自动连接 Amazon EC2 - Amazon DocumentDB
将 EC2 实例自动连接到新的 Amazon DocumentDB 数据库将 EC2 实例自动连接到现有的 Amazon DocumentDB 数据库与 EC2 实例的自动连接概述查看连接的计算资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自动连接 Amazon EC2

在设置 EC2 实例与新 Amazon DocumentDB 数据库之间的连接之前,请确保满足 与 EC2 实例的自动连接概述 中所述的要求。如果您在配置连接后更改安全组,则这些更改可能会影响 EC2 实例与 Amazon DocumentDB 数据库之间的连接。

注意

您只能使用 AWS Management Console 自动设置 EC2 实例与 Amazon DocumentDB 数据库之间的连接。您无法使用 AWS CLI 或 Amazon DocumentDB API 自动设置连接。

将 EC2 实例自动连接到新的 Amazon DocumentDB 数据库

下面的程序假定您已经完成 先决条件 主题中的步骤。

步骤 1:创建 Amazon EC2 实例

在这个步骤,您将在同一区域和 Amazon VPC 中创建一个 Amazon EC2 实例,稍后您将使用这个实例配置您的 Amazon DocumentDB 集群。

  1. 从 Amazon EC2 控制台控制中,选择启动实例

    Launch instance button with dropdown and Migrate a server option in AWS EC2 interface.

  2. 名称和标签部分的名称字段中,输入名称或标识符。

  3. 亚马逊机器映像 (AMI) 下拉列表中,找到并选中 Amazon Linux 2 AMI

    Application and OS Images selection interface with Quick Start options for various operating systems.

  4. 实例类型下拉列表中,找到并选中 t3.micro

    Instance type dropdown showing t3.micro with 2 vCPU, 1 GiB memory, and pricing details.

  5. 密钥对(登录)部分,输入现有密钥对的标识符,或选择新建密钥对

    Key pair selection dropdown with option to create a new key pair for secure instance connection.

    您必须提供 Amazon EC2 密钥对。

    如果您的确有 Amazon EC2 密钥对:

    1. 选定一个密钥对,从列表中选择您的密钥对。

    2. 您必须有可用的私有密钥文件(.pem 或 .ppk 文件)才能登录 Amazon EC2 实例。

    如果您没有 Amazon EC2 密钥对:

    1. 选择新建密钥对,随后出现创建密钥对对话框。

    2. 密钥对名称字段中输入名称。

    3. 选择密钥对类型私有密钥文件格式

    4. 选择 Create key pair (创建密钥对)

    Create key pair dialog with options for name, type, and private key file format.
    注意

    为安全起见,我们强烈建议使用密钥对进行 EC2 实例的 SSH 和互联网连接。

  6. 可选:网络设置部分防火墙(安全组)下,选择创建安全组选择现有安全组

    Network settings panel with options for VPC, subnet, public IP, and security group creation.

    如果选择现有安全组,请从通用安全组下拉列表中选择一个安全组。

    如果选择创建新的安全组,请查看所有适用于 EC2 连接的流量允许规则。

  7. 摘要部分,查看 EC2 配置,如果配置正确,选择启动实例编辑安全组

    EC2 instance summary showing configuration details and free tier information.

步骤 2:创建 Amazon DocumentDB 集群

正在预配置 Amazon EC2 实例的同时,您将创建自己的 Amazon DocumentDB 集群。

  1. 导航至 Amazon DocumentDB 控制台并且从导航窗格中选择集群

    Navigation pane showing Dashboard, Clusters, Performance Insights, and Snapshots options.

  2. 选择创建

    Orange button labeled "Create" for initiating a new item or process.

  3. 集群类型设置保留为默认的基于实例的集群

    集群 type selection with Instance Based 集群 option highlighted.

  4. 对于实例数,选择1。这将使成本最小化。保留其他设置的默认值。

    Configuration form with 集群 identifier, engine version, instance class, and number of instances.

  5. 对于连接,选择连接到 EC2 计算资源。这是您在步骤 1 中创建的 EC2 实例。

    Connectivity settings for database with options to connect or not connect to EC2 compute resource.
    注意

    连接到 EC2 计算资源会自动为 EC2 计算资源到 Amazon DocumentDB 集群的连接创建一个安全组。创建完集群后,如果想查看新创建的安全组,请导航到集群列表并选择集群的标识符。在连接和安全选项卡中,转到安全组,然后在安全组名称 (ID) 下找到您的安全组。它将包含集群的名称,其外观类似于此:docdb-ec2-docdb-2023-12-11-21-33-41:i-0e4bb09985d2bbc4c (sg-0238e0b0bf0f73877)

  6. 对于身份验证,请输入登录凭证。重要提示:在后续步骤中,您将需要登录凭证来对您的集群进行身份验证。

    Authentication form with username and password fields, including input requirements.

