Szenarien für den Zugriff auf eine DB-Instance in einer VPC - Amazon Relational Database Service

Szenarien für den Zugriff auf eine DB-Instance in einer VPC

Amazon RDS unterstützt die folgenden Szenarien für den Zugriff auf eine DB-Instance in einer VPC:

EC2-Instance-Zugriff auf eine DB-Instance in derselben VPC

Häufig wird eine DB-Instance in einer VPC genutzt, um Daten mit einem Anwendungsserver zu teilen, der auf einer EC2-Instance in derselben VPC ausgeführt wird. Dieses Benutzerszenario tritt ein, wenn Sie mit AWS Elastic Beanstalk eine EC2-Instance und eine DB-Instance in derselben VPC erstellen.

Im folgenden Diagramm wird dieses Szenario veranschaulicht.


					Ein VPC-Szenario

Nachfolgend finden Sie den einfachsten Weg für die Verwaltung des Zugriffs zwischen EC2-Instances und DB-Instances in derselben VPC:

  • Erstellen Sie eine VPC-Sicherheitsgruppe, in der sich Ihre DB-Instances befinden sollen. Diese Sicherheitsgruppe kann verwendet werden, um den Zugriff auf DB-Instances zu beschränken. Sie können für diese Sicherheitsgruppe beispielsweise eine benutzerdefinierte Regel erstellen, die den TCP-Zugriff auf den Port (den Sie der DB-Instance beim Erstellen zugewiesen haben) ermöglicht, sowie eine IP-Adresse, über die Sie für Entwicklungs- und andere Zwecke auf die DB-Instance zugreifen.

  • Erstellen Sie eine VPC-Sicherheitsgruppe, der sich Ihre EC2-Instances (Webserver und Clients) befinden. Mithilfe dieser Sicherheitsgruppe können Sie bei Bedarf den Internetzugriff auf die EC2-Instance über die Routing-Tabelle der VPC zulassen. Sie können beispielsweise Regeln für diese Sicherheitsgruppe festlegen, damit der TCP-Zugriff auf die EC2-Instance über Port 22 möglich ist.

  • Erstellen Sie in der Sicherheitsgruppe benutzerdefinierte Regeln für die DB-Instances, um Verbindungen von der (für die EC2-Instances) erstellten Sicherheitsgruppe zuzulassen. Damit wird jedem Mitglied der Sicherheitsgruppe der Zugriff auf die DB-Instances gestattet.

Ein Tutorial mit einer Anleitung zum Erstellen einer VPC mit öffentlichen und privaten Subnetzen für dieses Szenario finden Sie unter Tutorial: Erstellen einer Amazon VPC zur Verwendung mit einer DB-Instance (nur IPv4).

Führen Sie folgende Schritte aus, um eine Regel in einer VPC-Sicherheitsgruppe zu erstellen, die Verbindungen von einer anderen Sicherheitsgruppe zulässt:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc.

  2. Wählen Sie im Navigationsbereich Security Groups aus.

  3. Erstellen oder wählen Sie eine Sicherheitsgruppe aus, der Sie den Zugriff zu Teilen einer anderen Sicherheitsgruppe erlauben möchten. Im vorhergehenden Szenario ist dies die Sicherheitsgruppe, die Sie für Ihre DB-Instances verwenden. Wählen Sie die Registerkarte Inbound Rules (Eingehende Regeln) und anschließend Edit Inbound Rules (Eingehende Regeln bearbeiten) aus.

  4. Wählen Sie auf der Seite Edit inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) die Option Add Rule (Regel hinzufügen).

  5. Wählen Sie in Type (Typ) den Eintrag aus, der dem Port entspricht, den Sie beim Erstellen der DB-Instance verwendet haben, z. B. MYSQL/Aurora.

  6. Geben Sie im Feld Source (Quelle) die ID der Sicherheitsgruppe ein. Anschließend werden die übereinstimmenden Sicherheitsgruppen auflistet. Wählen Sie die Sicherheitsgruppe mit den Mitgliedern aus, die Zugriff auf die durch diese Sicherheitsgruppe geschützten Ressourcen erhalten sollen. Im vorhergehenden Szenario ist dies die Sicherheitsgruppe, die Sie für Ihre EC2-Instance verwenden.

  7. Wiederholen Sie die Schritte für das TCP-Protokoll, indem Sie eine Regel mit All TCP (Alle TCP) als Type (Typ) und Ihrer Sicherheitsgruppe im Feld Source (Quelle) erstellen. Wenn Sie das UDP-Protokoll verwenden möchten, erstellen Sie eine Regel mit Alle UDP als Typ und Ihrer Sicherheitsgruppe im Feld Quelle.

  8. Wählen Sie anschließend Save rules (Regeln speichern).

Der folgende Bildschirm zeigt eine eingehende Regel mit einer Sicherheitsgruppe für ihre Quelle.


					Hinzufügen einer Sicherheitsgruppe zu den Regeln einer anderen Sicherheitsgruppe

Zugriff einer EC2-Instance in einer VPC auf eine DB-Instance in einer anderen VPC

Wenn sich Ihre DB-Instance in einer anderen VPC als die für den Zugriff darauf verwendete EC2-Instance befindet, können Sie per VPC Peering auf die DB-Instance zugreifen.

Im folgenden Diagramm wird dieses Szenario veranschaulicht.


