网络和数据库配置要求 - Amazon Quick Suite
网络配置要求自主管理实例的数据库配置要求

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网络和数据库配置要求

要充当数据源,需要对数据库进行配置,以便 Amazon Quick Suite 可以访问它们。下面几部分内容可确保您的数据库配置正确。

重要

由 EC2 于 Amazon 上的数据库实例由您管理 AWS,而不是由您管理,因此它必须满足网络配置要求以及自管理实例的数据库配置要求

网络配置要求

   目标受众:系统管理员 

要使用 Amazon Quick Suite 中的数据库服务器,必须能够通过互联网访问您的服务器。它还必须允许来自亚马逊 Quick Suite 服务器的入站流量。

如果数据库已开启 AWS 且与您的 Amazon Quick Suite 账户 AWS 区域 相同,则可以自动发现该实例,以便更轻松地连接到该实例。为此,您必须向 Amazon Quick Suite 授予访问权限。有关更多信息,请参阅访问数据源

默认 VPC 中 AWS 实例的网络配置

在某些情况下,您的数据库可能位于您在默认 VPC 中创建的 AWS 集群或实例上。因此可以公开访问(也就是说,您没有选择将它设为私有)。在这种情况下,您的数据库已正确配置为可从 Internet 访问。但是,您仍然需要允许从 Amazon Quick Suite 服务器访问您的 AWS 集群或实例。有关如何执行此操作的详细信息,请选择下面的相应主题:

非默认 VP AWS C 中实例的网络配置

如果您在非默认 VPC 中配置 AWS 实例,请确保该实例可公开访问并且 VPC 具有以下特性:

  • Internet 网关。

  • 公有子网。

  • 路由表中互联网网关和 AWS 实例之间的路由。

  • 您的 VPC 中的网络访问控制列表 (ACLs),允许集群或实例与 Amazon Quick Suite 服务器之间的流量。这些 ACLs 必须做到以下几点:

    • 允许来自相应的 Amazon Quick Suite IP 地址范围和所有端口的入站流量到数据库正在监听的 IP 地址和端口。

    • 允许从数据库的 IP 地址和端口到相应的 Amazon Quick Suite IP 地址范围和所有端口的出站流量。

    有关 Amazon Quick Suite IP 地址范围的更多信息,请参阅下文的 Amazon Quick Suite 的 IP 地址范围

    有关配置 VPC 的更多信息 ACLs,请参阅网络 ACLs

  • 允许集群或实例与 Amazon Quick Suite 服务器之间的流量的安全组规则。有关如何创建相应安全组规则的更多详细信息,请参阅授权与 AWS 数据源的连接

有关在 Amazon VPC 服务中配置 VPC 的更多信息,请参阅 VPC 中的联网

私有 VPC 中 AWS 实例的网络配置

如果您的数据库位于您在私有 VPC 中创建的 AWS 集群或实例上,则可以将其与 Amazon Quick Suite 配合使用。有关更多信息,请参阅使用 Amazon Quick Suite 连接到亚马逊 VPC

有关 Amazon VPC 的更多信息,请参阅 Amazon VPCAmazon VPC 文档

不在 VPC 中的 AWS 实例的网络配置

如果您正在配置不在 VPC 中的 AWS 实例,请确保该实例可公开访问。此外,请确保有安全组规则允许集群或实例与 Amazon Quick Suite 服务器之间的流量。有关如何执行此操作的详细信息,请选择下面的相应主题:

除之外的数据库实例的网络配置 AWS

要使用 SSL 保护您的数据库连接安全(推荐),请确保您拥有由获得认可的证书颁发机构(CA)签发的证书。Amazon Quick Suite 不接受自签名证书或由非公共 CA 颁发的证书。有关更多信息,请参阅 Amazon Quick Suite SSL 和 CA 证书

如果您的数据库位于其他服务器上 AWS,则必须更改该服务器的防火墙配置以接受来自相应 Amazon Quick Suite IP 地址范围的流量。有关 Amazon Quick Suite IP 地址范围的更多信息,请参阅 Amazon Quick Suite 的 IP 地址范围。有关启用 Internet 连接所需执行的任何其他步骤,请参阅您的操作系统文档。

