Arbeiten mit einer DB-Instance in einer VPC - Amazon Relational Database Service

Arbeiten mit einer DB-Instance in einer VPC

Sofern Sie nicht mit einer älteren DB-Instance arbeiten, befindet sich DB-Instance in einer Virtual Private Cloud (VPC). Eine VPC ist ein virtuelles Netzwerk, das von anderen virtuellen Netzwerken in der AWS-Cloud logisch isoliert ist. Mit Amazon VPC können Sie AWS-Ressourcen, wie z. B. Amazon-RDS-DB-Instance oder Amazon EC2 Instance in einer VPC launchen. Bei der VPC kann es sich um die mit Ihrem Konto verknüpfte Standard-VPC oder eine von Ihnen erstellte VPC handeln. Alle VPCs sind mit Ihrem AWS-Konto verknüpft.

Die Standard-VPC besitzt drei Subnetze, mit denen Sie Ressourcen innerhalb der VPC separieren können. Zudem verfügt die Standard-VPC über ein Internet-Gateway, mit dem Sie den externen Zugriff auf Ressourcen in der VPC gewähren können.

Eine Liste der Szenarien mit Amazon RDS-DB-Instances in und außerhalb einer VPC finden Sie unter Szenarien für den Zugriff auf eine DB-Instance in einer VPC.

Weitere Informationen zum Arbeiten mit einer DB-Instance innerhalb einer VPC finden Sie in den folgenden Themen:

In den folgenden Tutorials lernen Sie, eine VPC zu erstellen, die Sie für ein gängiges Amazon-RDS-Szenario verwenden können:

Arbeiten mit einer DB-Instance in einer VPC

Hier sind einige Tipps für das Arbeiten mit einer DB-Instance in einer VPC:

  • Ihre VPC muss mindestens zwei Subnetze haben. Diese Subnetze müssen sich in zwei unterschiedlichen Availability Zones in der AWS-Region befinden, in der Sie Ihre DB-Instance bereitstellen möchten. Ein Subnetz ist ein Segment eines IP-Adressbereichs der VPC, das Sie definieren und mit dem Sie basierend auf Ihren Sicherheits- und Betriebsanforderungen Instances gruppieren können.

    Bei Multi-AZ-Bereitstellungen kann Amazon RDS durch die Definition eines Subnetzes für zwei oder mehr Availability Zones in einer AWS-Region bei Bedarf eine neue Standby-Instance in einer anderen Availability Zone erstellen. Sie müssen dies sogar für Einzel-AZ-Bereitstellungen vornehmen, nur für den Fall, dass Sie sie zu einem späteren Zeitpunkt in Multi-AZ-Bereitstellungen umwandeln möchten.

    Anmerkung

    Die DB-Subnetzgruppe für eine lokale Zone kann nur ein Subnetz haben.

  • Wenn öffentlich auf die DB-Instance in der VPC zugegriffen werden soll, müssen Sie die VPC-Attribute DNS-Hostnamen und DNS-Auflösung aktivieren.

  • Sie müssen für die VPC eine DB-Subnetzgruppe erstellen (weitere Informationen finden Sie im nächsten Abschnitt). Sie erstellen eine DB-Subnetzgruppe, indem Sie die Subnetze angeben, die Sie erstellt haben. Von der DB-Subnetzgruppe wählt Amazon RDS ein Subnetz und eine IP-Adresse innerhalb dieses Subnetzes aus, die mit Ihrer DB-Instance verknüpft werden sollen. Die DB-Instance verwendet die Availability Zone, die das Subnetz enthält.

  • Ihre VPC muss über eine VPC-Sicherheitsgruppe verfügen, die den Zugriff auf die DB-Instance zulässt.

  • Die CIDR-Blöcke in jedem Subnetz müssen groß genug sein, um freie IP-Adressen für Amazon RDS unterzubringen, die während der Wartungsarbeiten genutzt werden können, einschließlich Failover und Skalierung.

  • Eine VPC kann über das Attribut instance tenancy mit dem Wert default oder dedicated verfügen. Bei allen Standard-VPCs ist das Attribut "instance tenancy" auf den Standardwert gesetzt; und eine Standard-VPC kann eine beliebige DB-Instance-Klasse unterstützen.

    Wenn Ihre DB-Instance in einer dedizierten VPC ist und das Attribut "instance tenancy" den Wert "dedicated" aufweist, muss die DB-Instance-Klasse der DB-Instance einem der zulässigen Dedicated-Instance-Typen von Amazon EC2 entsprechen. Beispielsweise entspricht die Dedicated Instance "m3.medium" von EC2 der DB-Instance-Klasse "db.m3.medium". Informationen über die Instance-Tenancy in einer VPC finden Sie unter Dedicated Instances im Amazon Elastic Compute Cloud-Benutzerhandbuch.

    Weitere Informationen zu Instance-Typen, die in einer Dedicated Instance enthalten sein dürfen, finden Sie unter Amazon EC2 Dedicated Instances auf der EC2-Preis-Seite.

