View a markdown version of this page

Arbeiten mit einer DB-Cluster in einer VPC - Amazon Aurora
Arbeiten mit einer DB-Cluster in einer VPCKontrolle der VerschlüsselungArbeiten mit DB-SubnetzgruppenGemeinsam genutzte SubnetzeIP-AdressierungAusblenden einer DB-Clusters in einer VPC vor dem InternetErstellen einer DB-Cluster in einer VPC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit einer DB-Cluster in einer VPC

Ihr DB-Cluster befindet sich in einer Virtual Private Cloud (VPC). Eine VPC ist ein virtuelles Netzwerk, das logisch von anderen virtuellen Netzwerken in der AWS Cloud isoliert ist. Amazon VPC ermöglicht es Ihnen, AWS Ressourcen wie einen Aurora oder eine Amazon EC2 EC2-Instance in einer VPC zu starten. Bei der VPC kann es sich um die mit Ihrem Konto verknüpfte Standard-VPC oder eine von Ihnen erstellte VPC handeln. Alle VPCs sind mit Ihrem Konto verknüpft. AWS

Die Standard-VPC besitzt drei Subnetze, mit denen Sie Ressourcen innerhalb der VPC separieren können. Zudem verfügt die Standard-VPC über ein Internet-Gateway, mit dem Sie den externen Zugriff auf Ressourcen in der VPC gewähren können.

Eine Liste von Szenarien mit Amazon Aurora DB-Clusters in einer VPC finden Sie unter Szenarien für den Zugriff auf eine DB- Cluster in einer VPC.

In den folgenden Tutorials lernen Sie, eine VPC zu erstellen, die Sie für ein gängiges Amazon-Aurora-Szenario verwenden können:

Arbeiten mit einer DB-Cluster in einer VPC

Hier sind einige Tipps für das Arbeiten mit einer DB-Cluster in einer VPC:

  • Ihre VPC muss mindestens zwei Subnetze besitzen. Diese Subnetze müssen sich in zwei verschiedenen Availability Zones in dem Bereich befinden AWS-Region , in dem Sie Ihren bereitstellen möchten. Ein Subnetz ist ein Segment des IP-Adressbereichs einer VPC, das Sie angeben können und das Sie zur Gruppierung von DB-Clustern auf der Grundlage Ihrer Sicherheits- und Betriebsanforderungen verwenden können.

  • Wenn Sie möchten, dass Ihr DB-Cluster in der VPC öffentlich zugänglich ist, stellen Sie sicher, dass Sie die VPC-Attribute DNS-Hostnamen und DNS-Auflösung aktivieren.

  • Sie müssen für Ihre VPC eine DB-Sicherheitsgruppe erstellen. Sie erstellen eine DB-Subnetzgruppe, indem Sie die Subnetze angeben, die Sie erstellt haben. Amazon Aurora wählt ein Subnetz und eine IP-Adresse innerhalb dieses Subnetzes, die mit der primären DB-Instance in Ihrem DB-Cluster verknüpft wird. Die primäre DB-Instance verwendet die Availability Zone, die das Subnetz enthält.

  • Ihre VPC muss über eine VPC-Sicherheitsgruppe verfügen, die den Zugriff auf die DB-Cluster zulässt.

    Weitere Informationen finden Sie unter Szenarien für den Zugriff auf eine DB- Cluster in einer VPC.

  • Die CIDR-Blöcke in jedem Subnetz müssen groß genug sein, um freie IP-Adressen für Amazon Aurora unterzubringen, die während der Wartungsarbeiten genutzt werden können, einschließlich Failover und Skalierung. Zum Beispiel ein Bereich wie 10.0.0. 0/24 und 10.0.1. 0/24 ist normalerweise groß genug.

  • Eine VPC kann über das Attribut instance tenancy mit dem Wert default oder dedicated verfügen. Bei allen Standard-VPCs ist das Attribut "instance tenancy" auf den Standardwert gesetzt; und eine Standard-VPC kann eine beliebige DB-Instance-Klasse unterstützen.

    Wenn Ihre DB-Cluster in einer dedizierten VPC ist und das Attribut „instance tenancy“ den Wert „dedicated“ aufweist, muss die DB-Instance-Klasse Ihrer DB-Cluster einem der zulässigen Dedicated-Instance-Typen von Amazon EC2 entsprechen. Zum Beispiel entspricht die EC2–Dedicated Instance r5.large der DB-Instance-Klasse db.r5.large. Informationen über die Instance-Tenancy in einer VPC finden Sie unter Dedicated Instances im Amazon Elastic Compute Cloud-Benutzerhandbuch.

    Weitere Informationen zu Instance-Typen, die in einer Dedicated Instance enthalten sein dürfen, finden Sie unter Amazon EC2 Dedicated Instances auf der Preisseite für Amazon EC2.

    Anmerkung

    Wenn Sie das Attribut instance tenancy für einen DB-Cluster auf „dedicated“ setzen, garantiert dies nicht, dass der DB-Cluster auf einem dedizierten Host läuft.

