインバウンドルールタブ

EC2 インスタンスからクラスターに接続する方法の詳細については、「Amazon EC2 への自動接続」を参照してください。

別の VPC 内の Amazon EC2 インスタンスがアクセスする、VPC 内のクラスター

クラスターがアクセスに使用している EC2 インスタンスとは異なる VPC にある場合、VPC ピア接続を使用してそのクラスターにアクセスできます。

VPC ピア接続は、プライベート IP アドレスを使用して 2 つの VPC 間でトラフィックをルーティングすることを可能にするネットワーク接続です。どちらの VPC のリソースも、同じネットワーク内に存在しているかのように、相互に通信できます。VPC ピアリング接続は、自分の VPC 間、別の AWS アカウントの VPC との間、または別の AWS リージョン の VPC との間に作成できます。VPC ピア接続の詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPC ピア接続」を参照してください。