访问 VPC 中的 Amazon DocumentDB 集群
Amazon DocumentDB 支持以下场景来访问 VPC 中的集群:
VPC 中的集群由同一 VPC 中的 Amazon EC2 实例访问
VPC 中的集群的常见用途是与在相同 VPC 的 Amazon EC2 实例中运行的应用程序服务器共享数据。
要管理同一 VPC 中 EC2 实例与集群之间的访问,最简单方法如下所示:
为集群创建所属 VPC 安全组。此安全组可用于限制对集群的访问权限。例如,您可以为该安全组创建自定义规则。该规则可能允许使用您创建集群时分配给集群的端口以及您用来访问集群的 IP 地址(用于开发或其他目的)进行 TCP 访问。
创建您的 EC2 实例(Web 服务器和客户端)将位于其中的 VPC 安全组。如果需要,此安全组可允许使用 VPC 的路由表从 Internet 访问 EC2 实例。例如,您可设置此安全组的规则以允许通过端口 22 对 EC2 实例进行 TCP 访问。
在集群的安全组中创建自定义规则,允许从为 EC2 实例创建的安全组连接。这些规则将允许安全组的任何成员访问集群。
在单独的可用区中还有一个额外的公有和私有子网。DocumentDB 子网组需要位于至少两个可用区中的一个子网。额外的子网使将来很容易切换到多可用区集群部署。
有关如何为此场景创建包含公有子网和私有子网的 VPC 的说明,请参阅 创建仅 IPv4 的 VPC 以用于 DocumentDB 集群。
提示
创建集群时,您可以在 Amazon EC2 实例与 DocumentDB 集群之间自动设置网络连接。有关更多信息,请参阅 自动连接 Amazon EC2。
要在 VPC 安全组中创建允许从另一安全组连接的规则,请执行以下操作:
登录到AWS 管理控制台并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc
。 在导航窗格中,找到并选择安全组。
选择或创建要允许另一个安全组的成员访问的安全组。这是要用于您的集群的安全组。选择 Inbound rules(入站规则)选项卡,然后选择 Edit inbound rules(编辑入站规则)。
在 Edit inbound rules(编辑入站规则)页面上,选择 Add rule(添加规则)。
对于类型,选择与创建集群时使用的端口相对应的条目,例如自定义 TCP。
在源字段中,开始键入安全组的 ID,其中列出了匹配的安全组。选择您希望其成员可以访问此安全组保护的资源的安全组。在前面的方案中,这是您用于 EC2 实例的安全组。
如果需要,可通过在源字段中创建类型为所有 TCP 的规则以及安全组,对 TCP 协议重复这些步骤。如果您打算使用 UDP 协议,请在 Source(源)框中创建 Type(类型)为 All UDP(所有 UDP)的规则以及安全组。
选择保存规则。
以下屏幕显示了包含其来源的安全组的入站规则。
有关从 EC2 实例连接到集群的更多信息,请参阅 自动连接 Amazon EC2。
VPC 中的集群由另一 VPC 中的 Amazon EC2 实例访问
当您的集群与您用来访问其的 EC2 实例位于不同的 VPC 中时,可以使用 VPC 对等连接来访问该集群。
VPC 对等连接是两个 VPC 之间的网络连接,通过此连接,您可以使用私有 IP 地址在这两个 VPC 之间路由流量。这两个 VPC 中的资源可以彼此通信,就像它们在同一网络中一样。您可以在自己的 VPC 之间、自己的 VPC 与另一个 AWS 账户中的 VPC 或与其他 AWS 区域中的 VPC 之间创建 VPC 对等连接。要了解有关 VPC 对等的更多信息,请参阅 Amazon Virtual Private Cloud 用户指南 中的 VPC 对等。