VPC-Verschlüsselungssteuerung

VPC-Verschlüsselungskontrollen ermöglichen es Ihnen, die Verschlüsselung während der Übertragung für den gesamten Netzwerkverkehr innerhalb Ihrer VPCs durchzusetzen. Verwenden Sie die Verschlüsselungskontrolle, um die gesetzlichen Anforderungen zu erfüllen, indem Sie sicherstellen, dass nur verschlüsselungsfähige Nitro-based Hardware in den dafür vorgesehenen VPCs bereitgestellt werden kann. Durch die Verschlüsselungskontrolle werden Kompatibilitätsprobleme auch bei der API-Anfrage und nicht bei der Bereitstellung erkannt. Ihre vorhandenen Workloads werden weiterhin ausgeführt und nur neue inkompatible Anfragen werden blockiert.

Richten Sie Ihre VPC-Verschlüsselungskontrollen ein, indem Sie den VPC-Steuerungsmodus auf Folgendes einstellen:

  • deaktiviert (Standard)

  • überwachen

  • erzwungen

Um den aktuellen Steuermodus für Ihre VPC zu überprüfen, verwenden Sie den AWS-Managementkonsole oder DescribeVpcsCLI- oder API-Befehl.

Wenn Ihre VPC Verschlüsselung erzwingt, können Sie nur Nitro-based bereitstellen, die Verschlüsselung bei der Übertragung in dieser VPC unterstützen. Weitere Informationen finden Sie unter DB-Instance-Klassenarten. Informationen zu Nitro-Instances finden Sie unter Instances, die auf dem AWS Nitro System basieren im Amazon EC2 EC2-Benutzerhandbuch.

Anmerkung

Wenn Sie versuchen, inkompatible in einer durch Verschlüsselung erzwungenen VPC bereitzustellen, gibt Aurora eine Ausnahme zurück. VpcEncryptionControlViolationException

Aurora ServerlessFür MySQL und PostreSQL erfordert die Verschlüsselungskontrolle Plattformversion 3 oder höher.

Arbeiten mit DB-Subnetzgruppen

Subnetze sind Segmente eines IP-Adressbereichs der VPC, die Sie festlegen und mit denen Sie basierend auf Ihren Sicherheits- und Betriebsanforderungen Ressourcen gruppieren können. Eine DB-Subnetzgruppe ist eine Sammlung von Subnetzen (in der Regel private Subnetze), die Sie in einer VPC erstellen und anschließend Ihrer DB-Clusters zuweisen. Mithilfe einer DB-Subnetzgruppe können Sie eine bestimmte VPC angeben, wenn Sie mithilfe der AWS CLI oder RDS-API erstellen. Wenn Sie die Konsole verwenden, können Sie die VPC und Subnetze auswählen, die Sie verwenden möchten.

Jede DB-Subnetzgruppe sollte über Subnetze in mindestens zwei Availability Zones in einer bestimmten AWS-Region verfügen. Beim Erstellen einer DB-Cluster in einer VPC müssen Sie eine DB-Subnetzgruppe dafür auswählen. Aus der DB-Subnetzgruppe wählt Amazon Aurora ein Subnetz und eine IP-Adresse innerhalb dieses Subnetzes aus, um es mit der primären DB-Instance in Ihrem DB-Cluster zu verbinden. Die DB verwendet die Availability Zone, die das Subnetz enthält. Aurora weist immer eine IP-Adresse aus einem Subnetz zu, das über freien IP-Adressraum verfügt.

Die Subnetze in einer DB-Subnetzgruppe sind entweder öffentlich oder privat. Die Subnetze sind öffentlich oder privat, abhängig von der Konfiguration, die Sie für die Netzwerkzugriffskontrolllisten (Netzwerk-ACLs) und Routingtabellen festgelegt haben. Damit öffentlich auf eine DB-Cluster zugegriffen werden kann, müssen alle Subnetze in der entsprechenden DB-Subnetzgruppe öffentlich sein. Wenn ein Subnetz, das mit einer öffentlich zugänglichen DBCluster verknüpft ist, von öffentlich in privat geändert wird, kann dies die Verfügbarkeit der DB-Cluster beeinträchtigen.

Wenn Sie eine DB-Subnetzgruppe erstellen möchten, die den Dual-Stack-Modus unterstützt, stellen Sie sicher, dass jedem Subnetz, das Sie der DB-Subnetzgruppe hinzufügen, ein CIDR-Block der Internetprotokollversion 6 (IPv6) zugeordnet ist. Weitere Informationen finden Sie unter Amazon-Aurora-IP-Adressierung und Migrieren zu IPv6 im Amazon VPC-Benutzerhandbuch.

Wenn Amazon Aurora eine DB-Cluster in einer VPC erstellt, wird Ihrer DB-Cluster mithilfe einer IP-Adresse aus Ihrer DB-Subnetzgruppe eine Netzwerkschnittstelle zugewiesen. Wir empfehlen jedoch dringend, den DNS-Namen (Domain Name System) für die Verbindung zu Ihrem DB-Cluster zu verwenden. Wir empfehlen dies, da sich die zugrunde liegende IP-Adresse während des Failovers ändert.

