从 Amazon VPC 外部连接到 Amazon DocumentDB 集群 - Amazon DocumentDB

从 Amazon VPC 外部连接到 Amazon DocumentDB 集群

Amazon DocumentDB(与 MongoDB 兼容)集群部署在 Amazon Virtual Private Cloud (Amazon VPC) 中。它们可由 Amazon EC2 实例或部署在同一 Amazon VPC 中的其他 AWS 服务直接访问。此外,Amazon DocumentDB 还可供部署在同一 AWS 区域 或其他区域的不同 VPC 中的 EC2 实例或其他 AWS 服务通过 VPC 对等连接访问。

但是,假设您的使用案例要求您(或您的应用程序)从集群的 VPC 外部访问您的 Amazon DocumentDB 资源。在这种情况下,您可以使用 SSH 隧道(也称为端口转发)访问您的 Amazon DocumentDB 资源。

深入讨论 SSH 隧道超出了本主题的范围。有关 SSH 隧道的更多信息,请参阅以下内容:

要创建 SSH 隧道,您需要一个与您的 Amazon DocumentDB 集群在同一 Amazon VPC 中运行的 Amazon EC2 实例。您可以使用同一 VPC 中的现有 EC2 实例作为集群,或创建一个集群。有关更多信息,请参阅适合您的操作系统的主题:

您可能通常会使用以下命令连接到 EC2 实例:

ssh -i "ec2Access.pem" ubuntu@ec2-34-229-221-164.compute-1.amazonaws.com

如果是这样,您可以通过在本地计算机上运行以下命令设置到 Amazon DocumentDB 集群 sample-cluster.node.us-east-1.docdb.amazonaws.com 的 SSH 隧道。-L 标志用于转发本地端口。使用 SSH 隧道时,我们建议您使用集群端点连接到集群,而不要尝试以副本集模式(即在连接字符串中指定 replicaSet=rs0)进行连接,因为这会导致错误。

ssh -i "ec2Access.pem" -L 27017:sample-cluster.node.us-east-1.docdb.amazonaws.com:27017 ubuntu@ec2-34-229-221-164.compute-1.amazonaws.com -N

创建 SSH 隧道后,您发布到 localhost:27017 的任何命令都会转发到在 Amazon VPC 中运行的 Amazon DocumentDB 集群 sample-cluster。如果您的 Amazon DocumentDB 集群上启用了传输层安全性协议 (TLS),则需要从 https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem 下载 Amazon DocumentDB 的公有密钥。以下操作将下载此文件:

wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem
注意

默认情况下会对新的 Amazon DocumentDB 集群启用 TLS。但是,您可以将其禁用。有关更多信息,请参阅 管理 Amazon DocumentDB 集群 TLS 设置

要从 Amazon VPC 外部连接到您的 Amazon DocumentDB 集群,请使用以下命令。

mongo --sslAllowInvalidHostnames --ssl --sslCAFile global-bundle.pem --username <yourUsername> --password <yourPassword>