    Anmerkung

    Wenn Sie das Instance-Tenancy-Attribut als dediziert für eine Amazon RDS-DB-Instance festlegen, garantiert dies nicht, dass die DB-Instance auf einem dedicated Host ausgeführt wird.

  • Beim Zuordnen einer Optionsgruppe zu einer DB-Instance wird diese mit der unterstützten Plattform verknüpft, in der sich die DB-Instance befindet. Dies kann entweder VPC oder EC2-Classic (ohne VPC) sein. Wenn sich die DB-Instance in einer VPC befindet, wird außerdem die ihr zugeordnete Optionsgruppe mit der betreffenden VPC verknüpft. Aufgrund dieser Verknüpfung können Sie die einer DB-Instance zugeordnete Optionsgruppe nicht verwenden, wenn Sie die DB-Instance in einer anderen VPC oder auf einer anderen Plattform wiederherstellen.

  • Wenn Sie eine DB-Instance in einer anderen VPC oder auf einer anderen Plattform wiederherstellen, müssen Sie entweder die Standard-Optionsgruppe der DB-Instance zuweisen, eine Optionsgruppe zuweisen, die mit dieser VPC oder Plattform verknüpft ist, oder eine neue Optionsgruppe erstellen und es der DB-Instance zuweisen. Bei persistenten oder permanenten Optionen wie Oracle TDE müssen Sie eine neue Optionsgruppe erstellen, die die persistente oder permanente Option enthält, wenn Sie eine DB-Instance auf einer anderen VPC wiederherstellen.

Arbeiten mit DB-Subnetzgruppen

Subnetze sind Segmente eines IP-Adressbereichs der VPC, die Sie festlegen und mit denen Sie basierend auf Ihren Sicherheits- und Betriebsanforderungen Ressourcen gruppieren können. Eine DB-Subnetzgruppe ist eine Sammlung von Subnetzen (in der Regel private Subnetze), die Sie in einer VPC erstellen und anschließend den DB-Instances zuweisen. Mit einer DB-Subnetzgruppe können Sie beim Erstellen von DB-Instances mit der CLI oder der API eine bestimmte VPC definieren. Wenn Sie die Konsole verwenden, können Sie einfach die VPC und Subnetze auswählen, die Sie verwenden möchten.

Jede DB-Subnetzgruppe sollte über Subnetze in mindestens zwei Availability Zones in einer bestimmten AWS-Region verfügen. Beim Erstellen einer DB-Instance in einer VPC müssen Sie eine DB-Subnetzgruppe auswählen. Von der DB-Subnetzgruppe wählt Amazon RDS ein Subnetz und eine IP-Adresse innerhalb dieses Subnetzes aus, die mit Ihrer DB-Instance verknüpft werden sollen. Die DB-Instance verwendet die Availability Zone, die das Subnetz enthält. Falls die primäre DB-Instance einer Multi-AZ-Bereitstellung ausfällt, kann Amazon RDS die entsprechende Standby-Instance hochstufen. Später wird eine neue Standby-Instance mithilfe einer IP-Adresse aus dem Subnetz in einer der anderen Availability Zones erstellt.

Die Subnetze in einer DB-Subnetzgruppe sind entweder öffentlich oder privat. Die Subnetze sind öffentlich oder privat, abhängig von der Konfiguration, die Sie für die Netzwerkzugriffskontrolllisten (Netzwerk-ACLs) und Routingtabellen festgelegt haben. Damit öffentlich auf eine DB-Instance zugegriffen werden kann, müssen alle Subnetze in der entsprechenden DB-Subnetzgruppe öffentlich sein. Wenn ein Subnetz, das mit einer öffentlich zugänglichen DB-Instance verknüpft ist, von öffentlich in privat geändert wird, kann dies die Verfügbarkeit der DB-Instance beeinträchtigen.

Wenn Sie eine DB-Subnetzgruppe erstellen möchten, die den Dual-Stack-Modus unterstützt, stellen Sie sicher, dass jedem Subnetz, das Sie der DB-Subnetzgruppe hinzufügen, ein CIDR-Block der Internetprotokollversion 6 (IPv6) zugeordnet ist. Weitere Informationen finden Sie unter Amazon-RDS-IP-Adressierung und Migrieren zu IPv6 im Amazon VPC-Benutzerhandbuch.

Anmerkung

Die DB-Subnetzgruppe für eine lokale Zone kann nur ein Subnetz haben.

Wenn Amazon RDS eine DB-Instance in einer VPC erstellt, wird Ihrer DB-Instance mithilfe einer IP-Adresse aus Ihrer DB-Subnetzgruppe eine Netzwerkschnittstelle zugewiesen. Es wird jedoch dringend empfohlen, den Domain Name System (DNS)-Namen für die Verbindung zur DB-Instance zu verwenden, da sich die zugrunde liegende IP-Adresse während eines Failovers ändert.