亚马逊 Quick Suite SSL 和 CA 证书

下面是接受的公共证书颁发机构列表。如果您使用的数据库实例除外 AWS,则您的证书必须在此列表中,否则将无法使用。

  • AAA Certificate Services

  • AddTrust 1 类 CA 根目录

  • AddTrust 外部 CA 根

  • AddTrust 合格的 CA 根目录

  • AffirmTrust 商业的

  • AffirmTrust 联网

  • AffirmTrust 高级

  • AffirmTrust 高级 ECC

  • America Online Root Certification Authority 1

  • America Online Root Certification Authority 2

  • 巴尔的摩 CyberTrust 代码签名根

  • 巴尔的摩 CyberTrust 根

  • Buypass Class 2 Root CA

  • Buypass Class 3 Root CA

  • Certum CA

  • Certum Trusted Network CA

  • Chambers of Commerce Root

  • Chambers of Commerce Root - 2008

  • Class 2 Primary CA

  • Class 3P Primary CA

  • Deutsche Telekom Root CA 2

  • DigiCert 有保证的 ID 根 CA

  • DigiCert 全球根源 CA

  • DigiCert 高保障 EV Root CA

  • Entrust.net Certification Authority (2048)

  • Entrust Root Certification Authority

  • Entrust Root Certification Authority - G2

  • Equifax Secure eBusiness CA-1

  • Equifax Secure Global eBusiness CA-1

  • GeoTrust 全球 CA

  • GeoTrust 主证书颁发机构

  • GeoTrust 主证书颁发机构-G2

  • GeoTrust 主证书颁发机构-G3

  • GeoTrust 环球加州

  • Global Chambersign Root - 2008

  • GlobalSign

  • GlobalSign Root CA

  • Go Daddy Root Certificate Authority - G2

  • GTE CyberTrust 全球根源

  • KEYNECTIS ROOT CA

  • QuoVadis Root CA 2

  • QuoVadis Root CA 3

  • QuoVadis 根证书颁发机构

  • SecureTrust CA

  • Sonera Class1 CA

  • Sonera Class2 CA

  • Starfield Root Certificate Authority - G2

  • Starfield Services Root Certificate Authority – G2

  • SwissSign Gold CA-G2

  • SwissSign Platinum CA-G2

  • SwissSign 银牌 CA-G2

  • TC 2 TrustCenter 级 CA II

  • TC C TrustCenter lass 4 CA II

  • TC TrustCenter 环球影业 CA I

  • Thawte Personal Freemail CA

  • Thawte Premium Server CA

  • thawte Primary Root CA

  • thawte Primary Root CA - G2

  • thawte Primary Root CA - G3

  • Thawte Server CA

  • Thawte Timestamping CA

  • T-C TeleSec GlobalRoot lass 2

  • T-C TeleSec GlobalRoot lass 3

  • UTN-SG DATACorp C

  • UTN-USERFirst-Client 身份验证和电子邮件

  • UTN-USERFirst-Hardware

  • UTN-USERFirst-Object

  • Valicert

  • VeriSign 1 类公共主证书颁发机构-G3

  • VeriSign 2 类公共主证书颁发机构-G3

  • VeriSign 3 类公共主证书颁发机构-G3

  • VeriSign 3 类公共主证书颁发机构-G4

  • VeriSign 3 类公共主证书颁发机构-G5

  • VeriSign 通用根证书颁发机构

  • XRamp 全球证书颁发机构

Amazon Quick Suite 的 IP 地址范围

有关支持区域中 Amazon Quick Suite 的 IP 地址范围的更多信息,请参阅AWS 区域、网站、IP 地址范围和终端节点

自主管理实例的数据库配置要求

   目标受众:系统管理员和 Amazon Quick Suite 管理员 

要使 Amazon Quick Suite 能够访问数据库,该数据库必须满足以下标准:

  • 它必须可从 Internet 访问。要启用 Internet 连接,请参阅您的数据库管理系统文档。

  • 它必须配置为接受连接,并使用您在创建数据集时提供的用户凭证对访问进行身份验证。

  • 如果您连接到的是 MySQL 或 PostgreSQL,则数据库引擎必须可从您的主机或 IP 范围访问。在 MySQL 或 PostgreSQL 连接设置中指定此可选安全限制。如果存在此限制,任何来自非指定主机或 IP 地址的连接尝试都会被拒绝,即使您有正确的用户名和密码也是如此。

  • 在 MySQL 中,仅当用户和主机在用户表中验证后服务器才会接受连接。有关更多信息,请参阅 MySQL 文档中的访问控制阶段 1:连接验证

  • 在 PostgreSQL 中,您可以使用数据库集群数据目录中的 pg_hba.conf 文件来控制客户端身份验证。但是,此文件在您的系统中可能有不同的名称和位置。有关更多信息,请参阅 PostgreSQL 文档中的客户端身份验证