# Amazon VPC e Amazon Aurora
A Amazon Virtual Private Cloud (Amazon VPC) possibilita a execução de recursos da AWS, como clusters de bancos de dados do Aurora, em uma nuvem privada virtual (VPC).
Ao usar uma VPC, você tem controle sobre o ambiente de rede virtual. É possível escolher seu próprio intervalo de endereços IP, criar sub-redes e configurar o roteamento e listas de controle de acesso. Não há custos adicionais para executar o cluster de banco de dados em uma VPC.
As contas têm uma VPC padrão. Todos os novos clusters de banco de dados são criados na VPC padrão, a menos que você especifique o contrário.
**Topics**
+ [Trabalhar com um cluster de banco de dados em uma VPC](USER_VPC.WorkingWithRDSInstanceinaVPC.md)
+ [Cenários para acessar um cluster de banco de dados em uma VPC](USER_VPC.Scenarios.md)
+ [Tutorial: Criar uma VPC para usar com um cluster de banco de dados (somente IPv4)](CHAP_Tutorials.WebServerDB.CreateVPC.md)
+ [Tutorial: Criar uma VPC para uso com um cluster de banco de dados (modo de pilha dupla)](CHAP_Tutorials.CreateVPCDualStack.md)
Veja a seguir uma discussão sobre a funcionalidade da VPC relevante para clusters de banco de dados do Amazon Aurora. Para obter mais informações sobre uma Amazon VPC, consulte o [Guia de conceitos básicos da Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/) e [Guia do usuário da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
# Trabalhar com um cluster de banco de dados em uma VPC
Seu cluster deve estar em uma nuvem privada virtual (VPC). Uma VPC é uma rede virtual logicamente isolada de outras redes virtuais na Nuvem AWS. A Amazon VPC permite que você execute recursos da AWS, como um cluster de banco de dados do Amazon Aurora ou instância do Amazon EC2, em uma VPC. A VPC pode ser uma VPC padrão que vem com sua conta ou aquele que você criou. Todas as VPCs estão associadas à sua conta da AWS.
Sua VPC padrão possui três sub-redes que você pode usar para isolar recursos dentro da VPC. A VPC padrão também possui um gateway da Internet que pode ser usado para fornecer acesso a recursos na VPC de fora da VPC.
Para obter uma lista de cenários envolvendo clusters de banco de dados do Amazon Aurora em uma VPC , consulte [Cenários para acessar um cluster de banco de dados em uma VPC](USER_VPC.Scenarios.md).
**Topics**
+ [Trabalhar com um cluster de banco de dados em uma VPC](#Overview.RDSVPC.Create)
+ [Controle de criptografia da VPC](#USER_VPC.EncryptionControl)
+ [Trabalhar com grupos de sub-redes de banco de dados](#USER_VPC.Subnets)
+ [Sub-redes compartilhadas](#USER_VPC.Shared_subnets)
+ [Endereçamento IP do Amazon Aurora](#USER_VPC.IP_addressing)
+ [Ocultar um cluster de banco de dados em uma VPC da Internet](#USER_VPC.Hiding)
+ [Criar um cluster de banco de dados em uma VPC](#USER_VPC.InstanceInVPC)
Nos tutoriais a seguir, você pode aprender a criar uma VPC a ser usar para um cenário comum do Amazon Aurora:
+ [Tutorial: Criar uma VPC para usar com um cluster de banco de dados (somente IPv4)](CHAP_Tutorials.WebServerDB.CreateVPC.md)
+ [Tutorial: Criar uma VPC para uso com um cluster de banco de dados (modo de pilha dupla)](CHAP_Tutorials.CreateVPCDualStack.md)
## Trabalhar com um cluster de banco de dados em uma VPC
Veja a seguir algumas dicas sobre como trabalhar com um cluster de banco de dados em uma VPC:
+ A VPC deve ter pelo menos duas sub-redes. Essas sub-redes devem estar em duas zonas de disponibilidade diferentes na Região da AWS onde você deseja implantar o cluster de banco de dados. Uma *sub-rede* é um segmento do intervalo de endereços IP de uma VPC que você pode especificar e que permite agrupar clusters com base nas suas necessidades operacionais e de segurança.
+ Se quiser que seu cluster de banco de dados na VPC seja publicamente acessível, você deverá habilitar os atributos *DNS hostnames* (Nomes de host de DNS) e *DNS resolution* (Resolução de DNS).
+ Sua VPC deve ter um grupo de sub-redes de banco de dados que você criou. Crie um grupo de sub-redes de banco de dados especificando as sub-redes criadas. O Amazon Aurora escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar à instância de banco de dados primária no cluster de banco de dados. A instância de banco de dados primária usa a zona de disponibilidade que contém a sub-rede.
+ Sua VPC deve ter um grupo de segurança de VPC que permita o acesso ao cluster de banco de dados.
Para ter mais informações, consulte [Cenários para acessar um cluster de banco de dados em uma VPC](USER_VPC.Scenarios.md).
+ Os blocos CIDR em cada uma das suas sub-redes devem ser suficientemente grandes para acomodar endereços IP sobressalentes para o Amazon Aurora usar durante atividades de manutenção, incluindo failover e escalabilidade de computação. Por exemplo, um intervalo como 10.0.0.0/24 e 10.0.1.0/24 normalmente é grande o suficiente.
+ Uma VPC pode ter um atributo *instance tenancy* (locação de instâncias) com o valor *default* (padrão) ou *dedicated* (dedicado). Todas as VPC padrão têm o atributo de locação de instâncias definido como padrão, e uma VPC padrão pode oferecer suporte a qualquer classe de instância de banco de dados.
Se você optar por ter seu cluster de banco de dados em uma VPC dedicada em que o atributo de locação de instâncias esteja definido como dedicado, a classe de seu cluster de banco de dados deverá ser um dos tipos aprovados de instância dedicada do Amazon EC2. Por exemplo, a instância dedicada r5.large do EC2 corresponde à classe de instância de banco de dados db.r5.large. Para obter informações sobre a locação de instâncias em uma VPC, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) no *Guia do usuário do Amazon Elastic Compute Cloud*.
Consulte mais informações sobre os tipos de instância que podem estar em uma instância dedicada em [Instâncias dedicadas do Amazon EC2](https://aws.amazon.com/ec2/purchasing-options/dedicated-instances/), na página de preços do Amazon EC2.
**nota**
Quando você define o atributo de locação de instâncias como dedicado para um cluster de banco de dados, ele não garante que esse cluster terá execução em um host dedicado.
## Controle de criptografia da VPC
Os controles de criptografia da VPC permitem que você aplique a criptografia em trânsito para todo o tráfego de rede em suas VPCs. Use o controle de criptografia para atender aos requisitos de conformidade regulatória, garantindo que somente hardware baseado em Nitro habilitado para criptografia possa ser provisionado em VPCs designadas. O controle de criptografia também detecta problemas de compatibilidade no momento da solicitação da API, e não durante o provisionamento. Suas workloads existentes continuam funcionando e somente novas solicitações incompatíveis são bloqueadas.
Defina seus controles de criptografia de VPC definindo o modo de controle de VPC como:
+ *desabilitado* (padrão)
+ *monitorar o*
+ *imposta*
Para conferir o modo de controle atual da sua VPC, use o comando Console de gerenciamento da AWS da CLI ou da API [DescribeVpcs](https://docs.aws.amazon.com//AWSEC2/latest/APIReference/API_DescribeVpcs.html).
Se sua VPC impõe criptografia, você só pode provisionar clusters de banco de dados com base em Nitro que aceitem criptografia em trânsito nessa VPC. Para obter mais informações, consulte, [Tipos de classe de instância de banco de dados](Concepts.DBInstanceClass.Types.md). Para acessar informações sobre instâncias Nitro, consulte [Instâncias baseadas no AWS Sistema Nitro](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html) no *Guia do usuário do Amazon EC2*.
**nota**
Se você tentar provisionar clusters de banco de dados incompatíveis em uma VPC com criptografia imposta, o Aurora exibirá uma exceção `VpcEncryptionControlViolationException`.
Para Aurora Serverless para MySQL e PostreSQL, o controle de criptografia requer a versão da plataforma 3 ou posterior.
## Trabalhar com grupos de sub-redes de banco de dados
*Sub-redes* são segmentos do intervalo de endereços IP de uma VPC que você designa para agrupar seus recursos com base em necessidades operacionais e de segurança. Um *grupo de sub-redes de banco de dados* é uma coleção de sub-redes (geralmente privadas) que você cria em uma VPC e designa para seus clusters de banco de dados. Ao usar um grupo de sub-redes de banco de dados, você pode especificar uma VPC específica ao criar clusters de banco de dados usando a AWS CLI ou a API. Se você usar o console, poderá escolher somente a VPC e os grupos de sub-redes que deseja usar.
Cada grupo de sub-redes de banco de dados deve ter sub-redes em pelo menos duas zonas de disponibilidade em determinada Região da AWS. Ao criar um cluster de banco de dados em uma VPC, escolha um grupo de sub-redes de banco de dados. Do grupo de sub-rede de banco de dados, o Amazon Aurora escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar à instância de banco de dados primáriaà instância de banco de dados no cluster de banco de dados. O banco de dados usa a zona de disponibilidade que contém a sub-rede. O Aurora sempre atribui um endereço IP de uma sub-rede que tem espaço de endereço IP livre.
As sub-redes em um grupo de sub-redes de banco de dados são públicas ou privadas. As sub-redes são públicas ou privadas, dependendo da configuração definida para as listas de controle de acesso à rede (ACLs de rede) e tabelas de roteamento. Para que um cluster de banco de dados seja acessível ao público, todas as sub-redes em seu grupo de sub-redes de banco de dados devem ser públicas. Se uma sub-rede associada a um cluster de banco de dados acessível ao público mudar de pública para privada, ela poderá afetar a disponibilidade do cluster de banco de dados.
Para criar um grupo de sub-redes de banco de dados que seja compatível com o modo de pilha dupla, verifique se cada sub-rede adicionada ao grupo de sub-redes de banco de dados tem um bloco CIDR do Internet Protocol versão 6 (IPv6) associado a ele. Para ter mais informações, consulte [Endereçamento IP do Amazon Aurora](#USER_VPC.IP_addressing) e [Migrar para IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) no *Guia do usuário da Amazon VPC.*
Quando o Amazon Aurora cria um cluster de banco de dados em uma VPC, ele atribui uma interface de rede ao seu cluster de banco de dados usando um endereço IP do seu grupo de sub-redes de banco de dados. No entanto, é altamente recomendável que você use o Sistema de Nomes de Domínio (DNS) para se conectar ao seu cluster de banco de dados. Recomendamos isso porque o endereço IP subjacente muda durante o failover.
