本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 访问 VPC 中的 Amazon DocumentDB 集群
<a name="access-cluster-vpc"></a>

Amazon DocumentDB 支持以下场景来访问 VPC 中的集群：

**Topics**
+ [同一 VPC 中的亚马逊 EC2 实例](#access-inside-vpc)
+ [其他 VPC 中的亚马逊 EC2 实例](#access-different-vpc)

## VPC 中的一个集群，由同一 VPC 中的 Amazon EC2 实例访问
<a name="access-inside-vpc"></a>

VPC 中集群的常见用途是与在同一 VPC 中的 Amazon EC2 实例中运行的应用程序服务器共享数据。

管理同一 VPC 中 EC2 实例和集群之间访问权限的最简单方法是执行以下操作：
+ 为集群创建所属 VPC 安全组。此安全组可用于限制对集群的访问权限。例如，您可以为该安全组创建自定义规则。该规则可能允许使用您创建集群时分配给集群的端口以及您用来访问集群的 IP 地址（用于开发或其他目的）进行 TCP 访问。
+ 为您的 EC2 实例（Web 服务器和客户端）创建一个 VPC 安全组。如果需要，该安全组可以允许使用 VPC 的路由表从互联网访问 EC2 实例。例如，您可以在此安全组上设置规则，允许 TCP 通过端口 22 访问 EC2 实例。
+ 在安全组中为集群创建自定义规则，允许来自您为 EC2 实例创建的安全组的连接。这些规则将允许安全组的任何成员访问集群。

在单独的可用区中还有一个额外的公有和私有子网。DocumentDB 子网组需要位于至少两个可用区中的一个子网。额外的子网使将来很容易切换到多可用区集群部署。

有关如何为此场景创建包含公有子网和私有子网的 VPC 的说明，请参阅 [创建 IPv4仅供文档数据库集群使用的 VPC](docdb-vpc-create-ipv4.md)。

**提示**  
在创建集群时，您可以自动在 Amazon EC2 实例和 DocumentDB 集群之间设置网络连接。有关更多信息，请参阅 [自动连接 Amazon EC2](connect-ec2-auto.md)。

**要在 VPC 安全组中创建允许来自其他安全组的连接的规则，请执行以下操作：**

1. 登录 AWS 管理控制台 并打开亚马逊 VPC 控制台，网址为 [https://console.aws.amazon.com/](https://console.aws.amazon.com//vpc)vpc。

1. 在导航窗格中，找到并选择**安全组**。

1. 选择或创建要允许另一个安全组的成员访问的安全组。这是要用于您的集群的安全组。选择 **Inbound rules**（入站规则）选项卡，然后选择 **Edit inbound rules**（编辑入站规则）。

1. 在 **Edit inbound rules**（编辑入站规则）页面上，选择 **Add rule**（添加规则）。

1. 对于**类型**，选择与创建集群时使用的端口相对应的条目，例如**自定义 TCP**。

1. 在**源**字段中，开始键入安全组的 ID，其中列出了匹配的安全组。选择您希望其成员可以访问此安全组保护的资源的安全组。在前面的场景中，这是您用于 EC2 实例的安全组。

1. 如果需要，可通过在**源**字段中创建**类型**为**所有 TCP** 的规则以及安全组，对 TCP 协议重复这些步骤。如果您打算使用 UDP 协议，请在 **Source**（源）框中创建 **Type**（类型）为 **All UDP**（所有 UDP）的规则以及安全组。

1. 选择**保存规则**。

以下屏幕显示了包含其来源的安全组的入站规则。

![\[“入站规则”选项卡显示以安全组作为源的规则\]](http://docs.aws.amazon.com/zh_cn/documentdb/latest/developerguide/images/inbound-rule-sg.png)


有关从您的 EC2 实例连接到集群的更多信息，请参阅[自动连接 Amazon EC2](connect-ec2-auto.md)。

## VPC 中的一个集群，由另一个 VPC 中的 Amazon EC2 实例访问
<a name="access-different-vpc"></a>

当您的集群与您用于访问集群的 EC2 实例位于不同的 VPC 中时，您可以使用 VPC 对等连接来访问集群。

VPC 对等连接是两者之间的网络连接 VPCs ，允许您使用私有 IP 地址在两者之间路由流量。这两个 VPC 中的资源可以彼此通信，就像它们在同一网络中一样。您可以在自己的账户 VPCs、另一个 AWS 账户中的 VPC 或其他账户中的 VPC 之间创建 VPC 对等连接。 AWS 区域要了解有关 VPC 对等的更多信息，请参阅 *Amazon Virtual Private Cloud 用户指南* 中的 [VPC 对等](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)。