  7. 开启显示高级设置

    Estimated hourly cost for DocumentDB instance with toggle for advanced settings and Create 集群 button.

  8. 网络设置 部分中,对于 Amazon VPC 安全组,选择 DemodocDB

    Network settings panel showing VPC, subnet group, and security group options for a 集群.

  9. 选择创建集群

    Orange button labeled "Create 集群" for initiating 集群 creation process.

步骤 3:连接 Amazon EC2 实例

要安装 Mongo Shell,您必须首先连接到您的 Amazon EC2 实例。安装 Mongo Shell 使您能够连接到并查询您的 Amazon DocumentDB 集群。完成以下步骤:

  1. 在 Amazon EC2 控制台上,导航到您的实例并且查看您刚才创建的实例是否正在运行。如果是,请单击实例 ID 选择实例。

    EC2 console showing two instances, one stopped and one running, with details like ID and type.

  2. 选择连接

    Instance summary showing details like ID, IP addresses, state, and other configuration information.

  3. 连接方法有四个选项卡选项:Amazon EC2 Instance Connect、会话管理器、SSH 客户端或 EC2 Serial Console。您必须选择一个选项并遵循其说明。完成后,选择连接

    EC2 Instance Connect interface showing connection options and instance details.
注意

如果您开始这次演练后自己的 IP 地址变化,或者您稍后正要返回您的环境,则必须更新您的demoEC2 安全组入站规则,以启用来自您新 API 地址的入站流量。

步骤 4:安装 mongo shell

您现在可以安装 mongo shell,它是一个命令行实用程序,用于连接和查询 Amazon DocumentDB 集群。遵循以下说明为您的操作系统安装 mongo shell。

On Amazon Linux
在 Amazon Linux 上安装 mongo shell

  1. 创建存储库文件。在 EC2 实例的命令提示符处,键入以下命令:

    echo -e "[mongodb-org-5.0] \nname=MongoDB Repository\nbaseurl=https://repo.mongodb.org/yum/amazon/2/mongodb-org/5.0/x86_64/\ngpgcheck=1 \nenabled=1 \ngpgkey=https://www.mongodb.org/static/pgp/server-5.0.asc" | sudo tee /etc/yum.repos.d/mongodb-org-5.0.repo

  2. 完成后,通过执行以下命令安装 mongo shell:

    sudo yum install -y mongodb-org-shell
On Ubuntu 18.04
在 Ubuntu 18.04 上安装 mongo shell

  1. 导入包管理系统将使用的公有密钥。

    sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5

  2. 使用适合您的 Ubuntu 版本的命令创建用于 MongoDB 的列表文件 /etc/apt/sources.list.d/mongodb-org-3.6.list

    Ubuntu 18.04

    echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
    注意

    以上命令将同时为 Bionic 和 Xenial 安装 mongo 3.6 shell。

  3. 使用以下命令重新加载本地程序包数据库:

    sudo apt-get update

  4. 安装 MongoDB shell。

    sudo apt-get install -y mongodb-org-shell

有关在您的 Ubuntu 系统上安装早期版本的 MongoDB 的信息,请参阅在 Ubuntu 中安装 MongoDB Community Edition

 

On other operating systems

要在其他操作系统上安装 mongo shell,请参阅 MongoDB 文档中的安装 MongoDB Community Edition

步骤 5:管理 Amazon DocumentDB TLS

用以下代码下载 Amazon DocumentDB 的 CA 证书:wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem

注意

传输层安全性协议 (TLS)默认对所有新的 Amazon DocumentDB 集群启用。有关更多信息,请参阅管理 Amazon DocumentDB Cluster TLS 设置

步骤 6:连接到 Amazon DocumentDB 集群

  1. 在 Amazon DocumentDB 数据库控制台上的集群下,定位您的集群。通过单击集群标识符选择您已创建的集群。

    DocumentDB 集群 list showing one 集群 with identifier, role, version, region, and status.

  2. 连接和安全选项卡中,在连接方框中找到使用 mongo shell 连接到此集群

    Command to connect to a MongoDB 集群 using mongo shell with SSL and authentication details.

