设置您的 Amazon Neptune 数据库集群所在的 Amazon VPC - Amazon Neptune
添加子网配置 VPC创建安全组VPC 中的 DNS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置您的 Amazon Neptune 数据库集群所在的 Amazon VPC

Amazon Neptune 数据库集群只能 在 Amazon Virtual Private Cloud (Amazon VPC) 中创建。您可以在该 VPC 内访问它的端点,如果启用 Neptune 公有端点,也可以在该 VPC 之外通过互联网访问它的端点。

根据您想要访问数据库集群的方式,您可以通过多种不同的方式来设置 VPC。

在配置 Neptune 数据库集群所在的 VPC 时,请记住以下几点:

  • 您的 VPC 必须至少有两个子网。这些子网必须位于两个不同的可用区 (AZs)。通过将您的集群实例分配到至少两个中 AZs,Neptune 有助于确保即使在出现可用区故障的可能性很小的情况下,您的数据库集群中也始终有可用的实例。Neptune 数据库集群的集群容量始终跨越三个, AZs 以提供持久存储,且数据丢失的可能性极低。

  • 每个子网中的 CIDR 块必须足够大,以便提供 Neptune 在维护活动、失效转移和扩展期间可能需要的 IP 地址。

  • 该 VPC 必须具有一个数据库子网组,其中包含您已创建的子网组。Neptune 选择子网组中的一个子网和该子网中的一个 IP 地址,以与数据库集群中的每个数据库实例关联。然后,数据库实例与子网位于同一个可用区中。

  • VPC 应已启用 DNS(包括 DNS 主机名和 DNS 解析)。

  • 您的 VPC 必须具有允许访问数据库集群的 VPC 安全组

  • Neptune VPC 中的租赁应设置为默认

向 Neptune 数据库集群所在的 VPC 添加子网

子网是您的 VPC 内的 IP 地址范围。您可以将 Neptune 数据库集群或 EC2 实例等资源启动到特定子网。创建子网时,需要为子网指定 IPv4 CIDR 块,该子网是 VPC CIDR 块的子集。每个子网都必须完全位于一个可用区 (AZ) 内,不能跨越多个可用区。通过在单独的可用区内启动实例,您可以保护您的应用程序不受其中一个可用区中的故障影响。有关更多信息,请参阅 VPC 子网文档

Neptune 数据库集群需要至少两个 VPC 子网。

将子网添加到 VPC

  1. 登录AWS 管理控制台并打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Subnets(子网)。

  3. VPC 控制面板中,选择子网,然后选择创建子网

  4. 创建子网页面上,选择要在其中创建子网的 VPC。

  5. 子网设置下,进行以下选择:

    1. 子网名称下输入新子网的名称。

    2. 为子网选择可用区 (AZ),或者将选择保留为无首选项

    3. IPv4 CIDR 块下输入子网的 IP 地址块

    4. 如果需要,可以向子网添加标签。

    5. 选择

  6. 如果要同时创建另一个子网,请选择添加新子网

  7. 选择创建子网以创建新的子网。

在 Amazon Neptune 中配置 VPC

创建子网组。

创建 Neptune 子网组

  1. 登录AWS管理控制台,然后在家中打开 Amazon Neptune https://console.aws.amazon.com/neptune/ 主机。

  2. 选择子网组,然后选择创建数据库子网组

  3. 为新子网组输入名称和描述(描述为必需项)。

  4. VPC 下,选择您希望此子网组所在的 VPC。

  5. 可用区下,选择您希望此子网组所在的可用区。

  6. 子网下,将此可用区中的一个或多个子网添加到该子网组。

  7. 选择创建以创建新的子网组。

使用 VPC 控制台创建安全组

安全组提供访问 VPC 中的 Neptune 数据库集群的权限。它们充当关联数据库集群的防火墙,在实例级别控制入站和出站流量。默认情况下,创建数据库实例时具有防火墙和默认安全组,用来阻止对其进行任何访问。要启用访问权限,您必须拥有带其它规则的 VPC 安全组。

以下过程向您展示如何添加自定义 TCP 规则,该规则指定用于访问 Neptune 数据库集群的 Amazon EC2 实例的端口范围和 IP 地址。您可以使用分配给 EC2 实例的 VPC 安全组,而不是其 IP 地址。

在控制台上为 Neptune 创建 VPC 安全组

  1. 登录AWS 管理控制台并打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在控制台的右上角,选择要在其中为 Neptune 创建 VPC 安全组的AWS区域。该区域的 Amazon VPC 资源列表应显示至少有一个 VPC 和多个子网。如果没有显示,则说明您在该区域中没有默认 VPC。

  3. 在导航窗格中的安全下,选择安全组

  4. 选择创建安全组。在创建安全组窗口中,输入安全组名称描述和您的 Neptune 数据库集群所在 VPC 的标识符。

  5. 为要连接到 Neptune 数据库集群的 Amazon EC2 实例的安全组添加入站规则:

    1. 入站规则区域中,选择添加规则

    2. 类型列表中,将自定义 TCP 保留为选中状态。

    3. 端口范围框中,输入 Neptune 的默认端口值 8182

    4. 下,输入您要从中访问 Neptune 的 IP 地址范围(CIDR 值),或者选择现有安全组名称。

    5. 如果需要添加更多 IP 地址或不同端口范围,请再次选择添加规则

  6. 如果需要,您还可以在“出站规则”区域中添加一条或多条出站规则。

  7. 完成后,选择创建安全组

在创建新的 Neptune 数据库集群时,您可以使用这个新的 VPC 安全组。

如果您使用默认 VPC,则已为您创建跨越该 VPC 的所有子网的默认子网组。在 Neptune 控制台中选择创建数据库时,除非您指定其它 VPC,否则将使用默认 VPC。

请确保您的 VPC 中具有 DNS 支持

域名系统 (DNS) 是 Internet 中名称使用的标准,以将名称解析到各自相应的 IP 地址。DNS 主机名称可以唯一的命名计算机,它由主机名称和域名组成。DNS 服务器会将 DNS 主机名称解析到其相应的 IP 地址。

检查以确保在您的 VPC 中同时启用了 DNS 主机名和 DNS 解析。VPC 网络属性 enableDnsHostnamesenableDnsSupport 必须设置为 true。要查看和修改这些属性,请转到位于 https://console.aws.amazon.com/vpc/ 的 VPC 控制台。

有关更多信息,请参阅将 DNS 与您的 VPC 一起使用

注意

如果您使用的是 Route 53,请确认您的配置不会覆盖您的 VPC 中的 DNS 网络属性。