Szenarien für den Zugriff auf eine DB-Cluster in einer VPC - Amazon Aurora
Eine EC2-Instance in derselben VPCEine EC2-Instance in einer anderen VPCEine Client-Anwendung über das InternetEin Privates Netzwerk

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Szenarien für den Zugriff auf eine DB-Cluster in einer VPC

Amazon Aurora unterstützt die folgenden Szenarien für den Zugriff auf eine DB- Cluster in einer VPC:

Ein DB- luster in einer VPC, auf den eine EC2-Instance in derselben VPC zugreift

Häufig wird eine DB- Cluster in einer VPC genutzt, um Daten mit einem Anwendungsserver zu teilen, der auf einer EC2-Instance in derselben VPC ausgeführt wird.

Im folgenden Diagramm wird dieses Szenario veranschaulicht.

VPC-Szenario mit einem öffentlichen Webserver und einer privaten Datenbank

Nachfolgend finden Sie den einfachsten Weg für die Verwaltung des Zugriffs zwischen EC2-Instances und DB- Cluster in derselben VPC:

  • Erstellen Sie eine VPC-Sicherheitsgruppe, in der sich Ihre DB- Cluster befinden sollen. Diese Sicherheitsgruppe kann verwendet werden, um den Zugriff auf DB- Cluster zu beschränken. Sie können beispielsweise eine benutzerdefinierte Regel für diese Sicherheitsgruppe erstellen. Dies kann den TCP-Zugriff über den Port ermöglichen, den Sie dem DB- Cluster bei der Erstellung zugewiesen haben, sowie eine IP-Adresse, die Sie für den Zugriff auf den DB- Cluster für Entwicklungs- oder andere Zwecke verwenden.

  • Erstellen Sie eine VPC-Sicherheitsgruppe, der sich Ihre EC2-Instances (Webserver und Clients) befinden. Mithilfe dieser Sicherheitsgruppe können Sie bei Bedarf den Internetzugriff auf die EC2-Instance über die Routing-Tabelle der VPC zulassen. Sie können beispielsweise Regeln für diese Sicherheitsgruppe festlegen, damit der TCP-Zugriff auf die EC2-Instance über Port 22 möglich ist.

  • Erstellen Sie in der Sicherheitsgruppe benutzerdefinierte Regeln für Ihre DB- Cluster, um Verbindungen von der (für die EC2-Instances) erstellten Sicherheitsgruppe zuzulassen. Diese Regeln können jedem Mitglied der Sicherheitsgruppe den Zugang zu den DB- Clustern ermöglichen.

Es gibt ein zusätzliches öffentliches und privates Subnetz in einer separaten Availability Zone. Eine RDS-DB-Subnetzgruppe erfordert ein Subnetz in mindestens zwei Availability Zones. Das zusätzliche Subnetz erleichtert den Wechsel zu einer Multi-AZ-DB-Instance-Bereitstellung in der future.

Ein Tutorial mit einer Anleitung zum Erstellen einer VPC mit öffentlichen und privaten Subnetzen für dieses Szenario finden Sie unter Tutorial: Erstellen einer VPC zur Verwendung mit einem DB-Cluster (nur IPv4).

Tipp

Sie können die Netzwerkkonnektivität zwischen einer Amazon-EC2-Instance und einem DB-Cluster automatisch beim Erstellen des DB-Clusters einrichten. Weitere Informationen finden Sie unter Automatische Netzwerkkonnektivität mit einer EC2-Instance konfigurieren.

Führen Sie folgende Schritte aus, um eine Regel in einer VPC-Sicherheitsgruppe zu erstellen, die Verbindungen von einer anderen Sicherheitsgruppe zulässt:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Erstellen oder wählen Sie eine Sicherheitsgruppe aus, der Sie den Zugriff zu Teilen einer anderen Sicherheitsgruppe erlauben möchten. Im vorhergehenden Szenario ist dies die Sicherheitsgruppe, die Sie für Ihre DB- Cluster verwenden. Wählen Sie die Registerkarte Inbound Rules (Eingehende Regeln) und anschließend Edit Inbound Rules (Eingehende Regeln bearbeiten) aus.

  4. Wählen Sie auf der Seite Edit inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) die Option Add Rule (Regel hinzufügen).

  5. Wählen Sie für Typ den Eintrag, der dem Port entspricht, den Sie bei der Erstellung Ihres DB- Clusters verwendet haben, z. B. MYSQL/Aurora.