    复制所提供的连接字符串,并将其粘贴到您的终端中。

    对其进行以下更改:

    1. 确保字符串中的用户名正确。

    2. 省略 <insertYourPassword> 从而 mongo shell 在您连接时提示您输入密码。

    您的连接字符串应与以下类似:

    mongo --ssl host docdb-2020-02-08-14-15-11. cluster.region.docdb.amazonaws.com:27107 --sslCAFile global-bundle.pem --username demoUser --password

  3. 在您的终端中按回车。现在,系统将提示您输入密码。输入您的密码。

  4. 当输入密码并可以看到 rs0:PRIMARY> 提示时,您已成功连接到您的 Amazon DocumentDB 集群。

连接时遇到问题? 参见 Amazon DocumentDB 故障排除

步骤 7:插入和查询数据

现在,您已连接到自己的集群,您可以运行几个查询来熟悉如何使用文档数据库。

  1. 要插入单个文档,请输入以下内容:

    db.collection.insert({"hello":"DocumentDB"})

  2. 您会得到以下输出:

    WriteResult({ "nInserted" : 1 })

  3. 您可以读取您用 findOne() 命令编写过的文档(因为它只返回单个文档)。输入以下:

    db.collection.findOne()

  4. 您会得到以下输出:

    { "_id" : ObjectId("5e401fe56056fda7321fbd67"), "hello" : "DocumentDB" }

  5. 要执行若干更多查询,请考虑游戏个人资料用例。首先,将几个条目插入标题为 profiles 的集合。输入以下:

    db.profiles.insertMany([
            { "_id" : 1, "name" : "Matt", "status": "active", "level": 12, "score":202},
            { "_id" : 2, "name" : "Frank", "status": "inactive", "level": 2, "score":9},
            { "_id" : 3, "name" : "Karen", "status": "active", "level": 7, "score":87},
            { "_id" : 4, "name" : "Katie", "status": "active", "level": 3, "score":27}
            ])

  6. 您会得到以下输出:

    { "acknowledged" : true, "insertedIds" : [ 1, 2, 3, 4 ] }

  7. 使用 find() 命令返回个人资料集合中的所有文档。输入以下:

    db.profiles.find()

  8. 您将获得将与您在步骤 5 中已键入数据匹配的输出。

  9. 利用筛选器对单个文档使用查询。输入以下:

    db.profiles.find({name: "Katie"})

  10. 您应该收回这个输出:

    { "_id" : 4, "name" : "Katie", "status": "active", "level": 3, "score":27}

  11. 现在,让我们尝试查找个人资料并使用 findAndModify 命令修改它。我们将用以下代码向用户 Matt 给予额外的十分:

    
    db.profiles.findAndModify({
        query: { name: "Matt", status: "active"},
        update: { $inc: { score: 10 } }
    })

  12. 你得到以下输出(请注意,他的分数尚未增加):

    
    {
    "_id" : 1,
    "name" : "Matt",
    "status" : "active",
    "level" : 12,
    "score" : 202
    }

  13. 你可以借助以下查询验证他的分数是否已变化:

    db.profiles.find({name: "Matt"})

  14. 您会得到以下输出:

    { "_id" : 1, "name" : "Matt", "status" : "active", "level" : 12, "score" : 212 }

步骤 8:探索

恭喜您!您已成功完成 Amazon DocumentDB 快速入门指南。

接下来做什么? 了解如何充分利用这款强大的数据库及其热门功能:

注意

为了节省成本,您可以停用您的 Amazon DocumentDB 集群以降低成本,也可以删除该集群。默认情况下,在 30 分钟无活动后,您的AWS Cloud9 环境将终止底层 Amazon EC2 实例。

将 EC2 实例自动连接到现有的 Amazon DocumentDB 数据库

下面的程序假定存在一个现有 Amazon DocumentDB 集群和一个现有 Amazon EC2 实例。

访问 Amazon DocumentDB 集群并设置 Amazon EC2 连接

  1. 访问 Amazon DocumentDB 集群。

    1. 登录到 AWS Management Console 并打开 Amazon DocumentDB 控制台,网址:https://console.aws.amazon.com/docdb

    2. 在导航窗格中,选择集群

      提示

      如果您在屏幕左侧没有看到导航窗格,请在页面左上角选择菜单图标 (Hamburger menu icon with three horizontal lines.)。

    3. 通过选择集群名称左侧的按钮,指定需要的集群。

  2. 设置 Amazon EC2 连接。

    1. 选择操作,然后选择设置 EC2 连接

      Dropdown menu showing various actions for EC2 instances, with "Set up EC2 connection" highlighted.

      将出现设置 EC2 连接页面。

    2. EC2 实例字段中,选择要连接到集群的 EC2 实例。

      EC2 instance selection dropdown with option to choose or create a new instance.