**nota**
Para cada cluster de banco de dados executado em uma VPC, é necessário reservar pelo menos um endereço em cada sub-rede no grupo de sub-redes de banco de dados para uso pelo Amazon Aurora para ações de recuperação.
## Sub-redes compartilhadas
Você pode criar um cluster de banco de dados em uma VPC compartilhada.
Algumas considerações que você deve ter em mente ao usar VPCs compartilhadas:
+ Você pode mover um cluster de banco de dados de uma sub-rede de VPC compartilhada para uma sub-rede de VPC não compartilhada e vice-versa.
+ Os participantes de uma VPC compartilhada devem criar um grupo de segurança na VPC para permitir que criem um cluster de banco de dados.
+ Proprietários e participantes de uma VPC compartilhada podem acessar o banco de dados usando consultas SQL. No entanto, somente o criador de um recurso pode fazer chamadas de API no recurso.
## Endereçamento IP do Amazon Aurora
Os endereços IP habilitam recursos na sua VPC para se comunicar com outros e com recursos na Internet. O Amazon Aurora comporta protocolos de endereçamento IPv4 e IPv6. Por padrão, o Amazon Aurora e a Amazon VPC usam o protocolo de endereçamento IPv4. Você não pode desativar esse comportamento. Ao criar uma VPC, especifique um bloco CIDR IPv4 (um intervalo de endereços IPv4 privados). Você também pode atribuir um bloco CIDR IPv6 à VPC e às sub-redes, bem como endereços IPv6 desse bloco a clusters de banco de dados em sua sub-rede.
A compatibilidade com o protocolo IPv6 expande o número de endereços IP compatíveis. Ao usar o protocolo IPv6, você tem a garantia de que terá endereços disponíveis suficientes para o crescimento futuro da Internet. Os recursos do RDS novos e existentes podem usar endereços IPv4 e IPv6 na VPC. Configurar, proteger e converter o tráfego de rede entre os dois protocolos usados em diferentes partes de uma aplicação pode causar sobrecarga operacional. Você pode padronizar o protocolo IPv6 para recursos do Amazon RDS a fim de simplificar sua configuração de rede.
**Topics**
+ [Endereços IPv4](#USER_VPC.IP_addressing.IPv4)
+ [Endereços IPv6](#USER_VPC.IP_addressing.IPv6)
+ [Modo de pilha dupla](#USER_VPC.IP_addressing.dual-stack-mode)
### Endereços IPv4
Quando você cria uma VPC, é necessário especificar um intervalo de endereços IPv4 para a VPC em forma de um bloco CIDR, como `10.0.0.0/16`. m *grupo de sub-redes de banco de dados* define o intervalo de endereços IP nesse bloco CIDR que um cluster de banco de dados pode usar. Esses endereços IP podem ser públicos ou privados.
Um endereço IPv4 privado é um endereço IP que não é acessível pela Internet. Você pode usar endereços IPv4 privados para comunicação entre o cluster de banco de dados e outros recursos, como instâncias do Amazon EC2, na mesma VPC. Cada cluster de banco de dados tem um endereço IP privado para comunicação na VPC.
Um endereço IP público é um endereço IPv4 acessível pela Internet. Você pode usar endereços públicos para comunicação entre o cluster de banco de dados e os recursos na Internet, como um cliente SQL. Você controla se o cluster de banco de dados recebe um endereço IP público.
O Amazon RDS usa endereços IPv4 elásticos públicos do grupo de endereços IPv4 públicos do EC2 para instâncias de banco de dados acessíveis ao público. Esses endereços IP são visíveis em sua conta da AWS ao usar a `describe-addresses` CLI e a API ou ao visualizar a seção IPs elásticos (EIPs) no Console de gerenciamento da AWS. Cada endereço IP gerenciado pelo RDS é marcado com um atributo `service_managed` definido como `"rds"`.
Embora esses IPs estejam visíveis em sua conta, eles continuam sendo totalmente gerenciados pelo Amazon RDS e não podem ser modificados ou liberados. O Amazon RDS libera IPs de volta ao grupo de endereços IPv4 públicos quando eles não estão mais em uso.
O CloudTrail registra em log chamadas de API relacionadas a EIPs do RDS, como `AllocateAddress`. Essas chamadas de API são invocadas pela entidade principal de serviço `rds.amazonaws.com`.
**nota**
Os IPs alocados pelo Amazon RDS não são contabilizados nos limites de EIPs da sua conta.
Para ver um tutorial que mostra como criar uma VPC somente com endereços IPv4 privados que você pode usar para um cenário comum do Amazon Aurora, consulte [Tutorial: Criar uma VPC para usar com um cluster de banco de dados (somente IPv4)](CHAP_Tutorials.WebServerDB.CreateVPC.md).
### Endereços IPv6
Como opção, você pode associar um bloco CIDR IPv6 a sua VPC e sub-redes e atribuir endereços IPv6 desse bloco a recursos em sua VPC. Todo endereço IPv6 é globalmente exclusivo.
O bloco CIDR IPv6 da VPC é automaticamente atribuído do grupo de endereços IPv6 da Amazon. Você não pode escolher o intervalo.
Ao se conectar a um endereço IPv6, verifique se as seguintes condições são atendidas:
+ O cliente está configurado para que o tráfego do cliente para o banco de dados via IPv6 seja permitido.
+ Os grupos de segurança do RDS usados pela instância de banco de dados estão configurados corretamente para que o tráfego do cliente para o banco de dados via IPv6 seja permitido.
+ A pilha do sistema operacional do cliente permite tráfego no endereço IPv6, e os drivers e bibliotecas do sistema operacional estão configurados para escolher o endpoint de instância de banco de dados padrão correto (IPv4 ou IPv6).
Para ter mais informações sobre IPv6, consulte [Endereçamento IP](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) no *Guia do usuário da Amazon VPC*.
### Modo de pilha dupla
Um cluster de banco de dados é executado no modo de pilha dupla quando consegue se comunicar pelos protocolos de endereçamento IPv4 e IPv6. Os recursos podem então se comunicar com o cluster de banco de dados usando IPv4, IPv6 ou ambos os protocolos. As instâncias de banco de dados privadas do modo de pilha dupla têm endpoints IPv6 aos quais o RDS concede somente acesso à VPC, garantindo que seus endpoints IPv6 permaneçam privados. As instâncias de banco de dados no modo de pilha dupla pública oferecem endpoints IPv4 e IPv6 endpoints que podem ser acessados pela internet.
**Topics**
+ [Modo de pilha dupla e grupos de sub-redes de banco de dados](#USER_VPC.IP_addressing.dual-stack-db-subnet-groups)
+ [Trabalhar com instâncias de banco de dados de modo de pilha de dupla](#USER_VPC.IP_addressing.dual-stack-working-with)
+ [Modificar clusters de banco de dados somente IPv4 para usar o modo de pilha dupla](#USER_VPC.IP_addressing.dual-stack-modifying-ipv4)
+ [Disponibilidade de clusters de banco de dados de rede de pilha dupla](#USER_VPC.IP_addressing.dual-stack-availability)
+ [Limitações para clusters de banco de dados de rede de pilha dupla](#USER_VPC.IP_addressing.dual-stack-limitations)
Para ver um tutorial que mostra como criar uma VPC com endereços IPv4 e IPv6 que você pode usar para um cenário comum do Amazon Aurora, consulte [Tutorial: Criar uma VPC para uso com um cluster de banco de dados (modo de pilha dupla)](CHAP_Tutorials.CreateVPCDualStack.md).
#### Modo de pilha dupla e grupos de sub-redes de banco de dados
Para usar o modo de pilha dupla, verifique se cada sub-rede no grupo de sub-redes de banco de dados que você associa ao cluster de banco de dados tem um bloco CIDR IPv6 associado a ela. Você pode criar um grupo de sub-redes de banco de dados ou modificar um existente para atender a esse requisito. Depois que um cluster de banco de dados entra no modo de pilha dupla, os clientes podem se conectar normalmente. Os firewalls de segurança do cliente e os grupos de segurança de instâncias de banco de dados do RDS devem ser configurados com precisão para permitir tráfego por IPv6. Para se conectar, os clientes usam o endpoint da instância primária do cluster de banco de dados. As aplicações cliente podem especificar qual protocolo é o preferencial ao se conectar a um banco de dados. No modo de pilha dupla, o cluster de banco de dados detecta o protocolo de rede de preferência do cliente, IPv4 ou IPv6, e o usa para a conexão.
Se um grupo de sub-redes de banco de dados deixar de ser compatível com o modo de pilha dupla devido à exclusão de sub-rede ou desassociação do CIDR, existe o risco de um estado de rede incompatível para instâncias de banco de dados associadas ao grupo de sub-redes de banco de dados. Além disso, não é possível usar o grupo de sub-redes de banco de dados ao criar um novo cluster de banco de dados do modo de pilha dupla.
Para determinar se um grupo de sub-redes de banco de dados é compatível com o modo de pilha dupla usando o Console de gerenciamento da AWS, visualize o **Network type** (Tipo de rede) na página de detalhes do grupo de sub-redes de banco de dados. Para determinar se um grupo de sub-redes de banco de dados comporta o modo de pilha dupla usando a AWS CLI, execute o comando [describe-db-subnet-groups](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-subnet-groups.html) e visualize `SupportedNetworkTypes` na saída.
As réplicas de leitura são tratadas como instâncias de banco de dados independentes e podem ter um tipo de rede diferente da instância de banco de dados primária. Se você alterar o tipo de rede da instância de banco de dados primária de uma réplica de leitura, esta não será afetada. Você pode restaurar uma instância de banco de dados para qualquer tipo de rede compatível.
#### Trabalhar com instâncias de banco de dados de modo de pilha de dupla
Ao criar ou modificar um cluster de banco de dados, você pode especificar o modo de pilha dupla para permitir que os recursos se comuniquem com o cluster de banco de dados por IPv4, IPv6 ou ambos.
