網路和資料庫組態需求 - Amazon Quick Suite
網路組態需求自主管理執行個體的資料庫組態需求

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

網路和資料庫組態需求

若要做為資料來源,需要設定資料庫,以便 Amazon Quick Suite 可以存取它們。使用以下各節來確保您的資料庫已適當設定。

重要

由於 Amazon EC2 上的資料庫執行個體由您管理,而不是由您管理 AWS,因此它必須符合網路組態要求以及自我管理執行個體的資料庫組態要求

網路組態需求

   目標對象:系統管理員 

若要從 Amazon Quick Suite 使用資料庫伺服器,您的伺服器必須可從網際網路存取。它還必須允許來自 Amazon Quick Suite 伺服器的傳入流量。

如果資料庫與您的 Amazon Quick Suite 帳戶位於相同的 AWS 和 AWS 區域 中,您可以自動探索執行個體,讓連線變得更輕鬆。若要這樣做,您必須授予 Amazon Quick Suite 存取許可。如需詳細資訊,請參閱存取資料來源

預設 VPC 中的 AWS 執行個體的網路組態

在某些情況下,您的資料庫可能位於您在預設 VPC 中建立的 AWS 叢集或執行個體上。因此,它可公開存取 (也就是您未選擇將它變成私有)。在這種情況下,您的資料庫已適當設定為可從網際網路存取。不過,您仍然需要啟用從 Amazon Quick Suite 伺服器到 AWS 叢集或執行個體的存取權。有關如何這樣做的進一步詳細資訊,請選擇以下適當的主題:

非預設 VPC 中 AWS 執行個體的網路組態

如果您在非預設 VPC 中設定 AWS 執行個體,請確定執行個體可公開存取,且 VPC 具有下列項目:

  • 網際網路閘道。

  • 公有子網路。

  • 網際網路閘道和 AWS 執行個體之間的路由表中的路由。

  • VPC 中的網路存取控制清單 (ACLs),允許叢集或執行個體與 Amazon Quick Suite 伺服器之間的流量。這些 ACL 必須執行下列動作:

    • 允許從適當的 Amazon Quick Suite IP 地址範圍和所有連接埠到資料庫接聽之 IP 地址和連接埠的傳入流量。

    • 允許傳出流量從資料庫的 IP 地址和連接埠流向適當的 Amazon Quick Suite IP 地址範圍和所有連接埠。

    如需 Amazon Quick Suite IP 地址範圍的詳細資訊,請參閱以下 Amazon Quick Suite 的 IP 地址範圍

    如需有關設定 VPC ACL 的詳細資訊,請參閱網路 ACL

  • 允許叢集或執行個體與 Amazon Quick Suite 伺服器之間的流量的安全群組規則。如需如何建立適當安全群組規則的更多詳細資訊,請參閱授權 AWS 與資料來源的連線

如需有關在 Amazon VPC 服務中設定 VPC 的詳細資訊,請參閱 VPC 中的聯網

私有 VPC 中的 AWS 執行個體的網路組態

如果您的資料庫位於您在私有 VPC 中建立的 AWS 叢集或執行個體上,您可以將其與 Amazon Quick Suite 搭配使用。如需詳細資訊,請參閱使用 Amazon Quick Suite 連線至 Amazon VPC

如需有關 Amazon VPC 的詳細資訊,請參閱 Amazon VPCAmazon VPC 文件

不是在 VPC 中的 AWS 執行個體的網路組態

如果您設定的 AWS 執行個體不在 VPC 中,請確定執行個體可公開存取。此外,請確定有安全群組規則允許叢集或執行個體與 Amazon Quick Suite 伺服器之間的流量。有關如何這樣做的進一步詳細資訊,請選擇以下適當的主題:

以外的資料庫執行個體的網路組態 AWS

若要使用 SSL 來保護資料庫的連線 (建議),請確保您有公認的憑證授權機構 (CA) 所簽署的憑證。Amazon Quick Suite 不接受自我簽署或從非公有 CA 發行的憑證。如需詳細資訊,請參閱 Amazon Quick Suite SSL 和 CA 憑證

如果您的資料庫位於 以外的伺服器上 AWS,您必須變更該伺服器的防火牆組態,以接受來自適當 Amazon Quick Suite IP 地址範圍的流量。如需 Amazon Quick Suite IP 地址範圍的詳細資訊,請參閱 Amazon Quick Suite 的 IP 地址範圍。如需有關啟用網際網路連線所需採取的任何其他步驟,請參閱您的作業系統文件。