Anmerkung

Für jede DB-Cluster, die Sie in einer VPC ausführen, stellen Sie sicher, mindestens eine Adresse in jedem Subnetz der DB-Subnetzgruppe für Wiederherstellungsmaßnahmen von Amazon Aurora zu reservieren.

Gemeinsam genutzte Subnetze

Sie können eine(n) DB-Cluster in einer gemeinsam genutzten VPC erstellen.

Einige Aspekte, die Sie bei der Verwendung gemeinsam genutzter VPCs beachten sollten:

  • Sie können eine(n) DB-Cluster von einem gemeinsam genutzten VPC-Subnetz in ein nicht gemeinsam genutztes VPC-Subnetz verschieben und umgekehrt.

  • Teilnehmer in einer gemeinsam genutzten VPC müssen eine Sicherheitsgruppe in der VPC erstellen, damit sie eine(n) DB-Cluster erstellen können.

  • Besitzer und Teilnehmer in einer gemeinsam genutzten VPC können mithilfe von SQL-Abfragen auf die Datenbank zugreifen. Allerdings kann nur der Ersteller einer Ressource beliebige API-Aufrufe für die Ressource tätigen.

Amazon-Aurora-IP-Adressierung

IP-Adressen ermöglichen es Ressourcen in Ihrer VPC untereinander und mit Ressourcen im Internet zu kommunizieren. Amazon Aurora unterstützt sowohl IPv4- als auch IPv6-Adressierungsprotokolle. Standardmäßig verwenden Amazon Aurora und Amazon VPC das IPv4-Adressierungsprotokoll. Sie können dieses Standardverhalten nicht deaktivieren. Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 CIDR-Block (einen privaten IPv4-Adressenbereich) angeben. Optional können Sie Ihrer VPC und den Subnetzen einen IPv6 CIDR-Block zuordnen und den Clustern in Ihrem Subnetz IPv6-Adressen von diesem Block zuweisen.

Durch die Unterstützung des IPv6-Protokolls wird die Anzahl der unterstützten IP-Adressen erweitert. Durch die Verwendung des IPv6-Protokolls stellen Sie sicher, dass Sie über ausreichende verfügbare Adressen für das künftige Wachstum des Internets verfügen. Neue und vorhandene RDS-Ressourcen können IPv4- und IPv6-Adressen innerhalb Ihrer VPC verwenden. Das Konfigurieren, Sichern und Übersetzen des Netzwerkverkehrs zwischen den beiden Protokollen, die in verschiedenen Teilen einer Anwendung verwendet werden, können den Betriebsaufwand erhöhen. Sie können das IPv6-Protokoll für Amazon-RDS-Ressourcen standardisieren, um Ihre Netzwerkkonfiguration zu vereinfachen.

IPv4-Adressen

Beim Erstellen einer VPC müssen Sie für diese einen IPv4-Adressbereich in Form eines CIDR-Blocks wie 10.0.0.0/16 festlegen. Eine DB-Subnetzgruppe definiert den Bereich der IP-Adressen in diesem CIDR-Block, den eine DB-Cluster verwenden kann. Diese IP-Adressen können privat oder öffentlich sein.

Eine private IPv4-Adresse ist eine IP-Adresse, die nicht über das Internet erreichbar ist. Sie können private IPv4-Adressen zur Kommunikation zwischen Ihrem DB-Cluster und anderen Ressourcen, wie Amazon-EC2-Instances, in derselben VPC verwenden. Jeder DB-Cluster hat eine private IP-Adresse für die Kommunikation in der VPC.

Eine öffentliche IP-Adresse ist eine IPv4-Adresse, die über das Internet erreichbar ist. Sie können öffentliche Adressen zur Kommunikation zwischen Ihrem DB-Cluster und Ressourcen im Internet, wie ein SQL-Client, verwenden. Anhand der folgenden Schritte können Sie kontrollieren, ob Ihr DB-Cluster eine öffentliche IP-Adresse erhält:

Amazon RDS verwendet Public Elastic IPv4-Adressen aus dem öffentlichen IPv4-Adresspool von EC2 für öffentlich zugängliche Datenbank-Instances. Diese IP-Adressen sind in Ihrem AWS Konto sichtbar, wenn Sie die describe-addresses CLI oder API verwenden oder den Abschnitt Elastic IPs (EIP) in der AWS-Managementkonsole aufrufen. Jede RDS-managed IP-Adresse ist mit einem service_managed Attribut gekennzeichnet, das auf "rds" gesetzt ist.

Diese IPs sind zwar in Ihrem Konto sichtbar, werden aber weiterhin vollständig von Amazon RDS verwaltet und können nicht geändert oder veröffentlicht werden. Amazon RDS gibt IPs wieder in den öffentlichen IPv4-Adresspool frei, wenn sie nicht mehr verwendet werden.

CloudTrail protokolliert API-Aufrufe im Zusammenhang mit der EIP von RDS, wie z. B. AllocateAddress Diese API-Aufrufe werden vom Service Principal aufgerufen. rds.amazonaws.com

Anmerkung

Von Amazon RDS zugewiesene IPs werden nicht auf die EIP-Limits Ihres Kontos angerechnet.