Ao usar o Console de gerenciamento da AWS para criar ou modificar uma instância de banco de dados, você pode especificar o modo de pilha dupla na seção **Network type** (Tipo de rede). A imagem a seguir mostra a seção **Network type** (Tipo de rede) no console.
![\[Seção Tipo de rede no console com o Modo de pilha dupla selecionado.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/dual-stack-mode.png)
Ao usar a AWS CLI para criar ou modificar um cluster de banco de dados, defina a opção `--network-type` como `DUAL` para usar o modo de pilha dupla. Ao usar a API do RDS para criar ou modificar um cluster de banco de dados, defina o parâmetro `NetworkType` como `DUAL` para usar o modo de pilha dupla. Quando você estiver modificando o tipo de rede de uma instância de banco de dados, é possível que ocorra tempo de inatividade. Se o modo de pilha dupla não for compatível com a versão do mecanismo de banco de dados especificado nem com o grupo de sub-redes de banco de dados, o erro `NetworkTypeNotSupported` será retornado.
Para ter mais informações sobre como criar um cluster de banco de dados, consulte [Criar um cluster de bancos de dados do Amazon Aurora](Aurora.CreateInstance.md). Para ter mais informações sobre como modificar um cluster de banco de dados, consulte [Modificar um cluster de bancos de dados Amazon Aurora](Aurora.Modifying.md).
Para determinar se um cluster de banco de dados está no modo de pilha dupla usando o console, visualize o **Network type** (Tipo de rede) na guia **Connectivity & security** (Conectividade e segurança) para o cluster de banco de dados.
#### Modificar clusters de banco de dados somente IPv4 para usar o modo de pilha dupla
Você pode modificar clusters de banco de dados somente IPv4 para usar o modo de pilha dupla. Para isso, altere o tipo de rede do cluster de banco de dados. A modificação pode ocasionar tempo de inatividade.
É recomendável que você altere o tipo de rede dos clusters do Amazon Aurora durante uma janela de manutenção. No momento, não é possível definir o tipo de rede de novas instâncias para o modo de pilha dupla. É possível definir o tipo de rede manualmente usando o comando `modify-db-cluster`.
Antes de modificar um cluster de banco de dados para usar o modo de pilha dupla, verifique se seu grupo de sub-redes de banco de dados é compatível com o modo de pilha dupla. Se o grupo de sub-redes de banco de dados associado ao cluster de banco de dados não for compatível com o modo de pilha dupla, ao modificar o cluster de banco de dados especifique um grupo de sub-redes de banco de dados diferente que seja compatível. Modificar o grupo de sub-redes de banco de dados de um cluster de banco de dados pode ocasionar tempo de inatividade.
Se você modificar o grupo de sub-redes de banco de dados de um cluster de banco de dados antes de alterar o cluster de banco de dados para usar o modo de pilha dupla, verifique se o grupo de sub-redes de banco de dados é válido para o cluster de banco de dados antes e depois da alteração.
Recomendamos que você execute a API [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html) apenas com o parâmetro `--network-type` com valor `DUAL` para alterar a rede de um cluster do Amazon Aurora para o modo de pilha dupla. Adicionar outros parâmetros com o parâmetro `--network-type` na mesma chamada de API pode ocasionar tempo de inatividade.
Se você não conseguir se conectar ao cluster de banco de dados após a alteração, verifique se os firewalls de segurança do cliente e do banco de dados e as tabelas de rotas estão configurados com precisão para permitir tráfego para o banco de dados na rede selecionada (IPv4 ou IPv6). Você também pode precisar modificar parâmetros, bibliotecas ou drivers do sistema operacional para se conectar por meio de um endereço IPv6.
**Como modificar clusters de banco de dados somente IPv4 para usar o modo de pilha dupla**
1. Modifique um grupo de sub-redes de banco de dados para ser compatível com o modo de pilha dupla ou crie um grupo de sub-redes de banco de dados que seja compatível com esse modo:
1. Associe um bloco CIDR IPv6 à VPC.
Para obter instruções, consulte [Adicionar um bloco CIDR IPv6 a sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/modify-vpcs.html#vpc-associate-ipv6-cidr) no *Manual do usuário do Amazon VPC*.
1. Anexe o bloco CIDR IPv6 a todas as sub-redes do grupo de sub-redes do banco de dados.
Para obter instruções, consulte [Adicionar um bloco CIDR IPv6 a sua sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/modify-subnets.html#subnet-associate-ipv6-cidr) no *Manual do usuário do Amazon VPC*.
1. Verifique se o grupo de sub-redes de banco de dados é compatível com o modo de pilha dupla.
Se você estiver usando o Console de gerenciamento da AWS, selecione o grupo de sub-redes de banco de dados e verifique se o valor **Supported network types** (Tipos de rede compatíveis) é **Dual, IPv4** (Duplo, IPv4).
Se estiver usando a AWS CLI, execute o comando [describe-db-subnet-groups](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-subnet-groups.html) e verifique se o valor `SupportedNetworkType` para a instância de banco de dados é `Dual, IPv4`.
1. Modifique o grupo de segurança associado ao cluster de banco de dados para permitir conexões IPv6 com o banco de dados ou crie um grupo de segurança que permita conexões IPv6.
Para obter instruções, consulte [Regras do grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) no *Guia do usuário da Amazon VPC*.
1. Modifique o cluster de banco de dados para oferecer suporte ao modo de pilha dupla. Para fazer isso, defina a opção **Network type** (Tipo de rede) como **Dual-stack mode** (Modo de pilha dupla).
Se você estiver usando o console, verifique se as seguintes configurações estão corretas:
+ **Network type** (Tipo de rede): **Dual-stack mode** (Modo de pilha dupla).
![\[Seção Tipo de rede no console com o Modo de pilha dupla selecionado.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/dual-stack-mode.png)
+ **DB subnet group** (Grupo de sub-redes do banco de dados): o grupo de sub-redes de banco de dados que você configurou em uma etapa anterior
+ **Security group** (Grupo de segurança): o grupo de segurança que você configurou em uma etapa anterior.
Se você estiver usando a AWS CLI, verifique se as seguintes configurações estão corretas:
+ `--network-type` – `dual`
+ `--db-subnet-group-name`: o grupo de sub-redes de banco de dados que você configurou em uma etapa anterior
+ `--vpc-security-group-ids`: o grupo de segurança da VPC que você configurou em uma etapa anterior.
Por exemplo:
```
aws rds modify-db-cluster --db-cluster-identifier my-cluster --network-type "DUAL"
```
1. Verifique se o cluster de banco de dados é compatível com o modo de pilha dupla.
Se estiver usando o console, selecione a guia **Configuration** (Configuração) para o cluster de banco de dados. Nessa guia, verifique se o valor de **Network type** (Tipo de rede) é **Dual-stack mode** (Modo de pilha dupla).
Se estiver usando a AWS CLI, execute o comando [describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html) e verifique se o valor `NetworkType` para o cluster de banco de dados é `dual`.
Execute o comando `dig` no endpoint da instância de banco de dados gravadora para identificar o endereço IPv6 associado a ele.
```
dig db-instance-endpoint AAAA
```
Use o endpoint da instância de banco de dados de gravador, não o endereço IPv6, para se conectar ao cluster de banco de dados.
#### Disponibilidade de clusters de banco de dados de rede de pilha dupla
Os clusters de banco de dados de rede de pilha dupla estão disponíveis em todas as Regiões da AWS, exceto nas seguintes:
+ Ásia-Pacífico (Hyderabad)
+ Ásia-Pacífico (Malásia)
+ Ásia-Pacífico (Melbourne)
+ Ásia-Pacífico (Tailândia)
+ Oeste do Canadá (Calgary)
+ Europa (Espanha)
+ Europa (Zurique)
+ Israel (Tel Aviv)
+ México (Centro)
+ Oriente Médio (Emirados Árabes Unidos)
As seguintes versões do mecanismo de banco de dados são compatíveis com clusters de banco de dados de rede de pilha dupla:
+ Versões do Aurora MySQL:
+ Versão 3.02 e versões 3 posteriores
+ Versão 2.09.1 e versões 2 posteriores
Para ter mais informações sobre as versões do Aurora MySQL, consulte as [https://docs.aws.amazon.com/AmazonRDS/latest/AuroraMySQLReleaseNotes/Welcome.html](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraMySQLReleaseNotes/Welcome.html) (Notas de lançamento do Aurora MySQL).
+ Versões do Aurora PostgreSQL:
+ 15.2 e todas as versões posteriores
+ Versão 14.3 e versões 14 posteriores
+ Versão 13.7 e versões 13 posteriores
Para ter mais informações sobre as versões do Aurora PostgreSQL, consulte as [https://docs.aws.amazon.com/AmazonRDS/latest/AuroraPostgreSQLReleaseNotes/Welcome.html](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraPostgreSQLReleaseNotes/Welcome.html) (Notas de lançamento do Aurora PostgreSQL).
#### Limitações para clusters de banco de dados de rede de pilha dupla
As seguintes limitações se aplicam aos clusters de banco de dados de rede de pilha dupla:
+ Clusters de banco de dados não podem usar o protocolo IPv6 exclusivamente. É possível usar IPv4 exclusivamente ou o protocolo IPv4 e IPv6 (modo de pilha dupla).
+ O Amazon RDS não é compatível com sub-redes IPv6 nativas.
+ Você não pode usar o RDS Proxy com clusters de banco de dados do modo de pilha dupla.
## Ocultar um cluster de banco de dados em uma VPC da Internet
Um cenário comum do Amazon Aurora é ter uma VPC na qual exista uma instância do Amazon EC2 com uma aplicação web voltada para o público e um cluster de banco de dados com um banco de dados não acessível ao público. Por exemplo, você pode criar uma VPC que tenha uma sub-rede pública e uma sub-rede privada. As instâncias do EC2 que funcionam como servidores Web podem ser implantadas na sub-rede pública. os clusters de banco de dados são implantados na sub-rede privada. Nessa implantação, apenas os servidores Web têm acesso aos clusters de banco de dados. Para obter uma ilustração desse cenário, consulte [Um cluster de banco de dados em uma VPC acessada por uma instância do Amazon EC2 na mesma VPC.](USER_VPC.Scenarios.md#USER_VPC.Scenario1).
