Acesso a um cluster do Amazon DocumentDB em uma VPC - Amazon DocumentDB
Uma instância do Amazon EC2 na mesma VPCUma instância do Amazon EC2 em uma VPC diferente

Acesso a um cluster do Amazon DocumentDB em uma VPC

O Amazon DocumentDB oferece suporte aos cenários a seguir para acesso a um cluster em uma VPC:

Um cluster em uma VPC acessado por uma instância do Amazon EC2 na mesma VPC.

Um uso comum de um cluster em uma VPC é compartilhar dados com um servidor de aplicações que está sendo executado em uma instância do Amazon EC2 na mesma VPC.

A maneira mais simples de gerenciar o acesso entre instâncias do EC2 e clusters na mesma VPC é fazer o seguinte:

  • Crie um grupo de segurança de VPC para seus clusters. Esse grupo de segurança pode ser usado para restringir o acesso aos clusters. Por exemplo, você pode criar uma regra personalizada para esse grupo de segurança. Isso pode permitir o acesso TCP usando a porta que você atribuiu ao cluster quando o criou, e um endereço IP para acessar o cluster para desenvolvimento ou outros fins.

  • Crie um grupo de segurança da VPC em que as suas instâncias do EC2 (servidores Web e clientes) estarão. Esse grupo de segurança pode, se necessário, permitir o acesso à instância do EC2 pela Internet usando a tabela de roteamento da VPC. Por exemplo, você pode definir regras nesse grupo de segurança para permitir o acesso TCP à instância do EC2 pela porta 22.

  • Crie regras personalizadas no grupo de segurança para seus clusters que permitam conexões do grupo de segurança que você criou para suas instâncias do EC2. Essas regras podem permitir que qualquer membro do grupo de segurança acesse os clusters.

Há uma sub-rede pública e privada adicional em uma zona de disponibilidade separada. Um grupo de sub-redes do DocumentDB exige uma sub-rede em, pelo menos, duas zonas de disponibilidade. A sub-rede adicional facilita a alternância para uma implantação de cluster multi-AZ no futuro.

Para obter instruções sobre como criar uma VPC com sub-redes públicas e privadas para esse cenário, consulte Criação de uma VPC somente IPv4 para uso com um cluster do DocumentDB.

dica

É possível configurar a conectividade de rede entre uma instância do Amazon EC2 e um cluster do DocumentDB automaticamente ao criar o cluster. Para obter mais informações, consulte Conectar o Amazon EC2 automaticamente.

Para criar uma regra em um grupo de segurança de VPC que permita conexões de outro grupo de segurança, faça o seguinte:

  1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc.

  2. No painel de navegação, localize e selecione Grupos de segurança.

  3. Escolha ou crie um grupo de segurança ao qual você deseja conceder acesso para membros de outro grupo de segurança. Esse é o grupo de segurança que você usa para seus clusters. Vá para a guia Inbound Rules (Regras de entrada) e escolha Edit rules (Editar regras).

  4. Na página Edit inbound rules (Editar regras de entrada), escolha Add Rule (Adicionar regra).

  5. Em Tipo, escolha a entrada que corresponda à porta usada ao criar seu cluster, como TCP personalizado.

  6. No campo Origem, comece a digitar o ID do grupo de segurança para listar os grupos de segurança correspondentes. Escolha o grupo de segurança com membros que você deseja que tenham acesso aos recursos protegidos por esse grupo de segurança. Esse é o grupo de segurança usado para sua instância do EC2 no cenário anterior.

  7. Se necessário, repita as etapas para o protocolo TCP, criando uma regra com Todos os TCP como Tipo e seu grupo de segurança no campo Origem. Se você pretende usar o protocolo UDP, crie uma regra com All UDP (Todos os UDP) como Type (Tipo) e seu grupo de segurança em Source (Origem).

  8. Selecione Salvar rules.

A tela a seguir mostra uma regra de entrada com um grupo de segurança como origem.

Guia de regras de entrada mostrando regra com o grupo de segurança como origem

Para obter mais informações sobre como se conectar a um cluster a partir da sua instância do EC2, consulte Conectar o Amazon EC2 automaticamente.

Um cluster em uma VPC acessada por uma instância do Amazon EC2 em uma VPC diferente.

Quando seus clusters estão em uma VPC diferente da instância do EC2 que você está usando para acessá-los, é possível usar emparelhamento de VPC para acessar o cluster.

Uma conexão de emparelhamento da VPC é uma conexão de redes entre duas VPCs que permite direcionar o tráfego entre elas usando endereços IP privados. Recursos em qualquer VPC podem se comunicar uns com os outros como se estivessem na mesma rede. É possível criar uma conexão de emparelhamento da VPC entre suas próprias VPCs, com uma VPC em outra conta da AWS ou com uma VPC em uma Região da AWS diferente. Para saber mais sobre o emparelhamento de VPCs, consulte Emparelhamento de VPCs, no Guia do usuário do Amazon Virtual Private Cloud.