Weitere Informationen zum Erstellen einer VPC nur mit privaten IPv4-Adressen, die Sie mit einem gängigen Amazon Aurora-Szenario verwenden können, finden Sie unter Tutorial: Erstellen einer VPC zur Verwendung mit einem DB-Cluster (nur IPv4).

IPv6-Adressen

Optional können Sie Ihrer VPC und den Subnetzen einen IPv6 CIDR-Block zuordnen und den Ressourcen in Ihrer VPC IPv6-Adressen von diesem Block zuweisen. Jede IPv6-Adresse ist global eindeutig.

Der IPv6 CIDR-Block für Ihre VPC wird automatisch aus dem Amazon-Pool mit IPv6-Adressen zugewiesen. Sie können den Bereich nicht selbst auswählen.

Stellen Sie beim Herstellen einer Verbindung mit einer IPv6-Adresse sicher, dass die folgenden Bedingungen erfüllt sind:

  • Der Client ist so konfiguriert, dass der Datenverkehr zwischen Client und Datenbank über IPv6 erlaubt ist.

  • RDS-Sicherheitsgruppen, die von der DB-Instance verwendet werden, sind korrekt konfiguriert, sodass der Datenverkehr zwischen Client und Datenbank über IPv6 erlaubt ist.

  • Der Clientbetriebssystem-Stack erlaubt Datenverkehr an der IPv6-Adresse und Betriebssystemtreiber und Bibliotheken sind so konfiguriert, dass sie den richtigen Standardendpunkt der DB-Instance auswählen (entweder IPv4 oder IPv6).

Weitere Informationen über IPv6 finden Sie unter IP-Adresszuweisung im Amazon VPC Benutzerhandbuch.

Dual-stack Modus

Ein wird im Dual-Stack-Modus ausgeführt, wenn er sowohl über IPv4- als auch über IPv6-Adressierungsprotokolle kommunizieren kann. Ressourcen können dann entweder über IPv4, IPv6 oder beide Protokolle mit dem kommunizieren. Private DB-Instances im Dual-Stack-Modus verfügen über IPv6-Endpunkte, die RDS auf den VPC-Zugriff beschränkt, um sicherzustellen, dass Ihre IPv6-Endpunkte privat bleiben. Öffentliche DB-Instances im Dual-Stack-Modus bieten sowohl IPv4- als auch IPv6-Endpunkte, auf die Sie über das Internet zugreifen können.

Weitere Informationen zum Erstellen einer VPC sowohl mit IPv4- als auch IPv6-Adressen, die Sie mit einem gängigen Amazon-Aurora-Szenario verwenden können, finden Sie unter Tutorial: Erstellen einer VPC zur Verwendung mit einer DB–einem DB-Cluster (Dual-Stack-Modus).

Dual-stack Modus- und DB-Subnetzgruppen

Zur Verwendung des Dual-Stack-Modus stellen Sie sicher, dass jedem Subnetz in der DB-Subnetzgruppe, das Sie mit dem DB-Cluster verknüpfen, ein IPv6-CIDR-Block zugeordnet ist. Sie können eine neue DB-Subnetzgruppe erstellen oder eine vorhandene DB-Subnetzgruppe ändern, um diese Anforderung zu erfüllen. Nachdem ein DB-Cluster in den Dual-Stack-Modus gewechselt ist, können sich Clients normal damit verbinden. Stellen Sie sicher, dass Client-Sicherheits-Firewalls und Sicherheitsgruppen der RDS-DB-Instance präzise konfiguriert sind, um Datenverkehr über IPv6 zuzulassen. Zum Herstellen einer Verbindung verwenden Clients den Endpunkt der primären Instance des DB-Clusters. Clientanwendungen können angeben, welches Protokoll bevorzugt wird, wenn eine Verbindung mit einer Datenbank hergestellt wird. Im Dual-Stack-Modus erkennt der DB-Cluster das bevorzugte Netzwerkprotokoll des Clients, entweder IPv4 oder IPv6, und verwendet dieses Protokoll für die Verbindung.

Wenn eine DB-Subnetzgruppe den Dual-Stack-Modus aufgrund der Löschung des Subnetzes oder der CIDR-Trennung nicht mehr unterstützt, besteht die Gefahr eines inkompatiblen Netzwerkstatus für DB-Instances, die mit der DB-Subnetzgruppe verknüpft sind. Sie können die DB-Subnetzgruppe auch nicht verwenden, wenn Sie einen neuen DB-Cluster im Dual-Stack-Modus erstellen.

Um mithilfe von festzustellen, ob eine DB-Subnetzgruppe den Dual-Stack-Modus unterstützt AWS-Managementkonsole, sehen Sie sich den Netzwerktyp auf der Detailseite der DB-Subnetzgruppe an. Um mithilfe von zu ermitteln, ob eine DB-Subnetzgruppe den Dual-Stack-Modus unterstützt AWS CLI, führen Sie den Befehl describe-db-subnet-groups aus und sehen Sie sich die Ausgabe an. SupportedNetworkTypes

Lesereplikate werden als unabhängige DB-Instances behandelt und können einen anderen Netzwerktyp haben als die primäre DB-Instance. Wenn Sie den Netzwerktyp der primären DB-Instance eines Lesereplikats ändern, ist das Lesereplikat nicht betroffen. Wenn Sie eine DB-Instance wiederherstellen, können Sie sie auf jedem unterstützten Netzwerktyp wiederherstellen.