Quando você inicia um cluster de banco de dados dentro de uma VPC, o cluster de banco de dados tem um endereço IP privado para tráfego dentro da VPC. Esse endereço IP privado não é acessível ao público geral. Você pode usar a opção **Public access** (Acesso público) para designar se o cluster de banco de dados também deve ter um endereço IP público além do endereço IP privado. Se o cluster de banco de dados for acessível ao público, seu endpoint DNS resolverá para o endereço IP privado de dentro da VPC. Ele é resolvido para o endereço IP público de fora da VPC. O acesso ao cluster de banco de dados é controlado em última análise pelo grupo de segurança usado. Esse acesso público não será permitido se o grupo de segurança atribuído ao cluster de banco de dados não incluir regras de entrada que permitam isso. Além disso, para que um cluster de banco de dados seja acessível publicamente, as sub-redes no grupo de sub-redes de banco de dados devem ter um gateway da Internet. Para ter mais informações, consulte [Não é possível conectar-se à instância de banco de dados do Amazon RDS](CHAP_Troubleshooting.md#CHAP_Troubleshooting.Connecting).
Você pode modificar um cluster de banco de dados para ativar ou desativar a acessibilidade ao público geral modificando a opção **Public access** (Acesso público). A ilustração a seguir mostra a opção **Public access (Acesso público)** na seção **Additional connectivity configuration (Configuração de conectividade adicional)**. Para definir a opção, abra a seção **Additional connectivity configuration (Configuração de conectividade adicional)** na seção **Connectivity (Conectividade)**.
![\[Defina a opção Acesso público do banco de dados na seção Configuração de conectividade adicional como Não.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/VPC-example4.png)
Para obter informações sobre como modificar uma instância de banco de dados para definir a opção de **Public access (Acesso público)**, consulte [Modificar uma instância de banco de dados em um cluster de banco de dados](Aurora.Modifying.md#Aurora.Modifying.Instance).
## Criar um cluster de banco de dados em uma VPC
Os procedimentos a seguir ajudam você a criar um cluster de banco de dados em uma VPC. Para usar a VPC padrão, você pode começar na etapa 2 e usar a VPC e o grupo de sub-redes de banco de dados que já foram criados para você. Se quiser criar uma VPC adicional, você poderá criar uma nova VPC.
**nota**
Se você deseja que seu cluster de banco de dados na VPC seja acessível ao público geral, atualize as informações de DNS da VPC, habilitando os atributos *DNS hostnames* (Nomes de host de DNS) e *DNS resolution* (Resolução de DNS). Para obter informações sobre como atualizar as informações de DNS para uma instância de VPC, consulte [Atualização do suporte a DNS para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html).
Siga estas etapas para criar uma instância de banco de dados em uma VPC:
+ [Etapa 1: Criar uma VPC](#USER_VPC.CreatingVPC)
+ [Etapa 2: Criar um grupo de sub-redes de banco de dados](#USER_VPC.CreateDBSubnetGroup)
+ [Etapa 3: Criar um grupo de segurança da VPC](#USER_VPC.CreateVPCSecurityGroup)
+ [Etapa 4: Criar uma instância de banco de dados na VPC](#USER_VPC.CreateDBInstanceInVPC)
### Etapa 1: Criar uma VPC
Crie uma VPC com duas sub-redes em pelo menos duas zonas de disponibilidade. Você usará essas sub-redes ao criar um grupo de sub-redes de banco de dados. Se você tiver uma VPC padrão, uma sub-rede será criada automaticamente para você em cada zona de disponibilidade na Região da AWS.
Para ter mais informações, consulte [Criar uma VPC com sub-redes públicas e privadas](CHAP_Tutorials.WebServerDB.CreateVPC.md#CHAP_Tutorials.WebServerDB.CreateVPC.VPCAndSubnets) ou [Criar uma VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) no *Guia do usuário da Amazon VPC*.
### Etapa 2: Criar um grupo de sub-redes de banco de dados
Um grupo de sub-redes de banco de dados é uma coleção de sub-redes (geralmente privadas) que você cria para uma VPC e designa aos seus clusters de banco de dados. Um grupo de sub-redes de banco de dados permite que você especifique uma VPC particular ao criar clusters de banco de dados usando a AWS CLI ou a API do RDS. Se você usar o console, poderá escolher somente a VPC e as sub-redes que deseja usar. Cada grupo de sub-redes de banco de dados deve ter pelo menos uma sub-rede em pelo menos duas zonas de disponibilidade na Região da AWS. Como prática recomendada, cada grupo de sub-redes de banco de dados deve ter no mínimo uma sub-rede para cada zona de disponibilidade na Região da AWS.
Para que um cluster de banco de dados seja acessível publicamente, as sub-redes no grupo de sub-redes de banco de dados devem ter um gateway da Internet. Para ter mais informações sobre gateways da Internet para sub-redes, consulte [“Estabelecer conexão com a Internet usando um gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) no *Manual do usuário da Amazon VPC*.
Ao criar um cluster de banco de dados em uma VPC, você pode escolher um grupo de sub-redes de banco de dados. O Amazon Aurora escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar ao cluster de banco de dados. Se não houver nenhum grupo de sub-redes de banco de dados, o Amazon Aurora criará um grupo de sub-redes padrão quando você criar um cluster de banco de dados. O Amazon Aurora cria e associa uma interface de rede elástica ao seu cluster de banco de dados com esse endereço IP. O cluster de banco de dados usa a zona de disponibilidade que contém a sub-rede.
Nesta etapa, você criará um grupo de sub-redes de banco de dados e adicionará as sub-redes criadas à sua VPC.
**Como criar um grupo de sub-redes de banco de dados**
1. Abra o console do Amazon RDS em [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. No painel de navegação, escolha **Subnet groups (Grupos de sub-redes)**.
1. Escolha **Create DB Subnet Group** (Criar grupo de sub-redes de banco de dados).
1. Em **Name (Nome)**, digite o nome do grupo de sub-redes de banco de dados.
1. Em **Description (Descrição)**, digite uma descrição para o grupo de sub-redes de banco de dados.
1. Para **VPC**, escolha a VPC padrão ou a VPC criada por você.
1. Na seção **Adicionar sub-redes**, escolha as zonas de disponibilidade que incluem as sub-redes de **Zonas de disponibilidade** e escolha as sub-redes de **Sub-redes**.
![\[Criar um grupo de sub-redes de banco de dados.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/RDSVPC101.png)
1. Escolha **Create** (Criar).
Seu novo grupo aparece na lista de grupos de sub-redes de banco de dados no console do RDS. Você pode selecionar o grupo de sub-redes de banco de dados para obter detalhes, incluindo todas as sub-redes associadas a esse grupo, no painel de detalhes, na parte inferior da janela.
### Etapa 3: Criar um grupo de segurança da VPC
Antes de criar um cluster de banco de dados, você pode criar um grupo de segurança da VPC para associar a esse cluster. Se você não criar um grupo de segurança da VPC, poderá usar o grupo de segurança padrão ao criar um cluster de banco de dados. Para obter instruções sobre como criar um grupo de segurança para o cluster de banco de dados, consulte [Criar um grupo de segurança da VPC para um cluster de banco de dados privada](CHAP_Tutorials.WebServerDB.CreateVPC.md#CHAP_Tutorials.WebServerDB.CreateVPC.SecurityGroupDB) ou [Controle o tráfego para recursos usando grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) no *Guia do usuário da Amazon VPC*.
### Etapa 4: Criar uma instância de banco de dados na VPC
Nessa etapa, você cria um cluster de banco de dados e usa o nome da VPC, o grupo de sub-redes de banco de dados e o grupo de segurança de VPC que você criou nas etapas anteriores.
**nota**
Se quiser que seu cluster de banco de dados na VPC seja acessível ao público geral, você deverá habilitar os atributos *DNS hostnames* (Nomes de host de DNS) e *DNS resolution* (Resolução de DNS). Para ter mais informações, consulte [Atributos de DNS para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) no *Guia do usuário da Amazon VPC*.
Para obter detalhes sobre como criar um cluster de banco de dados, consulte [Criar um cluster de bancos de dados do Amazon Aurora](Aurora.CreateInstance.md).
Quando solicitado na seção **Connectivity** (Conectividade), insira o nome da VPC, o grupo de sub-redes de banco de dados e o grupo de segurança da VPC.
**nota**
A atualização de VPCs não é compatível com clusters do Aurora no momento.
# Cenários para acessar um cluster de banco de dados em uma VPC
O Amazon Aurora é compatível com os seguintes cenários de acesso a um cluster de banco de dados em uma VPC:
+ [Uma instância do Amazon EC2 na mesma VPC](#USER_VPC.Scenario1)
+ [Uma instância do EC2 em uma VPC diferente](#USER_VPC.Scenario3)
+ [Uma aplicação cliente pela Internet](#USER_VPC.Scenario4)
+ [Uma rede privada](#USER_VPC.NotPublic)
## Um cluster de banco de dados em uma VPC acessada por uma instância do Amazon EC2 na mesma VPC.
Um uso comum de um cluster de banco de dados em uma VPC é compartilhar dados com um servidor de aplicações que está sendo executado em uma instância do Amazon EC2 na mesma VPC.
O diagrama a seguir mostra esse cenário.
![\[Cenário de VPC com um servidor Web público e um banco de dados privado.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/con-VPC-sec-grp-aurora.png)
A maneira mais simples de gerenciar o acesso entre instâncias do EC2 e clusters de banco de dados na mesma VPC é fazer o seguinte:
+ Crie um grupo de segurança de VPC no qual os seus clusters de banco de dados estarão. Esse grupo de segurança pode ser usado para restringir o acesso aos clusters de banco de dados. Por exemplo, você pode criar uma regra personalizada para esse grupo de segurança. Isso pode permitir o acesso TCP usando a porta que você atribuiu ao cluster de banco de dados quando a criou e um endereço IP para acessar o cluster de banco de dados para desenvolvimento ou outros fins.
+ Crie um grupo de segurança da VPC em que as suas instâncias do EC2 (servidores Web e clientes) estarão. Esse grupo de segurança pode, se necessário, permitir o acesso à instância do EC2 pela Internet usando a tabela de roteamento da VPC. Por exemplo, você pode definir regras nesse grupo de segurança para permitir o acesso TCP à instância do EC2 pela porta 22.
+ Crie regras personalizadas no grupo de segurança para seus clusters de banco de dados que permitam conexões do grupo de segurança que você criou para suas instâncias do EC2. Essas regras podem permitir que qualquer membro do grupo de segurança acesse os clusters de banco de dados.