Amazon Quick Suite SSL 和 CA 憑證

以下是公認的公有憑證授權機構清單。如果您使用的是 以外的資料庫執行個體 AWS,您的憑證必須在此清單中,否則將無法運作。

  • AAA Certificate Services

  • AddTrust Class 1 CA Root

  • AddTrust External CA Root

  • AddTrust Qualified CA Root

  • AffirmTrust Commercial

  • AffirmTrust Networking

  • AffirmTrust Premium

  • AffirmTrust Premium ECC

  • America Online Root Certification Authority 1

  • America Online Root Certification Authority 2

  • Baltimore CyberTrust Code Signing Root

  • Baltimore CyberTrust Root

  • Buypass Class 2 Root CA

  • Buypass Class 3 Root CA

  • Certum CA

  • Certum Trusted Network CA

  • Chambers of Commerce Root

  • Chambers of Commerce Root - 2008

  • Class 2 Primary CA

  • Class 3P Primary CA

  • Deutsche Telekom Root CA 2

  • DigiCert Assured ID Root CA

  • DigiCert Global Root CA

  • DigiCert High Assurance EV Root CA

  • Entrust.net Certification Authority (2048)

  • Entrust Root Certification Authority

  • Entrust Root Certification Authority - G2

  • Equifax Secure eBusiness CA-1

  • Equifax Secure Global eBusiness CA-1

  • GeoTrust Global CA

  • GeoTrust Primary Certification Authority

  • GeoTrust Primary Certification Authority - G2

  • GeoTrust Primary Certification Authority - G3

  • GeoTrust Universal CA

  • Global Chambersign Root - 2008

  • GlobalSign

  • GlobalSign Root CA

  • Go Daddy Root Certificate Authority - G2

  • GTE CyberTrust Global Root

  • KEYNECTIS ROOT CA

  • QuoVadis Root CA 2

  • QuoVadis Root CA 3

  • QuoVadis Root Certification Authority

  • SecureTrust CA

  • Sonera Class1 CA

  • Sonera Class2 CA

  • Starfield Root Certificate Authority - G2

  • Starfield Services 根憑證認證機構:G2

  • SwissSign Gold CA - G2

  • SwissSign Platinum CA - G2

  • SwissSign Silver CA - G2

  • TC TrustCenter Class 2 CA II

  • TC TrustCenter Class 4 CA II

  • TC TrustCenter Universal CA I

  • Thawte Personal Freemail CA

  • Thawte Premium Server CA

  • thawte Primary Root CA

  • thawte Primary Root CA - G2

  • thawte Primary Root CA - G3

  • Thawte Server CA

  • Thawte Timestamping CA

  • T-TeleSec GlobalRoot Class 2

  • T-TeleSec GlobalRoot Class 3

  • UTN - DATACorp SGC

  • UTN-USERFirst-Client Authentication and Email

  • UTN-USERFirst-Hardware

  • UTN-USERFirst-Object

  • Valicert

  • VeriSign Class 1 Public Primary Certification Authority - G3

  • VeriSign Class 2 Public Primary Certification Authority - G3

  • VeriSign Class 3 Public Primary Certification Authority - G3

  • VeriSign Class 3 Public Primary Certification Authority - G4

  • VeriSign Class 3 Public Primary Certification Authority - G5

  • VeriSign Universal Root Certification Authority

  • XRamp Global Certification Authority

Amazon Quick Suite 的 IP 地址範圍

如需支援區域中 Amazon Quick Suite IP 地址範圍的詳細資訊,請參閱AWS 區域、網站、IP 地址範圍和端點

自主管理執行個體的資料庫組態需求

   目標對象:系統管理員和 Amazon Quick Suite 管理員 

若要讓資料庫可供 Amazon Quick Suite 存取,其必須符合下列條件:

  • 必須可從網際網路存取。若要啟用網際網路連線,請參閱您的資料庫管理系統文件。

  • 必須設定為接受連線,且使用您在建立資料集過程中所提供的使用者登入資料來驗證存取。

  • 如果您是連接到 MySQL 或 PostgreSQL,則必須可從您的主機或 IP 範圍存取資料庫引擎。這個選用的安全限制是在 MySQL 或 PostgreSQL 連線設定中指定。如果此限制生效,即使您有正確的使用者名稱和密碼,也一律拒絕從非指定的主機或 IP 地址來嘗試連線。

  • 在 MySQL 中,只有當已驗證使用者表格中的使用者和主機時,伺服器才會接受連線。如需詳細資訊,請參閱 MySQL 文件中的存取控制,階段 1:連線驗證

  • 在 PostgreSQL 中,您可使用資料庫叢集的資料目錄中的 pg_hba.conf 檔案來控制用戶端身分驗證。但是,在您的系統上,這個檔案的名稱和位置可能不同。如需詳細資訊,請參閱 PostgreSQL 文件中的用戶端身分驗證