Arbeiten mit DB-Instances im Dual-Stack-Modus

Wenn Sie einen DB-Cluster erstellen oder ändern, können Sie den Dual-Stack-Modus angeben, damit Ihre Ressourcen mit Ihrer Ihrem DB-Cluster über IPv4, IPv6 oder beidem kommunizieren können.

Wenn Sie den verwenden, um eine DB-Instance AWS-Managementkonsole zu erstellen oder zu ändern, können Sie den Dual-Stack-Modus im Abschnitt Netzwerktyp angeben. Die folgende Abbildung zeigt den Abschnitt Network type (Netzwerktyp) in der Konsole.

Abschnitt Netzwerktyp in der Konsole mit ausgewähltem Dual-stack Modus.

Wenn Sie den verwenden AWS CLI , um einen zu erstellen oder zu ändern, stellen Sie die --network-type Option so ein, dass der Dual-Stack-Modus verwendet werden DUAL soll. Wenn Sie die RDS API zum Erstellen oder Ändern eines DB-Clusters verwenden, legen Sie den Parameter NetworkType auf DUAL fest, um den Dual-Stack-Modus zu verwenden. Wenn Sie den Netzwerktyp einer DB-Instance ändern, sind Ausfallzeiten möglich. Wenn der Dual-Stack-Modus von der angegebenen DB-Engine-Version oder der DB-Subnetzgruppe nicht unterstützt wird, wird der Fehler NetworkTypeNotSupported zurückgegeben.

Weitere Informationen zum Erstellen eines DB-Clusters finden Sie unter Erstellen eines Amazon Aurora-DB Clusters. Weitere Informationen über das Ändern eines DB-Clusters finden Sie unter Ändern eines Amazon Aurora-DB-Clusters.

Um festzustellen, ob sich ein DB-Cluster im Dual-Stack-Modus befindet, sehen Sie sich den Netzwerktyp auf der Registerkarte Connectivity & security (Konnektivität & Sicherheit) für den DB-Cluster an.

Ändern von IPv4-only zur Verwendung des Dual-Stack-Modus

Sie können einen IPv4-only so ändern, dass er den Dual-Stack-Modus verwendet. Dazu ändern Sie den Netzwerktyp der DB-Cluster. Die Änderung kann zu Ausfallzeiten führen.

Es wird empfohlen, den Netzwerktyp Ihrer Amazon-Aurora-DB-Cluster während eines Wartungsfensters zu ändern. Das Festlegen des Netzwerktyps neuer Instances auf den Dual-Stack-Modus wird derzeit nicht unterstützt. Sie können den Netzwerktyp manuell festlegen, indem Sie den Befehl modify-db-cluster verwenden.

Bevor Sie eine DB-Cluster zur Verwendung des Dual-Stack-Modus ändern, stellen Sie sicher, dass ihre DB-Subnetzgruppe den Dual-Stack-Modus unterstützt. Wenn die mit der DB-Cluster verknüpfte DB-Subnetzgruppe den Dual-Stack-Modus nicht unterstützt, geben Sie eine andere DB-Subnetzgruppe an, die DB-Cluster unterstützt, wenn Sie sie ändern. Das Ändern der DB-Subnetzgruppe eines DB-Clusters kann zu Ausfallzeiten führen.

Wenn Sie die DB-Subnetzgruppe eines DB-Clusters ändern, bevor Sie den DB-Cluster zur Verwendung des Dual-Stack-Modus ändern, stellen Sie sicher, dass die DB-Subnetzgruppe vor und nach der Änderung für den DB-Cluster gültig ist.

Wir empfehlen, dass Sie die API modify-db-cluster nur mit dem Parameter --network-type und dem Wert DUAL ausführen, um das Netzwerk eines Amazon-Aurora-Clusters auf den Dual-Stack-Modus umzustellen. Das Hinzufügen anderer Parameter zusammen mit dem Parameter --network-type in demselben API-Aufruf kann zu Ausfallzeiten führen.

Wenn Sie nach der Änderung keine Verbindung mit dem DB-Cluster herstellen können, stellen Sie sicher, dass die Firewalls und Routing-Tabellen für die Client- und Datenbanksicherheit genau konfiguriert sind, um Datenverkehr zur Datenbank im ausgewählten Netzwerk (entweder IPv4 oder IPv6) zuzulassen. Möglicherweise müssen Sie auch Betriebssystemparameter, Bibliotheken oder Treiber ändern, um eine Verbindung mithilfe einer IPv6-Adresse herzustellen.

Um einen IPv4-only so zu ändern, dass er den Dual-Stack-Modus verwendet

  1. Ändern Sie eine DB-Subnetzgruppe, um den Dual-Stack-Modus zu unterstützen, oder erstellen Sie eine DB-Subnetzgruppe, die den Dual-Stack-Modus unterstützt:

    1. Ordnen Sie Ihrer VPC einen IPv6-CIDR-Block zu.

      Anleitungen finden Sie unter Hinzufügen eines IP6-CIDR-Blocks zu Ihrem VPC im Amazon-VPC-Benutzerhandbuch.