    3. 选择继续

      将出现检查并确认页面。

    4. 确保更改正确。然后选择设置连接

      Connection summary and changes for DocumentDB database and EC2 instance, with security group updates.

成功后会显示以下验证:

Confirmation message for successful connection setup between DocumentDB and EC2.

与 EC2 实例的自动连接概述

当您设置 EC2 实例和 Amazon DocumentDB 数据库之间的连接时,Amazon DocumentDB 会自动为您的 EC2 实例和 Amazon DocumentDB 数据库配置 VPC 安全组。

以下是将 EC2 实例与 Amazon DocumentDB 数据库连接的要求:

  • EC2 实例必须与 Amazon DocumentDB 数据库存在于同一 VPC 中。

    如果同一 VPC 中不存在任何 EC2 实例,则控制台将提供创建一个此类实例的链接。

  • 设置连接的用户必须具有执行以下 Amazon EC2 操作的权限:

    • ec2:AuthorizeSecurityGroupEgress

    • ec2:AuthorizeSecurityGroupIngress

    • ec2:CreateSecurityGroup

    • ec2:DescribeInstances

    • ec2:DescribeNetworkInterfaces

    • ec2:DescribeSecurityGroups

    • ec2:ModifyNetworkInterfaceAttribute

    • ec2:RevokeSecurityGroupEgress

如果数据库实例和 EC2 实例位于不同的可用区,则您的账户可能会产生跨可用区成本。

当您设置与 EC2 实例的连接时,Amazon DocumentDB 会根据与 Amazon DocumentDB 数据库和 EC2 实例关联的安全组的当前配置采取操作,如下表所述。

当前 Amazon DocumentDB 安全组配置 当前 EC2 安全组配置 Amazon DocumentDB 操作
有一个或多个安全组与 Amazon DocumentDB 数据库关联,该数据库的名称与模式 DocumentDB-ec2-n 相匹配。尚未修改与此模式匹配的安全组。该安全组只具有一条以 EC2 实例的 VPC 安全组作为源的入站规则。 有一个或多个安全组与 EC2 实例关联,此实例的名称与模式 DocumentDB-ec2-n(其中 n 是数字)相匹配。尚未修改与此模式匹配的安全组。该安全组只具有一条以 Amazon DocumentDB 数据库的 VPC 安全组作为源的出站规则。 Amazon DocumentDB 不执行任何操作。已在 EC2 实例和 Amazon DocumentDB 数据库之间自动配置了连接。由于 EC2 实例和 Amazon DocumentDB 数据库之间已经存在连接,因此不会修改安全组。
以下任一条件适用:

  • 没有与 Amazon DocumentDB 数据库(其名称与模式 DocumentDB-ec2-n 匹配)关联的安全组。

  • 有一个或多个安全组与 Amazon DocumentDB 关联,该数据库的名称与模式 DocumentDB-ec2-n 相匹配。但是,Amazon DocumentDB 不能使用这些安全组中的任何一个来连接 EC2 实例。如果安全组没有一条以 EC2 实例的 VPC 安全组作为源的入站规则,则 Amazon DocumentDB 无法使用该安全组。Amazon DocumentDB 也无法使用经过修改的安全组。修改示例包括添加规则或更改现有规则的端口。

 以下任一条件适用:

  • 没有与 EC2 实例(其名称与模式 ec2-DocumentDB-n 匹配)关联的安全组。

  • 有一个或多个安全组与 EC2 实例关联,此实例的名称与模式 ec2-DocumentDB-n 相匹配。但是,Amazon DocumentDB 不能将其中任何安全组用于连接 Amazon DocumentDB 数据库。如果安全组没有一条以 Amazon DocumentDB 数据库的 VPC 安全组作为源的出站规则,则 Amazon DocumentDB 无法使用该安全组。Amazon DocumentDB 也无法使用经过修改的安全组。