Há uma sub-rede pública e privada adicional em uma zona de disponibilidade separada. Um grupo de sub-redes do banco de dados RDS exige uma sub-rede em, pelo menos, duas zonas de disponibilidade. A sub-rede adicional facilita a migração para uma implantação de instância de banco de dados multi-AZ no futuro.
Para um tutorial que mostra como criar uma VPC com sub-redes públicas e privadas para esse cenário, consulte [Tutorial: Criar uma VPC para usar com um cluster de banco de dados (somente IPv4)](CHAP_Tutorials.WebServerDB.CreateVPC.md).
**dica**
Você pode configurar a conectividade de rede entre uma instância do Amazon EC2 e um cluster de banco de dados automaticamente ao criar o cluster de banco de dados. Para obter mais informações, consulte [Configurar a conectividade automática de rede com uma instância do EC2](Aurora.CreateInstance.md#Aurora.CreateInstance.Prerequisites.VPC.Automatic) .
**Para criar uma regra em um grupo de segurança de VPC que permita conexões de outro grupo de segurança, faça o seguinte:**
1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc](https://console.aws.amazon.com/vpc).
1. No painel de navegação, selecione **Grupos de segurança**.
1. Escolha ou crie um grupo de segurança ao qual você deseja conceder acesso para membros de outro grupo de segurança. No cenário anterior, esse é o grupo de segurança usado para seus clusters de banco de dados. Vá para a guia **Inbound Rules** (Regras de entrada) e escolha **Edit rules** (Editar regras).
1. Na página **Edit inbound rules** (Editar regras de entrada), escolha **Add Rule** (Adicionar regra).
1. Em **Type** (Tipo), escolha a entrada que corresponde à porta usada ao criar seu cluster de banco de dados, como **MYSQL/Aurora**.
1. Na caixa **Origem**, comece a digitar o ID do grupo de segurança para listar os grupos de segurança correspondentes. Escolha o grupo de segurança com membros que você deseja que tenham acesso aos recursos protegidos por esse grupo de segurança. Esse é o grupo de segurança usado para sua instância do EC2 no cenário anterior.
1. Se necessário, repita as etapas para o protocolo TCP, criando uma regra com **Todos os TCP** como **Tipo** e seu grupo de segurança na caixa **Origem**. Se você pretende usar o protocolo UDP, crie uma regra com **All UDP** (Todos os UDP) como **Type** (Tipo) e seu grupo de segurança em **Source** (Origem).
1. Selecione **Salvar regras**.
A tela a seguir mostra uma regra de entrada com um grupo de segurança como origem.
![\[Adição de um grupo de segurança às regras de outro grupo de segurança.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/con-vpc-add-sg-rule.png)
Para ter mais informações sobre como se conectar ao cluster de banco de dados por meio da instância do EC2, consulte [Como conectar-se a um cluster de bancos de dados Amazon Aurora](Aurora.Connecting.md).
## Um cluster de banco de dados em uma VPC acessada por uma instância do EC2 em uma VPC diferente
Quando seu cluster de banco de dados está em uma VPC diferente da instância do EC2 que você está usando para acessá-la, você pode usar emparelhamento de VPC para acessar o cluster de banco de dados.
O diagrama a seguir mostra esse cenário.
![\[Uma instância de banco de dados em uma VPC acessada por uma instância do Amazon EC2 em uma VPC diferente.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/RDSVPC2EC2VPC-aurora.png)
Uma conexão de emparelhamento da VPC é uma conexão de redes entre duas VPCs que permite direcionar o tráfego entre elas usando endereços IP privados. Recursos em qualquer VPC podem se comunicar uns com os outros como se estivessem na mesma rede. É possível criar uma conexão de emparelhamento da VPC entre suas próprias VPCs, com uma VPC em outra conta da AWS ou com uma VPC em uma Região da AWS diferente. Para saber mais sobre o emparelhamento de VPCs, consulte [Emparelhamento de VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html), no *Guia do usuário do Amazon Virtual Private Cloud*.
## Um cluster de banco de dados em uma VPC acessada por uma aplicação cliente pela internet
Para acessar um cluster de banco de dados em uma VPC de uma aplicação cliente via Internet, configure uma VPC com uma sub-rede pública única e um gateway da Internet para permitir a comunicação pela Internet.
O diagrama a seguir mostra esse cenário.
![\[Um cluster de banco de dados em uma VPC acessada por uma aplicação cliente pela internet.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/GS-VPC-network-aurora.png)
Recomendamos a seguinte configuração:
+ Uma VPC de tamanho /16 (por exemplo, CIDR: 10.0.0.0/16). Esse tamanho fornece 65.536 endereços IP privados.
+ Uma sub-rede de tamanho /24 (por exemplo CIDR: 10.0.0.0/24). Esse tamanho fornece 256 endereços IP privados.
+ Um cluster associado do Amazon Aurora à VPC e à sub-rede. O Amazon RDS atribui um endereço IP da sub-rede ao seu cluster de banco de dados.
+ Um gateway da Internet que conecta a VPC à Internet e a outros produtos da AWS.
+ Um grupo de segurança associado com o cluster de banco de dados. As regras de entrada de grupo de segurança permitem que sua aplicação cliente acesse o seu cluster de banco de dados.
Para ter mais informações sobre como criar um cluster de banco de dados em uma VPC, consulte [Criar um cluster de banco de dados em uma VPC](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.InstanceInVPC).
## Um cluster de banco de dados em uma VPC acessado por uma rede privada
Se seu cluster de banco de dados não estiver acessível publicamente, você terá as seguintes opções para acessá-la a partir de uma rede privada:
+ Uma conexão AWS Site-to-Site VPN. Para ter mais informações, consulte [O que é o AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Uma conexão Direct Connect. Para obter mais informações, consulte [O que é o Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ Uma conexão AWS Client VPN. Para ter mais informações, consulte [O que é o AWS Client VPN?](https://docs.aws.amazon.com//vpn/latest/clientvpn-admin/what-is.html)
O diagrama a seguir mostra um cenário com uma conexão AWS Site-to-Site VPN.
![\[Clusters de banco de dados em uma VPC acessada por uma rede privada.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/site-to-site-vpn-connection-aurora.png)
Para obter mais informações, consulte [Privacidade do tráfego entre redes](inter-network-traffic-privacy.md).
# Tutorial: Criar uma VPC para usar com um cluster de banco de dados (somente IPv4)
Um cenário comum inclui um cluster de banco de dados em uma nuvem privada virtual (VPC) com base no serviço Amazon VPC. Essa VPC compartilha dados com um servidor Web em execução na mesma VPC. Neste tutorial, você cria a VPC para esse cenário.
O diagrama a seguir mostra esse cenário. Para obter informações sobre outros cenários, consulte [Cenários para acessar um cluster de banco de dados em uma VPC](USER_VPC.Scenarios.md).
![\[Cenário de VPC única\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/con-VPC-sec-grp-aurora.png)
Seu cluster de banco de dados só precisa estar disponível para seu servidor Web e não para a Internet pública. Assim, você cria uma VPC com sub-redes públicas e privadas. O servidor Web está hospedado na sub-rede pública, para que ele possa chegar à Internet pública. O cluster de banco de dados está hospedado em uma sub-rede privada. O servidor Web pode se conectar ao cluster de banco de dados porque ela está hospedado na mesma VPC. Mas o cluster de banco de dados não está disponível para a Internet pública, o que oferece maior segurança.
Esse tutorial configura uma sub-rede pública e privada adicional em uma zona de disponibilidade separada. Essas sub-redes não são usadas no tutorial. Um grupo de sub-redes do banco de dados RDS exige uma sub-rede em, pelo menos, duas zonas de disponibilidade. A sub-rede adicional facilita a configuração de mais de uma instância de banco de dados Aurora.
Este tutorial descreve como configurar uma VPC para clusters de bancos de dados Amazon Aurora. Para obter um tutorial que mostra como criar um servidor Web para esse cenário de VPC, consulte [Tutorial: crie um servidor Web e um cluster de banco de dados do Amazon Aurora](TUT_WebAppWithRDS.md). Para obter mais informações sobre uma Amazon VPC, consulte o [Guia de conceitos básicos da Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/) e [Guia do usuário da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
**dica**
Você pode configurar a conectividade de rede entre uma instância do Amazon EC2 e um cluster de banco de dados automaticamente ao criar o cluster de banco de dados. A configuração da rede é semelhante à descrita neste tutorial. Para obter mais informações, consulte [Configurar a conectividade automática de rede com uma instância do EC2](Aurora.CreateInstance.md#Aurora.CreateInstance.Prerequisites.VPC.Automatic).
## Criar uma VPC com sub-redes públicas e privadas
Use o seguinte procedimento para criar uma VPC com sub-redes públicas e privadas.
**Para criar uma VPC e sub-redes**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No canto superior direito do Console de gerenciamento da AWS, escolha a região na qual deseja criar sua VPC. Este exemplo usa a região Oeste dos EUA (Oregon).
1. No canto superior esquerdo, escolha **VPC dashboard** (Painel da VPC). Para começar a criar uma VPC, escolha **Create VPC** (Criar VPC).
1. Para **Resources to create** (Recursos a serem criados) em **VPC settings** (Configurações da VPC), escolha **VPC and more** (VPC e mais).
1. Para **VPC settings** (Configurações da VPC), defina os seguintes valores:
+ **Name tag auto-generation** (Geração automática da etiqueta de nome): **tutorial**
+ **IPv4 CIDR block** (Bloco CIDR IPv4): **10.0.0.0/16**
+ **IPv6 CIDR block** (Bloco CIDR IPv6): **No IPv6 CIDR Block** (Nenhum bloco CIDR IPv6)
+ **Tenancy** (Locação): **Default** (Padrão)
+ **Number of Availability Zones (AZs)** [Número de zonas de disponibilidade (AZs)]: **2**
+ **Customize AZs** (Personalizar AZs): mantenha os valores padrão.
+ **Number of public subnet** (Número de sub-redes públicas):**2**
+ **Number of private subnets** (Número de sub-redes privadas): **2**
+ **Customize subnets CIDR blocks** (Personalizar blocos CIDR de sub-redes): mantenha os valores padrão.
+ **NAT gateways (\$1)** (Gateways NAT (\$1)): **None** (Nenhum)
+ **VPC endpoints** (Endpoints da VPC): **None** (Nenhum)
+ **DNS options** (Opções de DNS): mantenha os valores padrão.