    2. Fügen Sie den IPv6 CIDR-Block allen Subnetzen in der DB-Subnetzgruppe an.

      Anleitungen finden Sie unter Hinzufügen eines IP6-CIDR-Blocks zu Ihrem Subnetz im Amazon-VPC-Benutzerhandbuch.

    3. Vergewissern Sie sich, dass die DB-Subnetzgruppe den Dual-Stack-Modus unterstützt.

      Wenn Sie den verwenden AWS-Managementkonsole, wählen Sie die DB-Subnetzgruppe aus und stellen Sie sicher, dass der Wert Unterstützte Netzwerktypen auf Dual, IPv4 gesetzt ist.

      Wenn Sie den verwenden AWS CLI, führen Sie den Befehl describe-db-subnet-groups aus und stellen Sie sicher, dass der Wert für die DB-Instance lautet. SupportedNetworkType Dual, IPv4

  2. Ändern Sie die mit der DB-Cluster verknüpfte Sicherheitsgruppe, um IPv6-Verbindungen mit der Datenbank zuzulassen, oder erstellen Sie eine neue Sicherheitsgruppe, die IPv6-Verbindungen zulässt.

    Eine Anleitung dazu finden Sie unter Sicherheitsgruppenregeln im Amazon-VPC-Benutzerhandbuch.

  3. Ändern der DB-Cluster zur Unterstützung des Dual-Stack-Modus. Stellen Sie dazu den Netzwerktyp auf Modus ein. Dual-stack

    Wenn Sie die Konsole verwenden, stellen Sie sicher, dass die folgenden Einstellungen korrekt sind:

    • NetzwerktypDual-stack Modus

      Abschnitt Netzwerktyp in der Konsole mit ausgewähltem Dual-stack Modus.

    • DB-Subnet group (Subnetzgruppe) – Die DB-Subnetzgruppe, die Sie in einem vorherigen Schritt konfiguriert haben

    • Security group (Sicherheitsgruppe) – Die Sicherheitsgruppe, die Sie in einem vorherigen Schritt konfiguriert haben

    Wenn Sie den verwenden AWS CLI, stellen Sie sicher, dass die folgenden Einstellungen korrekt sind:

    • --network-typedual

    • --db-subnet-group-name – Die DB-Subnetzgruppe, die Sie in einem vorherigen Schritt konfiguriert haben

    • --vpc-security-group-ids – Die VPC-Sicherheitsgruppe, die Sie in einem vorherigen Schritt konfiguriert haben

    Beispiel: 

    aws rds modify-db-cluster --db-cluster-identifier my-cluster --network-type "DUAL"

  4. Vergewissern Sie sich, dass die DB-Cluster den Dual-Stack-Modus unterstützt.

    Wenn Sie die Konsole verwenden, wählen Sie die Registerkarte Konfiguration für die DB-Cluster. Vergewissern Sie sich, dass auf dieser Registerkarte der Wert Netzwerktyp auf Dual-stackModus gesetzt ist.

    Wenn Sie den verwenden AWS CLI, führen Sie den Befehl describe-db-clusters aus und stellen Sie sicher, dass der Wert für den DB-Cluster lautet. NetworkType dual

    Führen Sie den dig-Befehl auf dem Writer-Endpunkt der DB-Instance aus, um die damit verknüpfte IPv6-Adresse zu kennzeichnen.

    dig db-instance-endpoint AAAA

    Verwenden Sie den Writer-DB-Instance-Endpunkt, nicht die IPv6-Adresse, um sich mit dem DB-Cluster zu verbinden.

Verfügbarkeit von Dual-Stack-Netzwerk-DB-Cluster

Dual-stack Netzwerk-DB-Cluster sind in allen verfügbar, AWS-Regionen mit Ausnahme der folgenden:

  • Asien-Pazifik (Hyderabad)

  • Asien-Pazifik (Malaysia)

  • Asien-Pazifik (Melbourne)

  • Asien-Pazifik (Thailand)

  • Kanada West (Calgary)

  • Europa (Spain)

  • Europa (Zürich)

  • Israel (Tel Aviv)

  • Mexiko (Zentral)

  • Naher Osten (VAE)

Die folgenden DB-Engine-Versionen unterstützen DB-Instances im Dual-Stack-Netzwerk:

  • Aurora-MySQL-Versionen:

    • 3.02 und höhere 3-Versionen

    • 2.09.1 und höhere 2-Versionen

    Weitere Informationen über Aurora MySQL-Versionen finden Sie in den Release Notes für Aurora MySQL.

  • Aurora-PostgreSQL-Versionen:

    • 15.2 und alle höheren Versionen

    • 14.3 und höhere 14-Versionen

    • 13.7 und höhere 13-Versionen

    Weitere Informationen zu Aurora-PostgreSQL-Versionen finden Sie unter Versionshinweise für Aurora PostgreSQL.

