Scenari per l'accesso a un di istanze DB in un VPC - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scenari per l'accesso a un di istanze DB in un VPC

Amazon RDS supporta i seguenti scenari per l'accesso a un di istanze DB in un: VPC

Un di istanze DB in un VPC ambiente accessibile da un'EC2istanza Amazon nello stesso VPC

Un uso comune di un di istanze DB in a VPC consiste nel condividere i dati con un server di applicazioni in esecuzione in un'EC2istanza Amazon nella stessa istanzaVPC.

Il seguente diagramma mostra questo scenario.

VPCscenario con un server Web pubblico e un database privato.

Il modo più semplice per gestire l'accesso tra EC2 istanze e cluster di istanze DB all'interno degli stessi VPC consiste nel fare quanto segue:

  • Crea un gruppo VPC di sicurezza per i delle tue istanze DB. Questo gruppo di sicurezza può essere usato per limitare l'accesso alle istanze database. Ad esempio, puoi creare una regola personalizzata per questo gruppo di sicurezza. Ciò potrebbe consentire TCP l'accesso utilizzando la porta assegnata al di istanze DB al momento della creazione e un indirizzo IP utilizzato per accedere al di istanze DB per lo sviluppo o per altri scopi.

  • Crea un gruppo VPC di sicurezza per le tue EC2 istanze (server Web e client). Questo gruppo di sicurezza può, se necessario, consentire l'accesso all'EC2istanza da Internet utilizzando la tabella VPC di routing. Ad esempio, è possibile impostare regole su questo gruppo di sicurezza per consentire TCP l'accesso all'EC2istanza tramite la porta 22.

  • Crea regole personalizzate nel gruppo di sicurezza per i delle tue istanze DB che consentono le connessioni dal gruppo di sicurezza che hai creato per le tue EC2 istanze. Queste regole potrebbero consentire a qualsiasi membro del gruppo di sicurezza di accedere alle istanze database.

È disponibile una sottorete pubblica e privata aggiuntiva in una zona di disponibilità separata. Un gruppo di sottoreti RDS DB richiede una sottorete in almeno due zone di disponibilità. La sottorete aggiuntiva semplifica il passaggio a un'implementazione Multi-AZ di un'istanza DB in futuro.

Per un tutorial che mostra come creare una VPC con sottoreti pubbliche e private per questo scenario, vedi. Tutorial: Creazione di un Amazon VPC da utilizzare con un'istanza database (solo IPv4)

Suggerimento

Puoi configurare automaticamente la connettività di rete tra un'EC2istanza Amazon e un di istanze DB quando crei il di istanze DB. Per ulteriori informazioni, consulta Configura la connettività di rete automatica con un'istanza EC2.

Per creare una regola in un gruppo VPC di sicurezza che consenta le connessioni da un altro gruppo di sicurezza, procedi come segue:
  1. Accedi a AWS Management Console e apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.

  3. Scegli o crea un gruppo di sicurezza per il quale desideri concedere l'accesso ai membri di un altro gruppo di sicurezza. Nello scenario precedente, questo è il gruppo di sicurezza utilizzato per le istanze database. Seleziona la scheda Regole in entrata, quindi scegli Modifica regola.

  4. Nella scheda Modifica regole in entrata, seleziona Aggiungi regola.

  5. Per Tipo, scegli la voce che corrisponde alla porta utilizzata quando hai creato il di istanze DB, ad esempio MYSQL /Aurora.

  6. Nella casella Origine iniziare a digitare l'ID del gruppo di sicurezza, che elenca i gruppi di sicurezza corrispondenti. Scegli il gruppo di sicurezza con i membri che desideri abbiano accesso alle risorse protette da questo gruppo di sicurezza. Nello scenario precedente, questo è il gruppo di sicurezza utilizzato per l'istanza. EC2

  7. Se necessario, ripeti i passaggi del TCP protocollo creando una regola con Tutto TCP come Tipo e il gruppo di sicurezza nella casella Origine. Se intendi utilizzare il UDP protocollo, crea una regola con All UDP come Type e il tuo gruppo di sicurezza in Source.

  8. Scegliere Salva regole.

Nella schermata seguente viene illustrata una regola in entrata con un gruppo di sicurezza per la relativa origine.

Aggiungere un gruppo di sicurezza alle regole di un altro gruppo di sicurezza.

Per ulteriori informazioni sulla connessione all'istanza del DB dalla propria EC2 istanza, consulta Connessione a un'istanza Amazon RDS DB.

Un di istanze DB in un'istanza a VPC cui accede un'EC2istanza in un'altra VPC

Il seguente diagramma mostra questo scenario.

Un'istanza DB in un'EC2istanza Amazon VPC accessibile in un'altraVPC.

Una connessione VPC peering è una connessione di rete tra due VPCs che consente di instradare il traffico tra di esse utilizzando indirizzi IP privati. Le risorse di entrambe VPC possono comunicare tra loro come se si trovassero all'interno della stessa rete. È possibile creare una connessione VPC peering tra il proprio accountVPCs, con un VPC altro AWS account o con un VPC altro Regione AWS. Per ulteriori informazioni sul VPC peering, consulta la sezione VPCpeering nella Amazon Virtual Private Cloud User Guide.

Un di istanze DB in un VPC ambiente accessibile da un'applicazione client tramite Internet

Per accedere ai di istanze DB in un VPC da un'applicazione client tramite Internet, è necessario configurare un'VPCunica sottorete pubblica e un gateway Internet per consentire la comunicazione su Internet.

Il seguente diagramma mostra questo scenario.

Un di istanze DB in un'applicazione client VPC accessibile tramite Internet.

È consigliabile utilizzare la seguente configurazione:

  • A VPC di dimensione /16 (ad esempioCIDR: 10.0.0.0/16). Questa dimensione fornisce indirizzi 65.536 indirizzi IP privati.

  • Una sottorete di dimensione /24 (ad esempio: 10.0.0.0/24). CIDR Questa dimensione fornisce 256 indirizzi IP privati.

  • Un di istanze RDS Amazon DB associato alla sottorete VPC e alla sottorete.

  • Un gateway Internet che collega Internet e VPC ad altri AWS prodotti.

  • Un gruppo di sicurezza associato all'istanza database. Le regole in entrata del gruppo di sicurezza consentono all'applicazione client di accedere all'istanza database.

Per informazioni sulla creazione di di istanze DB in aVPC, vedere. Creazione di un di istanze DB in un VPC

Un a VPC cui si accede da una rete privata

Se l'istanza database non è accessibile pubblicamente, sono disponibili le seguenti opzioni per consentire l'accesso da una rete privata:

Il diagramma seguente mostra uno scenario con una AWS Site-to-Site VPN connessione.

Istanze DB installa a VPC cui si accede da una rete privata.

Per ulteriori informazioni, consulta Riservatezza del traffico Internet.