本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 VPC 中存取資料庫執行個體的案例
Amazon RDS 支援下列在 VPC 中存取資料庫執行個體的使用案例:
+ [相同 VPC 中的 Amazon EC2 執行個體](#USER_VPC.Scenario1)
+ [EC2 執行個體位於不同 VPC](#USER_VPC.Scenario3)
+ [連上網際網路的用戶端應用程式](#USER_VPC.Scenario4)
+ [私有網路](#USER_VPC.NotPublic)
## 由相同 VPC 中的 Amazon EC2 執行個體在 VPC 中存取的資料庫執行個體
資料庫執行個體在 VPC 中常見的使用方式,是與在同一 VPC 之 Amazon EC2 執行個體中執行的應用程式伺服器共用資料。
此案例可以下列圖表顯示。
![\[具有公有 Web 伺服器和私有資料庫的 VPC 案例。\]](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/images/con-VPC-sec-grp.png)
若要管理相同 VPC 中 EC2 執行個體與資料庫執行個體之間的存取權限,最簡單的方式如下:
+ 建立將包含資料庫執行個體的 VPC 安全群組。此安全群組可用來限制資料庫執行個體的存取權限。例如,您可以為此安全群組建立自訂規則,允許使用您在建立自訂規則時指派給資料庫執行個體的連接埠存取 TCP,並可建立一組存取資料庫執行個體的 IP 地址,做為開發或其他用途使用。
+ 建立將包含 EC2 執行個體 (web 伺服器和用戶端) 的 VPC 安全群組。若有需要,此安全群組可允許藉由使用 VPC 路由表存取網際網路上的 EC2 執行個體。舉例來說,您可以在此安全群組上設定規則,允許 TCP 透過連接埠 22 存取 EC2 執行個體。
+ 在您資料庫執行個體的安全群組中建立自訂規則,允許來自您為 EC2 執行個體所建立之安全群組的連線要求。這些規則可能會允許安全群組的所有成員存取資料庫執行個體。
在單獨的可用區域中,還有一個額外的公有和私有子網路。RDS 資料庫子網路群組需要至少兩個可用區域中的子網路。額外的子網路可讓您在未來輕鬆切換到多可用區域資料庫執行個體部署。
如需相關教學課程,了解如何為此案例建立包含公有和私有子網路的 VPC,請參閱[教學課程:建立要與資料庫執行個體搭配使用的 VPC (僅限 IPv4)](CHAP_Tutorials.WebServerDB.CreateVPC.md)。
**提示**
您可以在建立資料庫執行個體時,自動設定 Amazon EC2 執行個體與資料庫執行個體之間的連線。如需更多詳細資訊,請參閱 [設定與 EC2 執行個體的自動網路連線](USER_CreateDBInstance.md#USER_CreateDBInstance.Prerequisites.VPC.Automatic)。
**若要在允許其他安全群組連線要求的 VPC 安全群組中建立規則,請按照以下步驟操作:**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/vpc](https://console.aws.amazon.com/vpc):// 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**安全群組**。
1. 選擇或建立要允許其他安全群組成員存取的安全群組。在前一個藍本中,這是您用於資料庫執行個體的安全群組。選擇 **Inbound rules** (傳入規則) 索引標籤,然後選擇 **Edit inbound rules** (編輯對內規則)。
1. 在 **Edit inbound rules** (編輯對內規則) 頁面上,選擇 **Add rule** (新增規則)。
1. 對於**類型**,選擇對應您在建立資料庫執行個體時所使用之連接埠的項目,例如 **MYSQL/Aurora**。
1. 在**來源**方塊中,開始輸入安全群組 ID,這會列出相符的安全群組。選擇安全群組,允許其成員存取由此安全群組所保護的資源。在前一個藍本中,這是您用於 EC2 執行個體的安全群組。
1. 視需要使用**所有 TCP** 做為**類型**並在**來源**方塊中輸入安全群組來建立規則,以重複 TCP 通訊協定的步驟。若您打算使用 UDP 通訊協定,請使用 **All UDP** (所有 UDP) 作為 **Type** (類型),並在 **Source ** (來源) 中輸入安全群組,以建立規則。