 Amazon DocumentDB 操作:新建安全组
有一个或多个安全组与 Amazon DocumentDB 数据库关联,该数据库的名称与模式 DocumentDB-ec2-n 相匹配。尚未修改与此模式匹配的安全组。该安全组只具有一条以 EC2 实例的 VPC 安全组作为源的入站规则。 有一个或多个安全组与 EC2 实例关联,此实例的名称与模式 ec2-DocumentDB-n 相匹配。但是,Amazon DocumentDB 不能将其中任何安全组用于连接 Amazon DocumentDB 数据库。如果安全组没有一条以 Amazon DocumentDB 数据库的 VPC 安全组作为源的出站规则,则 Amazon DocumentDB 无法使用该安全组。Amazon DocumentDB 也无法使用经过修改的安全组。 Amazon DocumentDB 操作:新建安全组
有一个或多个安全组与 Amazon DocumentDB 数据库关联,该数据库的名称与模式 DocumentDB-ec2-n 相匹配。尚未修改与此模式匹配的安全组。该安全组只具有一条以 EC2 实例的 VPC 安全组作为源的入站规则。 存在用于连接的有效 EC2 安全组,但它与 EC2 实例不关联。此安全组的名称与模式 DocumentDB-ec2-n 相匹配。尚未修改它。它只具有一条以 Amazon DocumentDB 数据库的 VPC 安全组作为源的出站规则。 Amazon DocumentDB 操作:关联 EC2 安全组
以下任一条件适用:

  • 没有与 Amazon DocumentDB 数据库(其名称与模式 DocumentDB-ec2-n 匹配)关联的安全组。

  • 有一个或多个安全组与 Amazon DocumentDB 数据库关联,该数据库的名称与模式 DocumentDB-ec2-n 相匹配。但是,Amazon DocumentDB 不能使用这些安全组中的任何一个来连接 EC2 实例。如果安全组没有一条以 EC2 实例的 VPC 安全组作为源的入站规则,则 Amazon DocumentDB 无法使用该安全组。Amazon DocumentDB 也无法使用经过修改的安全组。

 有一个或多个安全组与 EC2 实例关联,此实例的名称与模式 DocumentDB-ec2-n 相匹配。尚未修改与此模式匹配的安全组。该安全组只具有一条以 Amazon DocumentDB 数据库的 VPC 安全组作为源的出站规则。 Amazon DocumentDB 操作:新建安全组

Amazon DocumentDB 操作:新建安全组

Amazon DocumentDB 执行以下操作:

  • 创建与模式 DocumentDB-ec2-n 匹配的新安全组。该安全组具有一条以 EC2 实例的 VPC 安全组作为源的入站规则。此安全组与 Amazon DocumentDB 数据库关联,并允许 EC2 实例访问 Amazon DocumentDB 数据库。

  • 创建与模式 ec2-DocumentDB-n 匹配的新安全组。该安全组具有一条以 Amazon DocumentDB 数据库的 VPC 安全组作为源的出站规则。该安全组与 EC2 实例相关联,并允许 EC2 实例向 Amazon DocumentDB 数据库发送流量。

Amazon DocumentDB 操作:关联 EC2 安全组

Amazon DocumentDB 将有效的现有 EC2 安全组与 EC2 实例关联。该安全组允许 EC2 实例向 Amazon DocumentDB 数据库发送流量。

查看连接的计算资源

您可以使用 AWS Management Console 查看连接到 Amazon DocumentDB 数据库的计算资源。显示的资源包括自动设置的计算资源连接。您可以通过以下方式自动设置与计算资源的连接:

  • 您可以在创建数据库时选择计算资源。有关更多信息,请参阅 创建 Amazon DocumentDB 集群 并创建多可用区数据库集群。

  • 您可以在现有数据库和计算资源之间设置连接。有关更多信息,请参阅 自动连接 Amazon EC2

列出的计算资源不包括手动连接到数据库的计算资源。例如,您可以通过向与数据库关联的 VPC 安全组添加规则来允许计算资源手动访问数据库。

要列出计算资源,必须满足以下条件:

  • 与计算资源关联的安全组的名称与模式 ec2-DocumentDB-n 相匹配(其中 n 是数字)。

  • 与计算资源关联的安全组具有出站规则,其端口范围设置为 Amazon DocumentDB 数据库使用的端口。

  • 与计算资源关联的安全组具有出站规则,源设置为与 Amazon DocumentDB 数据库关联的安全组。

  • 与 Amazon DocumentDB 数据库关联的安全组的名称与模式 DocumentDB-ec2-n(其中 n 是数字)相匹配。

  • 与 Amazon DocumentDB 数据库关联的安全组具有一条出站规则,其端口范围设置为 Amazon DocumentDB 数据库使用的端口。

  • 与 Amazon DocumentDB 数据库关联的安全组有一条入站规则,其源设置为与计算资源关联的安全组。

查看已连接到 Amazon DocumentDB 数据库的计算资源

  1. 登录到 AWS Management Console 并打开 Amazon DocumentDB 控制台,网址:https://console.aws.amazon.com/docdb

  2. 在导航窗格中,选择数据库,然后选择 Amazon DocumentDB 数据库的名称。

  3. 连接和安全选项卡上,在连接的计算资源中查看计算资源。