  6. Geben Sie im Feld Source (Quelle) die ID der Sicherheitsgruppe ein. Anschließend werden die übereinstimmenden Sicherheitsgruppen auflistet. Wählen Sie die Sicherheitsgruppe mit den Mitgliedern aus, die Zugriff auf die durch diese Sicherheitsgruppe geschützten Ressourcen erhalten sollen. Im vorhergehenden Szenario ist dies die Sicherheitsgruppe, die Sie für Ihre EC2-Instance verwenden.

  7. Wiederholen Sie die Schritte für das TCP-Protokoll, indem Sie eine Regel mit All TCP (Alle TCP) als Type (Typ) und Ihrer Sicherheitsgruppe im Feld Source (Quelle) erstellen. Wenn Sie das UDP-Protokoll verwenden möchten, erstellen Sie eine Regel mit Alle UDP als Typ und Ihrer Sicherheitsgruppe im Quelle.

  8. Wählen Sie Save rules (Regeln speichern) aus.

Der folgende Bildschirm zeigt eine eingehende Regel mit einer Sicherheitsgruppe für ihre Quelle.

Hinzufügen einer Sicherheitsgruppe zu den Regeln einer anderen Sicherheitsgruppe

Weitere Informationen zum Herstellen einer Verbindung mit dem DB-Cluster von Ihrer EC2-Instance aus finden Sie unter Herstellen einer Verbindung mit einem Amazon Aurora-DB-Cluster.

Ein DB-Cluster in einer VPC, auf den eine EC2-Instanz in einer anderen VPC zugreift

Wenn sich Ihre DB- Cluster in einer anderen VPC als die für den Zugriff darauf verwendete EC2-Instance befindet, können Sie per VPC Peering auf die DB- Cluster zugreifen.

Im folgenden Diagramm wird dieses Szenario veranschaulicht.

Zugriff einer EC2-Instance in einer VPC auf eine DB-Instance in einer anderen VPC

Peering: Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs. Diese ermöglicht die Weiterleitung des Datenverkehrs zwischen den VPCs mithilfe von privaten IP-Adressen. Ressourcen in jeder der VPCs können so miteinander kommunizieren, als befänden sie sich im selben Netzwerk. Sie können eine VPC-Peering-Verbindung zwischen Ihren eigenen VPCs, mit einer VPC in einem anderen AWS-Konto oder mit einer VPC in einer anderen AWS-Region herstellen. Weitere Informationen über VPC-Peering finden Sie unter VPC-Peering im Amazon Virtual Private Cloud-Benutzerhandbuch.

Zugriff auf eine DB-Cluster in einer VPC durch eine Client-Anwendung über das Internet

Damit eine Client-Anwendung über das Internet auf eine DB- Cluster in einer VPC zugreifen kann, konfigurieren Sie eine VPC mit einem einzelnen öffentlichen Subnetz und ein Internet-Gateway für die Kommunikation über das Internet.

Im folgenden Diagramm wird dieses Szenario veranschaulicht.

Zugriff auf eine DB- Cluster in einer VPC durch eine Client-Anwendung über das Internet

Wir empfehlen die folgende Konfiguration:

  • Eine VPC der Größe /16 (z. B. CIDR: 10.0.0.0/16). Diese Größe bietet 65.536 private IP-Adressen.

  • Ein Subnetz der Größe /24 (z. B. CIDR: 10.0.0.0/24). Diese Größe bietet 256 private IP-Adressen.

  • Ein DB-Cluster von Amazon Aurora mit Zuordnung zur VPC und zum Subnetz. Amazon RDS weist Ihrer DB- Cluster eine IP-Adresse im Subnetz zu.

  • Ein Internet-Gateway, das die VPC mit dem Internet und mit anderen AWS-Produkten verbindet.

  • Eine Sicherheitsgruppe, die der DB- Cluster zugeordnet ist. Die Regeln für eingehenden Datenverkehr der Sicherheitsgruppe erlauben der Clientanwendung den Zugriff auf die DB- Cluster.

Informationen zum Erstellen einer DB- Cluster in einer VPC finden Sie unter Erstellen einer DB-Cluster in einer VPC.

Eine DB-Cluster in einer VPC, auf die von einem privaten Netzwerk zugegriffen wird

Wenn Ihre DB- Cluster nicht öffentlich zugänglich ist, haben Sie die folgenden Optionen, um von einem privaten Netzwerk aus darauf zuzugreifen:

Das folgende Diagramm stellt ein Szenario mit einer AWS-Site-to-Site-VPN-Verbindung dar.

Eine DB- Cluster in einer VPC, auf die von einem privaten Netzwerk zugegriffen wird.

Weitere Informationen finden Sie unter Richtlinie für den Datenverkehr zwischen Netzwerken.