建立IPv4-only的 VPC 以與 DocumentDB 叢集搭配使用 - Amazon DocumentDB
步驟 1:建立具有私有和公有子網路的 VPC步驟 2:為公有應用程式建立 VPC 安全群組步驟 3:建立私有叢集的 VPC 安全群組步驟 4:建立子網路群組刪除 VPC

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立IPv4-only的 VPC 以與 DocumentDB 叢集搭配使用

常見案例包括以 Amazon VPC 服務為基礎的虛擬私有雲端 (VPC) 中的叢集。例如,此 VPC 可以與在相同 VPC 中執行的服務或應用程式共用資料。在本主題中,您會為此案例建立 VPC。

您的叢集必須僅適用於您的應用程式,而非公有網際網路。因此,您建立同時包含公有和私有子網路的 VPC。應用程式託管在公有子網路中,因此可以連線到公有網際網路。叢集託管在私有子網路中。應用程式可以連接到叢集,因為它託管在相同的 VPC 內。但是, 叢集不適用於公有網際網路,可提供更高的安全性。

本主題中的程序會在個別可用區域中設定額外的公有和私有子網路。程序不會使用這些子網路。DocumentDB 子網路群組至少需要兩個可用區域中的子網路。額外的子網路可讓您更輕鬆地設定多個 DocumentDB 執行個體。

本主題說明為 Amazon DocumentDB 叢集設定 VPC。如需 Amazon VPC 的詳細資訊,請參閱《Amazon VPC 使用者指南》

提示

您可以在建立叢集時,自動設定 Amazon EC2 執行個體與 DocumentDB 叢集之間的網路連線。網路組態類似於本案例所述的組態。如需詳細資訊,請參閱自動連接 Amazon EC2

步驟 1:建立具有私有和公有子網路的 VPC

使用下列程序來建立一個同時含公有和私有子網路的 VPC。

建立 VPC 和子網路

  1. 開啟位於 https://https://console.aws.amazon.com/vpc 的 Amazon VPC 主控台。

  2. 在 的右上角 AWS 管理主控台,選擇要在其中建立 VPC 的區域。此範例使用 美國西部 (奧勒岡) 區域。

  3. 在左上角,選擇 VPC Dashboard (VPC 儀表板)。若要開始建立 VPC,請選擇 Create VPC (建立 VPC)。

  4. VPC Settings (VPC 設定) 的 Resources to create (建立資源) 下,選擇 VPC and more (VPC 和更多)。

  5. 對於 VPC settings (VPC 設定),設定這些值:

    • 名稱標籤自動產生example

    • IPv4 CIDR 區塊10.0.0.0/16

    • IPv6 CIDR 區塊無 IPv6 CIDR 區塊

    • 租用預設

    • 可用區域 (AZs) 的數量2

    • 自訂 AZs — 保留預設值

    • 公有子網路數量2

    • 私有子網路數量2

    • 自訂子網路 CIDR 區塊 — 保留預設值

    • NAT 閘道 ($)

    • VPC 端點

    • DNS 選項 — 保留預設值

  6. 選擇建立 VPC

步驟 2:為公有應用程式建立 VPC 安全群組

接著,建立用於公開存取的安全群組。若要連線至 VPC 中的公有 EC2 執行個體,請將傳入規則新增至 VPC 安全群組。這些規則允許流量從網際網路連線。

建立 VPC 安全群組

  1. 在 https://https://console.aws.amazon.com/vpc 開啟 Amazon VPC 主控台。

  2. 選擇 VPC Dashboard (VPC 儀表板),再選擇 Security Groups (安全群組),然後選擇 Create security group (建立安全群組)

  3. Create security group (建立安全群組) 頁面上,設定下列值:

    • 安全群組名稱example-securitygroup

    • 描述Application security group

    • VPC — 選擇您先前建立的 VPC,例如:vpc-example

  4. 將傳入規則新增至安全群組

    1. 決定用於使用安全殼層 (SSH) 連接至 VPC 中 EC2 執行個體的 IP 地址。若要判斷公有 IP 地址,您可以在不同的瀏覽器視窗或索引標籤中使用 https://checkip.amazonaws.com 中的服務。IP 地址的範例為 203.0.113.25/32

      在許多情況下,您可能透過網際網路服務供應商 (ISP) 或是從沒有靜態 IP 地址的防火牆進行連線。若是如此,請找出用戶端電腦所使用的 IP 地址範圍。

      警告

      如果您使用 0.0.0.0/0 進行 SSH 存取,則可讓所有 IP 地址使用 SSH 存取您的公有執行個體。通常在測試環境中短暫使用此方法是沒有問題的,但在生產環境則不安全。在生產環境中,您應只授權特定 IP 地址或特定範圍的地址可使用 SSH 存取您的執行個體。

    2. Inbound rules (傳入規則) 區段中,選擇 Add rule (新增規則)

    3. 針對您的新傳入規則設定下列值,以允許透過 SSH 存取您的 Amazon EC2 執行個體。執行此操作後,您可以連線至 EC2 執行個體來安裝應用程式和其他公用程式。您也可以連線至 EC2 執行個體,為您的應用程式上傳內容。

      • 類型SSH

      • 來源 — 您從步驟 a 建立的 IP 地址或範圍,例如: 203.0.113.25/32

    4. 選擇新增規則

    5. 為您的新傳入規則設定下列值,以允許 HTTP 存取您的應用程式:

      • 類型HTTP

      • 來源0.0.0.0/0

  5. 請選擇 Create security group (建立安全群組) 以建立安全群組。

    請注意安全群組 ID,因為您稍後在另一個程序中需要它。

步驟 3:建立私有叢集的 VPC 安全群組

若要保持叢集的私密性,請建立第二個安全群組以進行私有存取。若要連線到 VPC 中的私有叢集,請將傳入規則新增至 VPC 安全群組,僅允許來自應用程式的流量。

建立 VPC 安全群組

  1. 開啟位於 https://https://console.aws.amazon.com/vpc 的 Amazon VPC 主控台。

  2. 選擇 VPC Dashboard (VPC 儀表板),再選擇 Security Groups (安全群組),然後選擇 Create security group (建立安全群組)

  3. Create security group (建立安全群組) 頁面上,設定下列值:

    • 安全群組名稱example-securitygroup

    • 描述Instance security group

    • VPC — 選擇您先前建立的 VPC,例如:vpc-example

  4. 將傳入規則新增至安全群組

    1. Inbound rules (傳入規則) 區段中,選擇 Add rule (新增規則)

    2. 為您的新傳入規則設定下列值,以允許來自 Amazon EC2 執行個體的連接埠 27017 上的 DocumentDB 流量。執行此操作後,您可以從應用程式連線到叢集。如此一來,您就可以將資料從應用程式存放和擷取到資料庫。

      • 類型Custom TCP

      • 來源 — 您先前在本主題中建立之應用程式安全群組的識別符,例如:sg-9edd5cfb

    3. 選擇新增規則

    4. 為您的新傳入規則設定下列值,以允許 HTTP 存取您的應用程式:

      • 類型HTTP

      • 來源0.0.0.0/0

  5. 請選擇 Create security group (建立安全群組) 以建立安全群組。

步驟 4:建立子網路群組

子網路群組是您在 VPC 中建立,然後為叢集指定的子網路集合。子網路群組可讓您在建立叢集時指定特定的 VPC。

建立子網路群組

  1. 識別 VPC 中資料庫的私有子網路。

    1. 開啟位於 https://https://console.aws.amazon.com/vpc 的 Amazon VPC 主控台。

    2. 選擇 VPC Dashboard (VPC 儀表板),然後選擇 Subnets (子網路)。

    3. 請注意您在名為 的步驟 1 中建立之子網路IDs,例如:example-subnet-private1-us-west-2aexample-subnet-private2-us-west-2b。建立子網路群組時,您需要子網路 IDs。

  2. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/docdb 開啟 Amazon DocumentDB 主控台。

    請確定您連線到 Amazon DocumentDB 主控台,而不是 Amazon VPC 主控台。

  3. 在導覽窗格中選擇 Subnet groups (子網路群組)

  4. 選擇建立

  5. 建立子網路群組頁面上,在子網路群組詳細資訊區段中設定這些值:

    • 名稱example-db-subnet-group

    • 描述Instance security group

  6. 新增子網路區段中,設定這些值:

    • VPC — 選擇您先前建立的 VPC,例如:vpc-example

    • 可用區域 — 選取在步驟 1 中建立的兩個可用區域。範例:us-west-2aus-west-2b

    • 子網路 — 選擇您在步驟 1 中建立的私有子網路。

  7. 選擇建立

您的新子網路群組會出現在 DocumentDB 主控台的子網路群組清單中。您可以選擇子網路群組,以在詳細資訊窗格中查看詳細資訊。這些詳細資料包括與群組關聯的所有子網路。

注意

如果您建立此 VPC 以與 DocumentDB 叢集建立關聯,請依照 中的指示建立叢集建立 Amazon DocumentDB 叢集

刪除 VPC

您可以刪除不再需要的 VPC 和其中使用的其他資源。

注意

如果您在本主題中建立的 VPC 中新增資源,您可能需要先刪除這些資源,才能刪除 VPC。例如,這些資源可能包含 Amazon EC2 執行個體或 DocumentDB 叢集。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的刪除 VPC

刪除 VPC 和相關資源

  1. 刪除子網路群組:

    1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/docdb 開啟 Amazon DocumentDB 主控台。

    2. 在導覽窗格中選擇 Subnet groups (子網路群組)

    3. 選取您要刪除的子網路群組,例如 example-db-subnet-group

    4. 選擇 Delete (刪除),然後在確認視窗中選擇 Delete (刪除)。

  2. 請記下 VPC ID:

    1. 開啟位於 https://https://console.aws.amazon.com/vpc 的 Amazon VPC 主控台。

    2. 選擇 VPC 儀表板,然後選擇您的 VPCs

    3. 在清單中,識別您建立的 VPC,例如 vpc-example

    4. 請記下您所建立的 VPC 的 VPC ID。在稍後的步驟中,您需要 VPC ID。

  3. 刪除安全群組:

    1. 在 https://https://console.aws.amazon.com/vpc 開啟 Amazon VPC 主控台。

    2. 選擇 VPC Dashboard (VPC 儀表板),然後選擇 Security Groups (安全群組)。

    3. 選取 Amazon DocumentDB 叢集的安全群組,例如 example-securitygroup

    4. 針對動作,選擇刪除安全群組,然後在確認對話方塊中選擇刪除

    5. 返回安全群組頁面,選取 Amazon EC2 執行個體的安全群組,例如 example-securitygroup

    6. 針對動作,選擇刪除安全群組,然後在確認對話方塊中選擇刪除

  4. 刪除 VPC

    1. 開啟位於 https://https://console.aws.amazon.com/vpc 的 Amazon VPC 主控台。

    2. 選擇 VPC 儀表板,然後選擇您的 VPCs

    3. 選取您要刪除的 VPC,例如 vpc-example

    4. 針對動作,選擇刪除 VPC。

      確認頁面會顯示與 VPC 相關聯的其他資源,這些資源也將遭到刪除,包括與其相關聯的子網路。

    5. 在確認對話方塊中,輸入 delete,然後選擇刪除