Einschränkungen für Dual-Stack-Netzwerk-DB-Cluster

Die folgenden Einschränkungen gelten für Dual-Stack-Netzwerk-DB-Cluster:

  • DB-Cluster können das IPv6-Protokoll nicht ausschließlich verwenden. Sie können ausschließlich IPv4 oder das IPv4- und das IPv6-Protokoll (Dual-Stack-Modus) verwenden.

  • Amazon RDS unterstützt keine nativen IPv6-Subnetze.

  • Sie können RDS-Proxy nicht mit DB-Cluster im Dual-Stack-Modus verwenden.

Ausblenden einer DB-Clusters in einer VPC vor dem Internet

Ein häufiges Amazon-Aurora-Szenario ist eine VPC, in der Sie eine Amazon-EC2-Instance mit einer öffentlich zugänglichen Webanwendung und einen DB-Cluster mit einer nicht öffentlich zugänglichen Datenbank haben. Sie können beispielsweise eine VPC mit einem öffentlichen und einem privaten Subnetz erstellen. EC2-Instances, die als Webserver verwendet werden, können im öffentlichen Subnetz bereitgestellt werden. Die DB-Cluster werden im privaten Subnetz bereitgestellt. Bei einer solchen Bereitstellung haben nur die Webserver Zugang zu den DB-Cluster. Eine bildliche Darstellung dieses Szenarios finden Sie unter DB-Cluster in einer VPC, auf die eine Amazon-EC2-Instance in derselben VPC zugreift.

Wenn Sie eine DB-Cluster innerhalb einer VPC starten, verfügt die DB-Cluster über eine private IP-Adresse für den Datenverkehr innerhalb der VPC. Diese private IP-Adresse ist nicht öffentlich zugänglich. Mit der Option Public access (Öffentlicher Zugriff) können Sie festlegen, ob die DB-Cluster neben der privaten IP-Adresse auch eine öffentliche IP-Adresse hat. Wenn die DB-Cluster als öffentlich zugänglich bezeichnet wird, wird ihr DNS-Endpunkt innerhalb der VPC in die private IP-Adresse aufgelöst. Es wird in die öffentliche IP-Adresse von außerhalb der VPC aufgelöst. Zugriff auf die DB-Cluster wird letztendlich von der Sicherheitsgruppe kontrolliert, die sie verwendet. Dieser öffentliche Zugang ist nicht erlaubt, wenn die dem DB-Cluster zugewiesene Sicherheitsgruppe keine eingehenden Regeln enthält, die ihn erlauben. Damit ein DB-Cluster öffentlich zugänglich ist, müssen die Subnetze in seiner DB-Subnetzgruppe außerdem über ein Internet-Gateway verfügen. Weitere Informationen finden Sie unter Verbindung zur Amazon-RDS-DB-Instance kann nicht hergestellt werden

Sie können eine DB-Cluster ändern und die öffentliche Zugänglichkeit mit der Option Public access (Öffentlicher Zugriff) aktivieren und deaktivieren. Die folgende Abbildung zeigt die Option Public access (Öffentlicher Zugriff) im Abschnitt Additional connectivity configuration (Zusätzliche Konnektivitätskonfiguration) . Um die Option festzulegen, öffnen Sie den Abschnitt Additional connectivity configuration (Zusätzliche Konnektivitätskonfiguration) im Abschnitt Connectivity (Konnektivität) .

Legen Sie die Option Öffentlicher Zugriff für Ihre Datenbank im Abschnitt Zusätzliche Anbindungskonfiguration auf Nein fest.

Hinweise zum Ändern einer DB-Instance zum Festlegen der Option Public access (Öffentlicher Zugriff) finden Sie unter Ändern einer DB-Instance in einem DB-Cluster.

Erstellen einer DB-Cluster in einer VPC

In den folgenden Verfahren wird das Erstellen einer DB-Cluster in einer VPC veranschaulicht. Um die Standard-VPC zu verwenden, können Sie mit Schritt 2 beginnen und die VPC- und DB-Subnetzgruppe verwenden, die bereits für Sie erstellt wurden. Wenn Sie eine zusätzliche VPC erstellen möchten, können Sie eine neue VPC erstellen.

Anmerkung

Wenn Sie möchten, dass Ihr DB-Cluster in der VPC öffentlich zugänglich ist, müssen Sie die DNS-Informationen für die VPC aktualisieren, indem Sie die VPC-Attribute DNS-Hostnamen und DNS-Auflösung aktivieren. Weitere Informationen zum Aktualisieren der DNS-Informationen für eine VPC-Instance finden Sie unter Aktualisieren des DNS-Supports für Ihre VPC.

Gehen Sie wie folgt vor, um eine DB-Instance in einer VPC zu erstellen:

Schritt 1: Erstellen einer VPC

Erstellen Sie eine VPC mit Subnetzen in mindestens zwei Availability Zones. Diese Subnetze verwenden Sie, wenn Sie eine DB-Subnetzgruppe erstellen. Wenn Sie eine Standard-VPC verwenden, wird automatisch ein Subnetz in jeder Availability Zone der AWS-Region für Sie erstellt.

Weitere Informationen finden Sie unter Erstellen einer VPC mit privaten und öffentlichen Subnetzen oder unter Create a VPC (VPC erstellen) im Amazon VPC Benutzerhandbuch.