1. 選擇**儲存規則**。
下列畫面顯示安全群組針對其來源的對內規則。
![\[為其他安全群組規則新增安全群組。\]](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/images/con-vpc-add-sg-rule.png)
如需從 EC2 執行個體連線至資料庫執行個體的詳細資訊,請參閱[連接至 Amazon RDS 資料庫執行個體](CHAP_CommonTasks.Connect.md) 。
## 由不同 VPC 中的 EC2 執行個體存取 VPC 中的資料庫執行個體
當您的資料庫執行個體與您用來存取資料庫執行個體叢集的 EC2 執行個體不在相同 VPC 中時,您就能使用 VPC 對等連線存取該資料庫執行個體。
此案例可以下列圖表顯示。
![\[由不同 VPC 中的 Amazon EC2 執行個體存取 VPC 中的資料庫執行個體。\]](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/images/RDSVPC2EC2VPC.png)
VPC 對等連線是指兩個 VPC 之間的網路連線,透過此機制,您就可以使用私有 IP 地址在兩者之間路由流量。這兩個 VPC 中的資源能彼此通訊,有如位於相同網路中一樣。您可以在自己的 VPCs 之間建立 VPC 對等互連、在另一個 AWS 帳戶中建立 VPC,或在不同的 VPC 之間建立 VPC 對等互連 AWS 區域。若要進一步了解 VPC 互連,請參閱《Amazon Virtual Private Cloud 使用者指南》**中的 [VPC 互連](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)。
## 由用戶端應用程式透過網際網路存取 VPC 中的資料庫執行個體
若要由用戶端應用程式透過網際網路存取 VPC 中的資料庫執行個體,您必須設定單一公有子網路的 VPC 以及網際網路閘道,啟用網際網路通訊。
此案例可以下列圖表顯示。
![\[由用戶端應用程式透過網際網路存取 VPC 中的資料庫執行個體。\]](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/images/GS-VPC-network.png)
我們建議您使用下列組態:
+ 大小為 /16 的 VPC (例如,CIDR: 10.0.0.0/16)。此大小可提供 65,536 個私有 IP 地址。
+ 大小為 /24 的子網路 (例如,CIDR: 10.0.0.0/24)。此大小可提供 256 個私有 IP 地址。
+ 與 VPC 和子網路相關聯的 Amazon RDS 資料庫執行個體。Amazon RDS 會將子網路中的 IP 地址指派給資料庫執行個體。
+ 網際網路閘道會將 VPC 連線至網際網路和其他 AWS 產品。
+ 與資料庫執行個體相關聯的安全群組。安全群組的傳入規則允許您的用戶端應用程式存取您的資料庫執行個體。
如需有關在 VPC 中建立資料庫執行個體的資訊,請參閱 [在 VPC 中建立資料庫執行個體](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.InstanceInVPC)。
## 透過私有網路存取 VPC 中的資料庫執行個體
如果您的資料庫執行個體無法公開存取,可以使用下列選項從私有網路存取:
+ An AWS Site-to-Site VPN 連接。如需詳細資訊,請參閱[什麼是 AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Direct Connect 連線。如需詳細資訊,請參閱[什麼是 Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ AWS Client VPN 連線。如需詳細資訊,請參閱[什麼是 AWS Client VPN?](https://docs.aws.amazon.com//vpn/latest/clientvpn-admin/what-is.html)
下圖顯示具有 AWS Site-to-Site連線的案例。
![\[透過私有網路存取 VPC 中的資料庫執行個體。\]](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/images/site-to-site-vpn-connection.png)
如需詳細資訊,請參閱[網際網路流量隱私權](inter-network-traffic-privacy.md)。