1. Escolha **Criar VPC**.
## Criar um grupo de segurança de VPC para um servidor Web público
Em seguida, você criará um grupo de segurança para acesso público. Para se conectar a instâncias públicas do EC2 em sua VPC, adicione regras de entrada ao seu grupo de segurança de VPC. Isso permite que o tráfego se conecte pela Internet.
**Para criar um grupo de segurança de VPC**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard (Painel da VPC)**, **Security Groups (Grupos de segurança)** e depois **Create grupo de segurança (Criar grupo de segurança)**.
1. Na página **Create grupo de segurança (Criar grupo de segurança)**, defina esses valores:
+ **Security group name (Nome do grupo de segurança:** **tutorial-securitygroup**
+ **Descrição:** **Tutorial Security Group**
+ **VPC:** escolha a VPC criada na etapa anterior; por exemplo, **vpc-*identifier* (tutorial-vpc)**
1. Adicione regras de entrada ao grupo de segurança.
1. Determine o endereço IP a ser usado para se conectar a instâncias do EC2 em sua VPC usando Secure Shell (SSH). Para determinar seu endereço IP público, em uma janela ou guia diferente do navegador, é possível usar o serviço em [https://checkip.amazonaws.com](https://checkip.amazonaws.com). Um exemplo de endereço IP: `203.0.113.25/32`.
Em muitos casos, você pode se conectar por meio de um provedor de serviços de Internet (ISP) ou atrás de um firewall sem um endereço IP estático. Se sim, especifique o intervalo de endereços IP utilizado por computadores cliente.
**Atenção**
Se usar `0.0.0.0/0` para acesso do SSH, você possibilitará que todos os endereços IP acessem suas instâncias públicas usando SSH. Essa abordagem é aceitável por um período curto em um ambiente de teste, mas não é seguro em ambientes de produção. Em produção, autorize somente um endereço IP específico ou um intervalo de endereços para acessar suas instâncias usando SSH.
1. Na seção **Regras de entrada**, escolha **Adicionar regra**.
1. Defina os valores a seguir para a sua nova regra de entrada, para possibilitar o acesso do SSH à sua instância do Amazon EC2. Se você fizer isso, poderá se conectar à sua instância do Amazon EC2 para instalar o servidor Web e outros utilitários. Você também se conecta à sua instância do EC2 para fazer upload de conteúdo para seu servidor Web.
+ **Digite:** **SSH**
+ **Origem:** o endereço IP ou o intervalo da etapa A, por exemplo: **203.0.113.25/32**.
1. Escolha **Add rule (Adicionar regra)**.
1. Defina os seguintes valores para a sua nova regra de entrada a fim de permitir o acesso HTTP ao servidor Web.
+ **Tipo:** **HTTP**
+ **Source (Origem:** **0.0.0.0/0**
1. Escolha **Create grupo de segurança** (Criar grupo de segurança) para criar o grupo de segurança.
Anote o ID do grupo de segurança porque você precisa dele posteriormente neste tutorial.
## Criar um grupo de segurança da VPC para um cluster de banco de dados privada
Para manter seu cluster de banco de dados particular, crie um segundo grupo de segurança para acesso privado. Para se conectar a clusters privados de banco de dados na VPC, você adiciona regras de entrada ao grupo de segurança da VPC que permitem o tráfego somente pelo seu servidor web.
**Para criar um grupo de segurança de VPC**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard (Painel da VPC)**, **Security Groups (Grupos de segurança)** e depois **Create grupo de segurança (Criar grupo de segurança)**.
1. Na página **Create grupo de segurança (Criar grupo de segurança)**, defina esses valores:
+ **Security group name (Nome do grupo de segurança:** **tutorial-db-securitygroup**
+ **Descrição:** **Tutorial DB Instance Security Group**
+ **VPC:** escolha a VPC criada na etapa anterior; por exemplo, **vpc-*identifier* (tutorial-vpc)**
1. Adicione regras de entrada ao grupo de segurança.
1. Na seção **Regras de entrada**, escolha **Adicionar regra**.
1. Defina os valores a seguir para a sua nova regra de entrada, para permitir o tráfego MySQL na porta 3306 de sua instância do Amazon EC2. Se fizer isso, você poderá se conectar de seu servidor Web ao seu cluster de banco de dados. Ao fazer isso, você poderá armazenar e recuperar dados de sua aplicação Web para seu banco de dados.
+ **Tipo:** **MySQL/Aurora**
+ **Source** (Origem): o identificador do grupo de segurança **tutorial-securitygroup** criado anteriormente neste tutorial; por exemplo, **sg-9edd5cfb**.
1. Escolha **Create grupo de segurança** (Criar grupo de segurança) para criar o grupo de segurança.
## Criar um grupo de sub-redes de banco de dados
Um *grupo de sub-redes de banco de dados* é uma coleção de sub-redes que você cria em uma VPC e depois designa para seus clusters de bancos de dados. Um grupo de sub-redes de banco de dados permite que você especifique uma VPC ao criar clusters de banco de dados.
**Como criar um grupo de sub-redes de banco de dados**
1. Identifique as sub-redes privadas do seu banco de dados na VPC.
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard** (Painel da VPC), depois selecione **Subnets** (Sub-redes).
1. Anote os IDs das sub-redes chamadas **tutorial-subnet-private1-us-west-2a** e **tutorial-subnet-private2-us-west-2b**.
Você precisará dos IDs de sub-rede ao criar seu grupo de sub-redes de banco de dados.
1. Abra o console do Amazon RDS em [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
Conecte-se ao console do Amazon RDS, não ao console da Amazon VPC.
1. No painel de navegação, escolha **Subnet groups (Grupos de sub-redes)**.
1. Escolha **Create DB Subnet Group** (Criar grupo de sub-redes de banco de dados).
1. Na página **Create DB subnet group (Criar grupo de sub-redes de banco de dados)**, defina esses valores em **Subnet group details (Detalhes do grupo de sub-redes)**:
+ **Nome:** **tutorial-db-subnet-group**
+ **Descrição:** **Tutorial DB Subnet Group**
+ **VPC:** **tutorial-vpc (vpc-*identifier*)**
1. Na seção **Adicionar sub-redes**, escolha **Zonas de disponibilidade** e **Sub-redes**.
Para este tutorial, escolha **us-west-2a** e **us-west-2b** para as **Availability Zones** (Zonas de disponibilidade). Para **Subnets** (Sub-redes), escolha as sub-redes privadas que você identificou na etapa anterior.
1. Escolha **Criar**.
Seu novo grupo aparece na lista de grupos de sub-redes de banco de dados no console do RDS. Você pode selecionar o grupo de sub-redes de banco de dados para visualizar detalhes no painel de detalhes na parte inferior da janela. Esses detalhes incluem todas as sub-redes associadas ao grupo.
**nota**
Se você criou essa VPC para concluir [Tutorial: crie um servidor Web e um cluster de banco de dados do Amazon Aurora](TUT_WebAppWithRDS.md), crie de cluster de banco de dados seguindo as instruções em [Criar um cluster de banco de dados do Amazon Aurora](CHAP_Tutorials.WebServerDB.CreateDBCluster.md).
## Como excluir a VPC
Depois de criar a VPC e outros recursos para este tutorial, você poderá excluí-los se deixarem de ser necessários.
**nota**
Se você incluiu recursos na VPC que criou para este tutorial, talvez seja necessário excluí-los para poder excluir a VPC. Por exemplo, esses recursos podem incluir instâncias do Amazon EC2 ou clusters de banco de dados do Amazon RDS. Para obter mais informações, consulte [Como excluir a sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting) no *Guia do usuário da Amazon VPC*.
**Para excluir uma VPC e recursos relacionados**
1. Exclua o grupo de sub-redes de banco de dados.
1. Abra o console do Amazon RDS em [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. No painel de navegação, escolha **Subnet groups (Grupos de sub-redes)**.
1. Selecione o grupo de sub-rede de banco de dados que deseja excluir, como, por exemplo, **tutorial-db-subnet-group**.
1. Escolha **Delete** (Excluir) e, em seguida, **Delete** (Excluir) na janela de confirmação.
1. Anote o ID da VPC.
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard** (Painel da VPC) e, em seguida, **VPCs**.
1. Na lista, identifique a VPC que criou, como **tutorial-vpc**.
1. Anote o **VPC ID** (ID da VPC) da VPC que você criou. Você precisará do ID da VPC nas etapas posteriores.
1. Exclua os grupos de segurança.
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard** (Painel da VPC) e, em seguida, **Security Groups** (Grupos de segurança).
1. Selecione o grupo de segurança para a instância de banco de dados do Amazon RDS, como, por exemplo, **tutorial-db-securitygroup**.
1. Em **Actions** (Ações), escolha **Delete grupo de seguranças** (Excluir grupos de segurança) e, depois, **Delete** (Excluir) na página de confirmação.
1. Na página **Security Groups** (Grupos de segurança), selecione o grupo de segurança para a instância do Amazon EC2, como, por exemplo, **tutorial-securitygroup**.
1. Em **Actions** (Ações), escolha **Delete grupo de seguranças** (Excluir grupos de segurança) e, depois, **Delete** (Excluir) na página de confirmação.
1. Exclua a VPC.
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard** (Painel da VPC) e, em seguida, **VPCs**.
1. Selecione a VPC que deseja excluir, como, por exemplo, **tutorial-vpc**.
1. Em **Actions (Ações)**, escolha **Delete VPC (Excluir a VPC)**.
A página de confirmação mostra outros recursos associados à VPC que também serão excluídos, incluindo as sub-redes associadas a ela.
1. Na página de confirmação, insira **delete** e, em seguida, escolha **Delete** (Excluir).
# Tutorial: Criar uma VPC para uso com um cluster de banco de dados (modo de pilha dupla)
Um cenário comum inclui um cluster de banco de dados em uma nuvem privada virtual (VPC) com base no serviço Amazon VPC. Essa VPC compartilha dados com uma instância pública do Amazon EC2 que está sendo executada na mesma VPC.
Neste tutorial, você criará a VPC para esse cenário que funciona com um banco de dados em execução no modo de pilha dupla. Modo de pilha dupla para permitir a conexão pelo protocolo de endereçamento IPv6. Para obter mais informações sobre endereçamento IP, consulte [Endereçamento IP do Amazon Aurora](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.IP_addressing).
