設定 Amazon Neptune 資料庫叢集所在的 Amazon VPC - Amazon Neptune
新增子網路建立子網路群組建立安全群組VPC 中的 DNS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Amazon Neptune 資料庫叢集所在的 Amazon VPC

只能在 Amazon Virtual Private Cloud (Amazon VPC) 中建立的 Amazon Neptune 資料庫叢集。在該 VPC 內可存取其端點。

有許多不同的方法可以設定 VPC,取決於您想要存取資料庫叢集的方式。

設定 Neptune 資料庫叢集所在的 VPC 時,要謹記以下幾點:

  • 您的 VPC 必須至少要有兩個子網路。這些子網路必須位於兩個不同的可用區域 (AZ)。透過將叢集執行個體分散到至少兩個 AZ,Neptune 可協助確保即使在不大可能發生可用區域失敗的情況下,您的資料庫叢集內始終都有執行個體可用。Neptune 資料庫叢集的叢集磁碟區一律橫跨三個可用區域,以提供資料遺失可能性極低的耐久性儲存體。

  • 每個子網路中的 CIDR 區塊必須大到足以提供在維護活動、容錯移轉和擴展期間 Neptune 可能需要的 IP 地址。

  • VPC 必須具有一個資料庫子網路群組,其中包含您已建立的子網路。Neptune 會選擇子網路群組中的其中一個子網路,以及該子網路內的 IP 地址,以與資料庫叢集內的資料庫執行個體建立關聯。然後,資料庫執行個體位於與子網路相同的可用區域中。

  • VPC 應該已啟用 DNS (DNS 主機名稱和 DNS 解析)。

  • 您的 VPC 必須具有 VPC 安全群組,允許存取您的資料庫叢集。

  • Neptune VPC 中的租用應設定為預設值

將子網路新增至 Neptune 資料庫叢集所在的 VPC

子網是您的 VPC 中的 IP 地址範圍。您可以將 Neptune 資料庫叢集或 EC2 執行個體等資源啟動至特定子網路。建立子網時,您需為該子網指定 IPv4 CIDR 區塊,其即是 VPC CIDR 區塊的子網。每個子網路必須完全位於某一可用區域 (AZ) 內,而且不得跨越多個區域。藉由在單獨的可用區域中啟動執行個體,您可以保護應用程式免於在單一區域發生失敗。如需詳細資訊,請參閱 VPC 子網路文件

一個 Neptune 資料庫叢集需要至少兩個 VPC 子網路。

將子網路新增至 VPC

  1. 登入 AWS Management Console 並開啟 Amazon VPC 主控台,網址為 https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇 Subnets (子網)。

  3. VPC 儀表板中選擇子網路,然後選擇建立子網路

  4. 建立子網路頁面上,選擇要在其中建立子網路的 VPC。

  5. 子網路設定下,進行下列選擇:

    1. 子網路名稱下輸入新子網路的名稱。

    2. 選擇子網路的可用區域 (AZ),或保留無偏好設定中的選擇。

    3. IPv4 CIDR 區塊下輸入子網路的 IP 地址區塊。

    4. 如有需要,請將標籤新增至子網路。

    5. 選擇

  6. 如果您想要同時建立另一個子網路,請選擇新增子網路

  7. 選擇建立子網路以建立新的子網路。

在 VPC 中建立子網路群組

建立子網路群組。

建立 Neptune 子網路群組

  1. 登入 AWS 管理主控台,然後開啟 Amazon Neptune 主控台,網址為 https://console.aws.amazon.com/neptune/home

  2. 選擇 Subnet groups (子網路群組),然後選擇 Create DB Subnet Group (建立資料庫子網路群組)。

  3. 輸入新子網路群組的名稱和描述 (描述是必要的)。

  4. VPC 下,選擇您要在其中放置此子網路群組的 VPC。

  5. 可用區域下,選擇您要在其中放置此子網路群組的 AZ。

  6. 子網路下,將此可用區域中的一或多個子網路新增至此子網路群組。

  7. 選擇建立來建立新的子網路群組。

使用 VPC 主控台建立安全群組

安全群組提供 VPC 中 Neptune 資料庫叢集的存取權。其作用就像相關聯資料庫叢集的防火牆,從執行個體層級控制傳入和傳出流量。根據預設,建立的資料庫執行個體具有防火牆和預設安全群組,可防止對其進行任何存取。若要啟用存取,您必須擁有具備其他規則的 VPC 安全群組。

下列程序說明如何新增自訂的 TCP 規則,指定 Amazon EC2 執行個體用來存取 Neptune 資料庫叢集的連接埠範圍和 IP 地址。您可以使用指派給 EC2 執行個體的 VPC 安全群組,而不是其 IP 地址。

在主控台上建立 Neptune 的 VPC 安全群組

  1. 登入 AWS Management Console 並開啟 Amazon VPC 主控台,網址為 https://console.aws.amazon.com/vpc/

  2. 在主控台的右上角,選擇您要為 Neptune 建立 VPC 安全性群組的 AWS 區域。在該區域的 Amazon VPC 資源清單中,應該會顯示至少一個 VPC 和多個子網路。如果沒有,表示您在該區域中沒有預設 VPC。

  3. 在導覽窗格中,於安全下,選擇安全群組

  4. 選擇建立安全群組。在建立安全群組視窗中,輸入安全群組名稱描述,以及 Neptune 資料庫叢集將位於其中之 VPC 的識別符。

  5. 為要連線至 Neptune 資料庫叢集之 Amazon EC2 執行個體的安全群組新增傳入規則:

    1. 傳入規則區域中,選擇新增規則

    2. 類型清單中,保持選取自訂 TCP

    3. 連接埠範圍方塊中,輸入 8182,這是 Neptune 的預設連接埠值。

    4. 來源下,輸入您要從中存取 Neptune 的 IP 地址範圍 (CIDR 值),或選擇現有的安全群組名稱。

    5. 如果需要新增更多 IP 地址或不同的連接埠範圍,請再次選擇新增規則

  6. 在 [傳出規則] 區域中,您也可以在需要時新增一或多個傳出規則。

  7. 完成後,請選擇 Create security group (建立安全群組)

當建立新的 Neptune 資料庫叢集時,您可以使用此新的 VPC 安全群組。

如果您使用預設 VPC,系統已經為您建立橫跨所有 VPC 子網路的預設子網路群組。當您在 Neptune 主控台中選擇建立資料庫時,除非您指定不同的 VPC,否則會使用預設 VPC。

確定您在 VPC 中具有 DNS 支援

網域名稱系統 (DNS) 是一種在網際網路上用於解析為對應 IP 地址的標準名稱。DNS 主機名稱為獨特的電腦名稱並由主機名稱和網域名稱組成。DNS 伺服器會將 DNS 主機名稱解析為對應的 IP 地址。

請檢查以確定 VPC 中已同時啟用 DNS 主機名稱和 DNS 解析。VPC 網路屬性 enableDnsHostnamesenableDnsSupport 必須設定為 true. 要查看和修改這些屬性,請移至位於 https://console.aws.amazon.com/vpc/ 的 VPC 主控台。

如需詳細資訊,請參閱以 VPC 使用 DNS

注意

如果您使用的是 Route 53,請確認您的組態不會覆寫 VPC 中的 DNS 網路屬性。