Schritt 2: Erstellen einer DB-Subnetzgruppe

Eine DB-Subnetzgruppe ist eine Sammlung von Subnetzen (in der Regel private Subnetze), die Sie für eine VPC erstellen und anschließend Ihren DB-Cluster zuweisen. Mit einer DB-Subnetzgruppe können Sie eine bestimmte VPC angeben, wenn Sie mithilfe der AWS CLI oder RDS-API erstellen. Wenn Sie die Konsole verwenden, können Sie einfach die VPC und Subnetze auswählen, die Sie verwenden möchten. Jede DB-Subnetzgruppe muss über mindestens ein Subnetz in mindestens zwei Availability Zones der AWS-Region verfügen. Jede DB-Subnetzgruppe sollte über mindestens ein Subnetz für jede Availability Zone in einer bestimmten AWS-Region verfügen.

Damit öffentlich auf eine DB-Cluster zugegriffen werden kann, müssen die Subnetze in der DB-Subnetzgruppe über ein Internet-Gateway verfügen. Weitere Informationen zu Internet-Gateways für Subnetze finden Sie unter Verbinden mit dem Internet durch einen Internet-Gateway im Amazon VPC Benutzerhandbuch.

Beim Erstellen einer DB-Cluster in einer VPC müssen Sie eine DB-Subnetzgruppe auswählen. Amazon Aurora wählt ein Subnetz und eine IP-Adresse innerhalb dieses Subnetzes, um es mit Ihrem DB-Cluster zu verbinden. Wenn keine DB-Subnetzgruppen existieren, erstellt Amazon Aurora eine Standard-Subnetzgruppe, wenn Sie einen DB-Cluster erstellen. Amazon Aurora erstellt und ordnet Ihrer DB-Cluster eine Elastic-Network-Schnittstelle mit dieser IP-Adresse zu. Die DB-Cluster verwendet die Availability Zone, die das Subnetz enthält.

In diesem Schritt erstellen Sie eine DB-Subnetzgruppe und fügen die Subnetze hinzu, die Sie für Ihre VPC erstellt haben.

Erstellen einer DB-Sicherheitsgruppe

  1. Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Subnetzgruppe aus.

  3. Wählen Sie DB-Subnetzgruppe erstellen aus.

  4. Geben Sie im Feld Name den Namen Ihrer DB-Subnetzgruppe ein.

  5. Geben Sie unter Beschreibung eine Beschreibung für Ihre DB-Subnetzgruppe ein.

  6. Für VPC wählen Sie die Standard-VPC oder die zuvor erstellte VPC aus.

  7. Wählen Sie im Abschnitt Subnetze hinzufügen die Availability Zones aus, die die Subnetze aus Availability Zones enthalten, und wählen Sie dann die Subnetze aus Subnetze aus.

    Erstellen einer DB-Subnetzgruppe

  8. Wählen Sie Create (Erstellen) aus.

    Ihre neue DB-Subnetzgruppe wird in der Liste der DB-Subnetzgruppen in der RDS-Konsole angezeigt. Sie können die DB-Subnetzgruppe auswählen und unten im Detailbereich ausführliche Informationen einschließlich aller Subnetze für diese Gruppe anzeigen.

Schritt 3: Erstellen einer VPC-Sicherheitsgruppe

Vor der DB-Cluster müssen Sie eine VPC-Sicherheitsgruppe erstellen, die Ihrer DB-Cluster zugeordnet wird. Wenn Sie keine VPC-Sicherheitsgruppe erstellen, können Sie die Standardsicherheitsgruppe beim Erstellen einer DB-Cluster verwenden. Eine Anleitung zum Erstellen einer Sicherheitsgruppe für Ihren DB-Cluster finden Sie unter Erstellen einer VPC-Sicherheitsgruppe für einen privaten DB-Cluster, oder unter Control traffic to resources using security groups (Kontrolle des Datenverkehrs zu Ressourcen mithilfe von Sicherheitsgruppen) im Amazon VPC Benutzerhandbuch.

Schritt 4: Erstellen einer DB-Instance in der VPC

In diesem Schritt erstellen Sie eine DB-Cluster und verwenden den VPC-Namen, die DB-Subnetzgruppe und die VPC-Sicherheitsgruppe, die Sie in den vorherigen Schritten erstellt haben.

Anmerkung

Wenn Sie möchten, dass Ihr DBCluster in der VPC öffentlich zugänglich ist, müssen Sie die VPC-Attribute DNS-Hostnamen und DNS-Auflösung aktivieren. Weitere Infomationen finden Sie unter DNS-Attribute für Ihre VPC im Amazon VPC-Benutzerhandbuch.

Weitere Informationen zum Erstellen eines DB-Clusters finden Sie unter Erstellen eines Amazon Aurora-DB Clusters.

Wenn Sie im Abschnitt Konnektivität dazu aufgefordert werden, geben Sie den VPC-Namen, die DB-Subnetzgruppe und die VPC-Sicherheitsgruppe ein.

Anmerkung

Das Aktualisieren von VPCs wird aktuell für Aurora-DB-Cluster nicht unterstützt.