Os clusters de rede de pilha dupla são compatíveis na maioria das regiões. Para obter mais informações, consulte [Disponibilidade de clusters de banco de dados de rede de pilha dupla](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.IP_addressing.dual-stack-availability). Para ver as limitações do modo de pilha dupla, consulte [Limitações para clusters de banco de dados de rede de pilha dupla](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.IP_addressing.dual-stack-limitations).
O diagrama a seguir mostra esse cenário.
![\[Cenário da VPC para o modo de pilha dupla\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/con-VPC-sec-grp-dual-stack-aurora.png)
Para obter informações sobre outros cenários, consulte [Cenários para acessar um cluster de banco de dados em uma VPC](USER_VPC.Scenarios.md).
Seu cluster de banco de dados só precisa estar disponível para sua instância do Amazon EC2 e não para a Internet pública. Assim, você cria uma VPC com sub-redes públicas e privadas. A instância do Amazon EC2 é hospedada na sub-rede pública, para que ela possa acessar a Internet pública. O cluster de banco de dados está hospedado em uma sub-rede privada. A instância do Amazon EC2 pode se conectar ao cluster de banco de dados porque ela está hospedada na mesma VPC. No entanto, o cluster de banco de dados não está disponível para a Internet pública, o que oferece maior segurança.
Esse tutorial configura uma sub-rede pública e privada adicional em uma zona de disponibilidade separada. Essas sub-redes não são usadas no tutorial. Um grupo de sub-redes do banco de dados RDS exige uma sub-rede em, pelo menos, duas zonas de disponibilidade. A sub-rede adicional facilita a configuração de mais de uma instância de banco de dados Aurora.
Para criar um cluster de banco de dados que use o modo de pilha dupla, especifique **Dual-stack mode** (Modo de pilha dupla) para a configuração **Network type** (Tipo de rede). Você também pode modificar um cluster de banco de dados com a mesma configuração. Para ter mais informações sobre como criar um cluster de banco de dados, consulte [Criar um cluster de bancos de dados do Amazon Aurora](Aurora.CreateInstance.md). Para ter mais informações sobre como modificar um cluster de banco de dados, consulte [Modificar um cluster de bancos de dados Amazon Aurora](Aurora.Modifying.md).
Este tutorial descreve como configurar uma VPC para clusters de bancos de dados Amazon Aurora. Para obter mais informações sobre o Amazon VPC, consulte o [Manual do usuário do Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
## Criar uma VPC com sub-redes públicas e privadas
Use o seguinte procedimento para criar uma VPC com sub-redes públicas e privadas.
**Para criar uma VPC e sub-redes**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No canto superior direito do Console de gerenciamento da AWS, escolha a região na qual deseja criar sua VPC. Este exemplo usa a região Leste dos EUA (Ohio).
1. No canto superior esquerdo, escolha **VPC dashboard** (Painel da VPC). Para começar a criar uma VPC, escolha **Create VPC** (Criar VPC).
1. Para **Resources to create** (Recursos a serem criados) em **VPC settings** (Configurações da VPC), escolha **VPC and more** (VPC e mais).
1. Para o restante de **VPC settings** (Configurações da VPC), defina os seguintes valores:
+ **Name tag auto-generation (Geração automática da etiqueta de nome** – **tutorial-dual-stack**
+ **IPv4 CIDR block (Bloco CIDR IPv** – **10.0.0.0/16**
+ **IPv6 CIDR block** (Bloco CIDR IPv6): **Amazon-provided IPv6 CIDR block** (Bloco CIDR IPv6 fornecido pela Amazon)
+ **Tenancy** (Locação): **Default** (Padrão)
+ **Number of Availability Zones (AZs) [Número de zonas de disponibilidade (AZs)** – **2**
+ **Customize AZs** (Personalizar AZs): mantenha os valores padrão.
+ **Number of public subnet (Número de sub-redes públicas** – **2**
+ **Number of private subnets (Número de sub-redes privadas** – **2**
+ **Customize subnets CIDR blocks** (Personalizar blocos CIDR de sub-redes): mantenha os valores padrão.
+ **NAT gateways (\$1)** (Gateways NAT (\$1)): **None** (Nenhum)
+ **Egress only internet gateway** (Gateway da Internet somente de saída): **No** (Não)
+ **VPC endpoints** (Endpoints da VPC): **None** (Nenhum)
+ **DNS options** (Opções de DNS): mantenha os valores padrão.
**nota**
O Amazon RDS exige pelo menos duas sub-redes em duas zonas de disponibilidade diferentes para oferecer suporte a implantações de instâncias de banco de dados multi-AZ. Este tutorial cria uma implantação single-AZ, mas o requisito facilita a conversão para uma implantação de instância de banco de dados multi-AZ no futuro.
1. Escolha **Criar VPC**.
## Criar um grupo de segurança da VPC para uma instância pública do Amazon EC2
Em seguida, você criará um grupo de segurança para acesso público. Para se conectar a instâncias públicas do EC2 na sua VPC, adicione regras de entrada ao grupo de segurança de sua VPC que permitam que o tráfego se conecte da Internet.
**Para criar um grupo de segurança de VPC**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard (Painel da VPC)**, **Security Groups (Grupos de segurança)** e depois **Create grupo de segurança (Criar grupo de segurança)**.
1. Na página **Create grupo de segurança (Criar grupo de segurança)**, defina esses valores:
+ **Security group name (Nome do grupo de segurança:** **tutorial-dual-stack-securitygroup**
+ **Descrição:** **Tutorial Dual-Stack Security Group**
+ **VPC:** escolha a VPC criada na etapa anterior, por exemplo **vpc-*identifier*(tutorial-dual-stack-vpc)**
1. Adicione regras de entrada ao grupo de segurança.
1. Determine o endereço IP a ser usado para se conectar a instâncias do EC2 em sua VPC usando Secure Shell (SSH).
Um exemplo de endereço IPv4 (Internet Protocol versão 4) é `203.0.113.25/32`. Um exemplo de intervalo de endereços de Protocolo de Internet versão 6 (IPv6) é `2001:db8:1234:1a00::/64`.
Em muitos casos, você pode se conectar por meio de um provedor de serviços de Internet (ISP) ou atrás de um firewall sem um endereço IP estático. Se sim, especifique o intervalo de endereços IP utilizado por computadores cliente.
**Atenção**
Se usar `0.0.0.0/0` para IPv4 ou `::0` para IPv6, você possibilitará que todos os endereços IP acessem suas instâncias públicas usando SSH. Essa abordagem é aceitável por um período curto em um ambiente de teste, mas não é seguro em ambientes de produção. No ambiente de produção, autorize apenas um endereço IP específico ou um intervalo de endereços a acessar as instâncias.
1. Na seção **Regras de entrada**, escolha **Adicionar regra**.
1. Defina os valores a seguir para a sua nova regra de entrada, para permitir o acesso Secure Shell (SSH) à sua instância do Amazon EC2. Se você fizer isso, poderá se conectar à instância do EC2 para instalar clientes SQL e outras aplicações. Especifique um endereço IP para que você possa acessar sua instância do EC2:
+ **Tipo:** **SSH**
+ **Source** (Fonte): o endereço IP ou o intervalo da etapa a. Um exemplo de endereço IP IPv4 é **203.0.113.25/32**. Um exemplo de endereço IP IPv6 é **2001:DB8::/32**.
1. Escolha **Create grupo de segurança** (Criar grupo de segurança) para criar o grupo de segurança.
Anote o ID do grupo de segurança porque você precisa dele posteriormente neste tutorial.
## Criar um grupo de segurança da VPC para um cluster de banco de dados privada
Para manter seu cluster de banco de dados particular, crie um segundo grupo de segurança para acesso privado. Para se conectar a clusters de banco de dados privados em sua VPC, adicione regras de entrada ao seu grupo de segurança de VPC. Eles permitem o tráfego somente de sua instância do Amazon EC2.
**Para criar um grupo de segurança de VPC**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard (Painel da VPC)**, **Security Groups (Grupos de segurança)** e depois **Create grupo de segurança (Criar grupo de segurança)**.
1. Na página **Create grupo de segurança (Criar grupo de segurança)**, defina esses valores:
+ **Security group name (Nome do grupo de segurança:** **tutorial-dual-stack-db-securitygroup**
+ **Descrição:** **Tutorial Dual-Stack DB Instance Security Group**
+ **VPC:** escolha a VPC criada na etapa anterior, por exemplo **vpc-*identifier*(tutorial-dual-stack-vpc)**
1. Adicione regras de entrada ao grupo de segurança:
1. Na seção **Regras de entrada**, escolha **Adicionar regra**.
1. Defina os valores a seguir para a sua nova regra de entrada, para permitir o tráfego MySQL na porta 3306 de sua instância do Amazon EC2. Se fizer isso, você poderá se conectar de sua instância do EC2 ao seu cluster de banco de dados. Ao fazer isso, você poderá enviar dados da instância do EC2 para o banco de dados.
+ **Digite:** **MySQL/Aurora**
+ **Source** (Origem): o identificador do grupo de segurança **tutorial-dual-stack-securitygroup** criado anteriormente neste tutorial; por exemplo, **sg-9edd5cfb**.
1. Para criar o grupo de segurança, escolha **Criar grupo de segurança**.
## Criar um grupo de sub-redes de banco de dados
Um *grupo de sub-redes de banco de dados* é uma coleção de sub-redes que você cria em uma VPC e depois designa para seus clusters de bancos de dados. Ao usar um grupo de sub-redes de banco de dados, você pode especificar uma VPC específica ao criar clusters de banco de dados. Para criar um grupo de sub-redes de banco de dados que seja compatível com `DUAL`, todas as sub-redes devem ser compatíveis com `DUAL`. Para ser compatível com `DUAL`, uma sub-rede deve ter um CIDR IPv6 associado a ela.
**Como criar um grupo de sub-redes de banco de dados**
1. Identifique as sub-redes privadas do seu banco de dados na VPC.
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard** (Painel da VPC), depois selecione **Subnets** (Sub-redes).
1. Anote os IDs das sub-redes chamadas **tutorial-dual-stack-subnet-private1-us-west-2a** e **tutorial-dual-stack-subnet-private2-us-west-2b**.
Você precisará dos IDs de sub-rede ao criar seu grupo de sub-redes de banco de dados.
