创建仅 IPv4 的 VPC 以用于 DocumentDB 集群 - Amazon DocumentDB
步骤 1:创建包含私有子网和公有子网的 VPC步骤 2:为公有应用程序创建 VPC 安全组步骤 3:为私有集群创建 VPC 安全组步骤 4:创建子网组删除 VPC

创建仅 IPv4 的 VPC 以用于 DocumentDB 集群

一种常见的场景包括虚拟私有云(VPC)中基于 Amazon VPC 服务的集群。例如,此 VPC 可以与在同一 VPC 中运行的服务或应用程序共享数据。在本主题中,针对此场景创建 VPC。

您的集群只需对您的应用程序可用,而无需对公共互联网可用。因此,请创建包含公有子网和私有子网的 VPC。应用程序托管在公有子网中,因此能够访问公共互联网。集群托管在私有子网中。应用程序可以连接到集群,因为它托管在同一 VPC 内。但是,集群不可用于公共互联网,从而提高了安全性。

本主题中的此过程在单独的可用区中配置额外的公有子网和私有子网。此过程未使用这些子网。DocumentDB 子网组需要位于至少两个可用区中的一个子网。借助额外的子网,可以更轻松地配置多个 DocumentDB 实例。

本主题介绍为 Amazon DocumentDB 集群配置 VPC。有关 Amazon VPC 的更多信息,请参阅 Amazon VPC 用户指南

提示

创建集群时,您可以在 Amazon EC2 实例与 DocumentDB 集群之间自动设置网络连接。网络配置类似于此场景中描述的配置。有关更多信息,请参阅 自动连接 Amazon EC2

步骤 1:创建包含私有子网和公有子网的 VPC

使用以下步骤创建包含公有和私有子网的 VPC。

创建 VPC 和子网

  1. 通过 https://console.aws.amazon.com/vpc 打开 Amazon VPC 控制台。

  2. 在 AWS 管理控制台 的右上角,选择要在其中创建 VPC 的区域。此示例使用 美国西部(俄勒冈) 区域。

  3. 在左上角,选择 VPC Dashboard(VPC 控制面板)。要开始创建 VPC,请选择 Create VPC(创建 VPC)。

  4. 对于 VPC Settings(VPC 设置)下的 Resources to create(要创建的资源),选择 VPC and more(VPC 及更多)。

  5. 对于 VPC settings(VPC 设置),请设置以下值:

    • 名称标签自动生成example

    • IPv4 CIDR 数据块10.0.0.0/16

    • IPv6 CIDR 数据块无 IPv6 CIDR 数据块

    • 租赁默认值

    • 可用区(AZ)的数量2

    • 自定义可用区 – 保留默认值

    • 公有子网的数量2

    • 私有子网的数量2

    • 自定义子网 CIDR 数据块 – 保留默认值

    • NAT 网关($)

    • VPC 端点

    • DNS 选项 – 保留默认值

  6. 选择创建 VPC

步骤 2:为公有应用程序创建 VPC 安全组

接下来创建安全组以便进行公共访问。要连接到 VPC 中的公有 EC2 实例,请将入站规则添加到 VPC 安全组。这些规则允许流量从互联网进行连接。

创建 VPC 安全组

  1. 通过 https://console.aws.amazon.com/vpc 打开 Amazon VPC 控制台。

  2. 依次选择 VPC 控制面板)安全组创建安全组

  3. 创建安全组页面上,设置以下值:

    • 安全组名称example-securitygroup

    • 描述Application security group

    • VPC – 选择您之前创建的 VPC,例如:vpc-example

  4. 将入站规则添加到安全组。

    1. 确定要用来通过 Secure Shell(SSH)连接到 VPC 中的 EC2 实例的 IP 地址。要确定您的公有 IP 地址,请在新的浏览器窗口或标签页中,使用 https://checkip.amazonaws.com 上的服务。IP 地址的一个示例为 203.0.113.25/32

      在许多情况下,您可能通过互联网服务提供商(ISP)进行连接,或者在不使用静态 IP 地址的情况下从防火墙之后进行连接。如果是这样,请找出客户端计算机使用的 IP 地址范围。

      警告

      如果您使用 0.0.0.0/0 进行 SSH 访问,则所有 IP 地址可能能够使用 SSH 访问您的公有实例。在测试环境下短时间内,此方法尚可接受,但它对于生产环境并不安全。在生产环境中,将仅向特定 IP 地址或地址范围授权使用 SSH 访问您的实例。

    2. 入站规则部分中,选择添加规则

    3. 为新入站规则设置以下值,以允许 SSH 访问 Amazon EC2 实例。完成此操作后,您就可以连接到 EC2 实例来安装应用程序和其他实用程序。您还可以连接到 EC2 实例,以便上载应用程序的内容。

      • 类型SSH

      • 来源 – 您在步骤 a 中创建的 IP 地址或范围,例如:203.0.113.25/32

    4. 选择添加规则

    5. 为新入站规则设置以下值以允许针对应用程序的 HTTP 访问:

      • 类型HTTP

      • 来源0.0.0.0/0

  5. 请选择 Create security group(创建安全组)以创建安全组。

    请记下安全组 ID,因为稍后在另一个过程中需要使用该 ID。

步骤 3:为私有集群创建 VPC 安全组

要保持您的集群为私有,请创建第二个安全组进行私有访问。要连接到 VPC 中的私有集群,请将入站规则添加到 VPC 安全组,以仅支持来自应用程序的流量。

创建 VPC 安全组

  1. 通过 https://console.aws.amazon.com/vpc 打开 Amazon VPC 控制台。

  2. 依次选择 VPC 控制面板)安全组创建安全组

  3. 创建安全组页面上,设置以下值:

    • 安全组名称example-securitygroup

    • 描述Instance security group

    • VPC – 选择您之前创建的 VPC,例如:vpc-example

  4. 将入站规则添加到安全组。

    1. 入站规则部分中,选择添加规则

    2. 为新入站规则设置以下值,以允许 Amazon EC2 实例中端口 27017 上的 DocumentDB 流量。完成此操作后,您就可以从应用程序连接到集群。这样,您就可以从应用程序将数据存储和检索到数据库。

      • 类型Custom TCP

      • 来源 – 您先前在本主题中创建的应用程序安全组的标识符,例如:sg-9edd5cfb

    3. 选择添加规则

    4. 为新入站规则设置以下值以允许针对应用程序的 HTTP 访问:

      • 类型HTTP

      • 来源0.0.0.0/0

  5. 请选择 Create security group(创建安全组)以创建安全组。

步骤 4:创建子网组

子网组是在 VPC 中创建的一组子网,随后可为集群指定这些子网。通过子网组,您可能能够在创建集群时指定特定的 VPC。

创建子网组

  1. 在 VPC 中识别数据库的私有子网。

    1. 通过 https://console.aws.amazon.com/vpc 打开 Amazon VPC 控制台。

    2. 选择 VPC Dashboard(VPC 控制面板),然后选择 Subnets(子网)。

    3. 记下您在步骤 1 中创建的名为如下的子网的子网 ID:example-subnet-private1-us-west-2aexample-subnet-private2-us-west-2b。创建子网组时需要子网 ID。

  2. 登录到 AWS 管理控制台 并打开 Amazon DocumentDB 控制台,网址:https://console.aws.amazon.com/docdb

    确保您连接到 Amazon DocumentDB 控制台,而不是 Amazon VPC 控制台。

  3. 在导航窗格中,选择子网组

  4. 选择创建

  5. 创建子网组页面的子网组详细信息部分中设置以下值:

    • 名称example-db-subnet-group

    • 描述Instance security group

  6. 添加子网部分中,选择以下值:

    • VPC – 选择您之前创建的 VPC,例如:vpc-example

    • 可用区 – 选择在步骤 1 中创建的两个可用区。示例:us-west-2aus-west-2b

    • 子网 – 选择您在步骤 1 中创建的私有子网。

  7. 选择创建

您的新子网组显示在 DocumentDB 控制台的子网组列表中。您可以选择子网组以在详细信息窗格中查看详细信息。这些详细信息包括与该组关联的所有子网。

注意

如果您已创建此 VPC 以将其与 DocumentDB 集群关联,请按照 创建 Amazon DocumentDB 集群 中的说明创建集群。

删除 VPC

如果不再需要 VPC 及其中使用的其他资源,可以将其删除。

注意

如果您在本主题中创建的 VPC 中添加了资源,则可能需要先删除这些资源,然后才能删除 VPC。例如,这些资源可能包括 Amazon EC2 实例或 DocumentDB 集群。有关更多信息,请参阅 Amazon VPC 用户指南中的您的 VPC 的安全性

删除 VPC 和相关资源

  1. 删除子网组:

    1. 登录到 AWS 管理控制台 并打开 Amazon DocumentDB 控制台,网址:https://console.aws.amazon.com/docdb

    2. 在导航窗格中,选择子网组

    3. 选择要删除的子网组,例如 example-db-subnet-group

    4. 选择 Delete (删除),然后在确认窗口中选择 Delete (删除)

  2. 记下 VPC ID:

    1. 通过 https://console.aws.amazon.com/vpc 打开 Amazon VPC 控制台。

    2. 选择 VPC 控制面板,然后选择您的 VPC

    3. 在列表中,标识您创建的 VPC,例如 vpc-example

    4. 记下所创建 VPC 的 VPC ID。在后面的步骤中,您需要此 VPC ID。

  3. 删除安全组:

    1. 通过 https://console.aws.amazon.com/vpc 打开 Amazon VPC 控制台。

    2. 选择 VPC 控制面板,然后选择安全组

    3. 选择 Amazon DocumentDB 集群的安全组,例如 example-securitygroup

    4. 对于操作,请选择删除安全组,然后在确认对话框中选择删除

    5. 回到安全组页面上,选择 Amazon EC2 实例的安全组,例如 example-securitygroup

    6. 对于操作,请选择删除安全组,然后在确认对话框中选择删除

  4. 删除 VPC:

    1. 通过 https://console.aws.amazon.com/vpc 打开 Amazon VPC 控制台。

    2. 选择 VPC 控制面板,然后选择您的 VPC

    3. 选择要删除的 VPC,例如 vpc-example

    4. 对于操作,请选择“删除 VPC”。

      确认页面显示与 VPC 关联的其他资源,这些资源也将被删除,包括与其关联的子网。

    5. 在确认对话框中,输入 delete,然后选择删除