				Zugriff einer EC2-Instance in einer VPC auf eine DB-Instance in einer anderen VPC

Peering: Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs. Diese ermöglicht die Weiterleitung des Datenverkehrs zwischen den VPCs mithilfe von privaten IP-Adressen. Instances in jeder der VPCs können so miteinander kommunizieren, als befänden sie sich im selben Netzwerk. Sie können eine VPC-Peering-Verbindung zwischen Ihren eigenen VPCs, mit einer VPC in einem anderen AWS-Konto oder mit einer VPC in einer anderen AWS-Region herstellen. Weitere Informationen über VPC-Peering finden Sie unter VPC-Peering im Amazon Virtual Private Cloud-Benutzerhandbuch.

Zugriff auf eine DB-Instance in einer VPC durch eine Client-Anwendung über das Internet

Damit eine Client-Anwendung über das Internet auf eine DB-Instance in einer VPC zugreifen kann, konfigurieren Sie eine VPC mit einem einzelnen öffentlichen Subnetz und ein Internet-Gateway für die Kommunikation über das Internet.

Im folgenden Diagramm wird dieses Szenario veranschaulicht.


					Zugriff auf eine DB-Instance in einer VPC durch eine Client-Anwendung über das Internet

Wir empfehlen die folgende Konfiguration:

  • Eine VPC der Größe /16 (z. B. CIDR: 10.0.0.0/16). Diese Größe bietet 65.536 private IP-Adressen.

  • Ein Subnetz der Größe /24 (z. B. CIDR: 10.0.0.0/24). Diese Größe bietet 256 private IP-Adressen.

  • Eine Amazon-RDS-DB-Instance, die der VPC und dem Subnetz zugeordnet ist. Amazon RDS weist Ihrer DB-Instance eine IP-Adresse im Subnetz zu.

  • Ein Internet-Gateway, das die VPC mit dem Internet und mit anderen AWS-Produkten verbindet.

  • Eine Sicherheitsgruppe, die der DB-Instance zugeordnet ist. Die Regeln für eingehenden Datenverkehr der Sicherheitsgruppe erlauben der Clientanwendung den Zugriff auf die DB-Instance.

Informationen zum Erstellen einer DB-Instance in einer VPC finden Sie unter Erstellen einer DB-Instance in einer VPC.

Eine DB-Instance in einer VPC, auf die von einem privaten Netzwerk zugegriffen wird

Wenn Ihre DB-Instance nicht öffentlich zugänglich ist, haben Sie die folgenden Optionen, um von einem privaten Netzwerk aus darauf zuzugreifen:

Das folgende Diagramm stellt ein Szenario mit einer AWS-Site-to-Site-VPN-Verbindung dar.


					Eine DB-Instance in einer VPC, auf die von einem privaten Netzwerk zugegriffen wird

Weitere Informationen finden Sie unter Richtlinie für den Datenverkehr zwischen Netzwerken.

Sie können die Kommunikation zwischen einer Amazon RDS-DB-Instance in einer VPC und einer EC2-Instance außerhalb einer Amazon VPC mithilfe von ClassicLink etablieren. Wenn Sie ClassicLink verwenden, kann eine Anwendung auf der EC2-Instance über den Endpunkt der DB-Instance eine Verbindung zu dieser herstellen. ClassicLink ist kostenlos erhältlich.

Wichtig

Wenn Ihre EC2-Instance nach 2013 erstellt wurde, befindet sie sich wahrscheinlich in einer VPC.

Im folgenden Diagramm wird dieses Szenario veranschaulicht.


					Zugriff auf eine DB-Instance in einer VPC durch eine EC2-Instance, die sich nicht in einer VPC befindet

Durch die Verwendung von ClassicLink können Sie eine EC2-Instance mit einer logisch isolierten Datenbank verbinden, in der Sie den IP-Adressbereich festlegen und die Zugriffskontrolllisten (ACLs) bearbeiten, um den Netzwerkdatenverkehr zu verwalten. Sie müssen keine öffentlichen IP-Adressen oder Tunneling verwenden, um mit einer DB-Instance in der VPC zu kommunizieren. Diese Methode bietet Ihnen einen höheren Durchsatz und eine geringere Verbindungslatenz bei der Kommunikation zwischen den Instances.

So aktivieren Sie ClassicLink für eine DB-Instance in einer VPC und eine EC2-Instance außerhalb einer VPC

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc.

  2. Wählen Sie im Navigationsbereich Your VPCs.

  3. Wählen Sie die VPC aus, die von der DB-Instance verwendet wird.

  4. Wählen Sie im Menü Aktionen die Option ClassicLink aktivieren aus. Wählen Sie im Bestätigungsdialogfeld Yes, Enable (Ja, aktivieren) aus.

  5. Wählen Sie in der EC2-Konsole die EC2-Instance aus, die Sie mit der DB-Instance in der VPC verbinden möchten.

  6. Wählen Sie im Menü Aktionen die Option ClassicLink und anschließend Mit VPC verknüpfen aus.

  7. Wählen Sie auf der Seite Mit VPC verknüpfen die zu verwendende Sicherheitsgruppe aus und klicken Sie auf Mit VPC verknüpfen.

Anmerkung

Die ClassicLink-Funktionen sind nur in den Konsolen für Konten und Regionen sichtbar, die EC2-Classic unterstützen. Weitere Informationen finden Sie unter ClassicLink im Amazon EC2-Benutzerhandbuch für Linux-Instances.