1. Abra o console do Amazon RDS em [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
Conecte-se ao console do Amazon RDS, não ao console da Amazon VPC.
1. No painel de navegação, escolha **Subnet groups (Grupos de sub-redes)**.
1. Escolha **Create DB Subnet Group** (Criar grupo de sub-redes de banco de dados).
1. Na página **Create DB subnet group (Criar grupo de sub-redes de banco de dados)**, defina esses valores em **Subnet group details (Detalhes do grupo de sub-redes)**:
+ **Nome:** **tutorial-dual-stack-db-subnet-group**
+ **Descrição:** **Tutorial Dual-Stack DB Subnet Group**
+ **VPC:** **tutorial-dual-stack-vpc (vpc-*identifier*)**
1. Na seção **Add subnets** (Adicionar sub-redes), escolha as opções **Availability Zones** (Zonas de disponibilidade) e **Subnets** (Sub-redes).
Para este tutorial, escolha **us-east-2a** e **us-east-2b** para as **Availability Zones** (Zonas de disponibilidade). Para **Subnets** (Sub-redes), escolha as sub-redes privadas que você identificou na etapa anterior.
1. Escolha **Criar**.
Seu novo grupo aparece na lista de grupos de sub-redes de banco de dados no console do RDS. Você pode escolher o grupo de sub-redes de banco de dados para ver os detalhes. Isso inclui os protocolos de endereçamento compatíveis e todas as sub-redes associadas ao grupo e o tipo de rede compatível com o grupo de sub-redes de banco de dados.
## Criar uma instância do Amazon EC2 no modo de pilha dupla
Para criar uma instância do Amazon EC2, siga as instruções em [Iniciar uma instância usando o novo assistente de inicialização de instância, versão beta](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance-wizard.html) no *Guia do usuário do Amazon EC2*.
Na página **Configure Instance Details** (Configurar os detalhes da instância), defina esses valores e mantenha os outros valores como padrão:
+ **Rede**: escolha uma VPC existente com sub-redes públicas e privadas, como **tutorial-dual-stack-vpc** (vpc-*identifier*), criada em [Criar uma VPC com sub-redes públicas e privadas](#CHAP_Tutorials.CreateVPCDualStack.VPCAndSubnets).
+ **Subnet** (Sub-rede): escolha uma sub-rede pública existente, como **subnet-*identifier* \$1 tutorial-dual-stack-subnet-public1-us-east-2a \$1 us-east-2a** criada em [Criar um grupo de segurança da VPC para uma instância pública do Amazon EC2](#CHAP_Tutorials.CreateVPCDualStack.SecurityGroupEC2).
+ **Auto-assign Public IP** (Atribuir automaticamente IP público): escolha **Enable** (Habilitar).
+ **Auto-assign IPv6 IP** (Atribuir automaticamente IPv6): escolha **Enable** (Habilitar).
+ **Firewall (security groups)** (Firewall (grupos de segurança)): escolha **Select an existing security group** (Selecionar um grupo de segurança existente).
+ **Common security groups** (Grupos de segurança comuns): selecione um grupo de segurança existente, como o `tutorial-securitygroup` criado em [Criar um grupo de segurança da VPC para uma instância pública do Amazon EC2](#CHAP_Tutorials.CreateVPCDualStack.SecurityGroupEC2). Verifique se o grupo de segurança escolhido inclui regras de entrada para Secure Shell (SSH) e acesso HTTP.
## Criar um cluster de banco de dados no modo de pilha dupla
Nesta etapa, crie um cluster de banco de dados do Amazon RDS para execução no modo de pilha dupla.
**Como criar uma instância de banco de dados**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon RDS em [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. No canto superior direito do console, escolha a Região da AWS na qual você quer criar o cluster de banco de dados. Este exemplo usa a região Leste dos EUA (Ohio).
1. No painel de navegação, escolha **Databases** (Bancos de dados).
1. Selecione **Criar banco de dados**.
1. Na página **Create database** (Criar banco de dados), verifique se a opção **Standard create** (Criação padrão) está selecionada e escolha o tipo de mecanismo de banco de dados Aurora MySQL.
1. Na seção **Conectividade**, defina estes valores:
+ **Network type** (Tipo de rede): escolha **Dual-stack mode** (Modo de pilha dupla).
![\[Seção Network type (Tipo de rede) no console com o Dual-stack mode (Modo de pilha dupla) selecionado\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/AuroraUserGuide/images/dual-stack-mode.png)
+ **Virtual private cloud (VPC)** (Nuvem privada virtual (VPC): escolha uma VPC existente com sub-redes públicas e privadas, como a **tutorial-dual-stack-vpc** (vpc-*identifier*) criada em [Criar uma VPC com sub-redes públicas e privadas](#CHAP_Tutorials.CreateVPCDualStack.VPCAndSubnets).
A VPC deve ter sub-redes em zonas de disponibilidade diferentes.
+ **DB subnet group** (Grupo de sub-redes de banco de dados): escolha um grupo de sub-redes de banco de dados para a VPC, como **tutorial-dual-stack-db-subnet-group** criado em [Criar um grupo de sub-redes de banco de dados](#CHAP_Tutorials.CreateVPCDualStack.DBSubnetGroup).
+ **Public access** (Acesso público): escolha **No** (Não).
+ **VPC security group (firewall)** (Grupo de segurança da VPC (firewall)): selecione **Choose existing** (Escolher existente).
+ **Existing VPC grupo de seguranças** (Grupos de segurança da VPC existentes): escolha um grupo de segurança da VPC existente configurado para acesso privado, como **tutorial-dual-stack-db-securitygroup** criado em [Criar um grupo de segurança da VPC para um cluster de banco de dados privada](#CHAP_Tutorials.CreateVPCDualStack.SecurityGroupDB).
Remova outros grupos de segurança, como o grupo de segurança padrão, escolhendo o **X** associado.
+ **Availability Zone** (Zona de disponibilidade): escolha **us-west-2a**.
Para evitar o tráfego entre zonas, certifique-se de que a instância de banco de dados e a instância do EC2 estejam na mesma zona de disponibilidade.
1. Nas seções restantes, especifique suas configurações de cluster de banco de dados. Para obter informações sobre cada configuração, consulte [Configurações de clusters de bancos de dados do Aurora](Aurora.CreateInstance.md#Aurora.CreateInstance.Settings).
## Conectar-se à sua instância do Amazon EC2 e ao cluster de banco de dados
Depois de criar a instância do Amazon EC2 e o cluster de banco de dados no modo de pilha dupla, você poderá se conectar a cada uma usando o protocolo IPv6. Para se conectar a uma instância do Amazon EC2 usando o protocolo IPv6, siga as instruções em [Conecte-se à sua instância do Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html) no *Guia do usuário do Amazon EC2*.
Para se conectar à instância de banco de dados do Aurora MySQL por meio da instância do Amazon EC2, siga as instruções em [Conectar-se a um cluster de banco de dados do Aurora MySQL](CHAP_GettingStartedAurora.CreatingConnecting.Aurora.md#CHAP_GettingStartedAurora.Aurora.Connect).
## Como excluir a VPC
Depois de criar a VPC e outros recursos para este tutorial, você poderá excluí-los se deixarem de ser necessários.
Se você incluiu recursos na VPC que criou para este tutorial, talvez seja necessário excluí-los para poder excluir a VPC. Exemplos de recursos são instâncias do Amazon EC2 ou clusters de banco de dados. Para obter mais informações, consulte [Como excluir a sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting) no *Guia do usuário da Amazon VPC*.
**Para excluir uma VPC e recursos relacionados**
1. Exclua o grupo de sub-redes de banco de dados:
1. Abra o console do Amazon RDS em [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. No painel de navegação, escolha **Subnet groups (Grupos de sub-redes)**.
1. Selecione o grupo de sub-redes de banco de dados a ser excluído, por exemplo, **tutorial-db-subnet-group**.
1. Escolha **Delete** (Excluir) e, em seguida, **Delete** (Excluir) na janela de confirmação.
1. Anote o ID da VPC:
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard** (Painel da VPC) e, em seguida, **VPCs**.
1. Na lista, identifique a VPC que você criou, como **tutorial-dual-stack-vpc**.
1. Anote o valor **VPC ID** (ID da VPC) da VPC que você criou. Você precisará do ID da VPC nas etapas subsequentes.
1. Exclua os grupos de segurança:
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard** (Painel da VPC) e, em seguida, **Security Groups** (Grupos de segurança).
1. Selecione o grupo de segurança para a instância de banco de dados do Amazon RDS, como **tutorial-dual-stack-db-securitygroup**.
1. Em **Actions** (Ações), escolha **Delete grupo de seguranças** (Excluir grupos de segurança) e, depois, **Delete** (Excluir) na página de confirmação.
1. Na página **Security Groups** (Grupos de segurança), selecione o grupo de segurança para a instância do Amazon EC2, como **tutorial-dual-stack-securitygroup**.
1. Em **Actions** (Ações), escolha **Delete grupo de seguranças** (Excluir grupos de segurança) e, depois, **Delete** (Excluir) na página de confirmação.
1. Exclua o gateway NAT:
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard** (Painel da VPC) e, em seguida, **NAT Gateways** (Gateways NAT).
1. Selecione o gateway NAT da VPC que você criou. Use o ID da VPC para identificar o gateway NAT correto.
1. Em **Actions** (Ações), escolha **Delete NAT gateway** (Excluir gateway NAT).
1. Na página de confirmação, insira **delete** e, em seguida, escolha **Delete** (Excluir).
1. Exclua a VPC:
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **VPC Dashboard** (Painel da VPC) e, em seguida, **VPCs**.
1. Selecione a VPC que deseja excluir, como a **tutorial-dual-stack-vpc**.
1. Em **Actions (Ações)**, escolha **Delete VPC (Excluir a VPC)**.
A página de confirmação mostra outros recursos associados à VPC que também serão excluídos, incluindo as sub-redes associadas a ela.
1. Na página de confirmação, insira **delete** e, em seguida, escolha **Delete** (Excluir).
1. Libere os endereços de IP elásticos:
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Escolha **Painel do EC2** e, em seguida, **IPs elásticos**.
1. Selecione o endereço de IP elástico que deseja liberar.
1. Em **Actions** (Ações), escolha **Release Elastic IP addresses** (Liberar endereços de IP elásticos).
1. Na página de confirmação, escolha **Release** (Liberar).