Anmerkung

Für jede DB-Instance, die Sie in einer VPC ausführen, stellen Sie sicher,mindestens eine Adresse in jedem Subnetz der DB-Subnetzgruppe für Wiederherstellungsmaßnahmen von Amazon RDS zu reservieren.

Amazon-RDS-IP-Adressierung

IP-Adressen ermöglichen es Ressourcen in Ihrer VPC untereinander und mit Ressourcen im Internet zu kommunizieren. Amazon RDS unterstützt sowohl IPv4- als auch IPv6-Adressierungsprotokolle. Standardmäßig verwenden Amazon RDS und Amazon VPC das IPv4-Adressierungsprotokoll. Sie können dieses Standardverhalten nicht deaktivieren. Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 CIDR-Block (einen privaten IPv4-Adressenbereich) angeben. Optional können Sie Ihrer VPC und den Subnetzen einen IPv6 CIDR-Block zuordnen und den Instances in Ihrem Subnetz IPv6-Adressen von diesem Block zuweisen.

Durch die Unterstützung des IPv6-Protokolls wird die Anzahl der unterstützten IP-Adressen erweitert. Durch die Verwendung des IPv6-Protokolls stellen Sie sicher, dass Sie über ausreichende verfügbare Adressen für das künftige Wachstum des Internets verfügen. Neue und vorhandene RDS-Ressourcen können IPv4- und IPv6-Adressen innerhalb Ihrer Amazon VPC verwenden. Das Konfigurieren, Sichern und Übersetzen des Netzwerkverkehrs zwischen den beiden Protokollen, die in verschiedenen Teilen einer Anwendung verwendet werden, können den Betriebsaufwand erhöhen. Sie können das IPv6-Protokoll für Amazon RDS-Ressourcen standardisieren, um Ihre Netzwerkkonfiguration zu vereinfachen.

IPv4-Adressen

Beim Erstellen einer VPC müssen Sie für diese einen IPv4-Adressbereich in Form eines CIDR-Blocks wie 10.0.0.0/16 festlegen. Eine DB-Subnetzgruppe definiert den Bereich der IP-Adressen in diesem CIDR-Block, den eine DB-Instance verwenden kann. Diese IP-Adressen können privat oder öffentlich sein.

Eine private IPv4-Adresse ist eine IP-Adresse, die nicht über das Internet erreichbar ist. Sie können private IPv4-Adressen zur Kommunikation zwischen Ihrer DB-Instance und anderen Ressourcen, wie Amazon-EC2-Instances, in derselben VPC verwenden. Jede DB-Instance hat eine private IP-Adresse für die Kommunikation in der VPC.

Eine öffentliche IP-Adresse ist eine IPv4-Adresse, die über das Internet erreichbar ist. Sie können öffentliche Adressen zur Kommunikation zwischen Ihrer DB-Instance und Ressourcen im Internet, wie ein SQL-Client, verwenden. Anhand der folgenden Schritte können Sie kontrollieren, ob Ihre DB-Instance eine öffentliche IP-Adresse erhält.

Weitere Informationen zum Erstellen einer VPC nur mit privaten IPv4-Adressen, die Sie mit einem gängigen Amazon RDS-Szenario verwenden können, finden Sie unter Tutorial: Erstellen einer Amazon VPC zur Verwendung mit einer DB-Instance (nur IPv4).

IPv6-Adressen

Optional können Sie Ihrer VPC und den Subnetzen einen IPv6 CIDR-Block zuordnen und den Ressourcen in Ihrer VPC IPv6-Adressen von diesem Block zuweisen. Jede IPv6-Adresse ist global eindeutig.

Der IPv6 CIDR-Block für Ihre VPC wird automatisch aus dem Amazon-Pool mit IPv6-Adressen zugewiesen. Sie können den Bereich nicht selbst auswählen.

Stellen Sie beim Herstellen einer Verbindung mit einer IPv6-Adresse sicher, dass die folgenden Bedingungen erfüllt sind:

  • Der Client ist so konfiguriert, dass der Datenverkehr zwischen Client und Datenbank über IPv6 erlaubt ist.

  • RDS-Sicherheitsgruppen, die von der DB-Instance verwendet werden, sind korrekt konfiguriert, sodass der Datenverkehr zwischen Client und Datenbank über IPv6 erlaubt ist.

  • Der Clientbetriebssystem-Stack erlaubt Datenverkehr an der IPv6-Adresse und Betriebssystemtreiber und Bibliotheken sind so konfiguriert, dass sie den richtigen Standardendpunkt der DB-Instance auswählen (entweder IPv4 oder IPv6).

Weitere Informationen über IPv6 finden Sie unter IP-Adresszuweisung im Amazon VPC Benutzerhandbuch.

Dual-Stack-Modus

Wenn eine DB-Instance sowohl über die IPv4- als auch die IPv6-Adressierungsprotokolle kommunizieren kann, erfolgt die Ausführung im Dual-Stack-Modus. So können Ressourcen mit der DB-Instance über IPv4, IPv6 oder beides kommunizieren. RDS deaktiviert den Internet-Gateway-Zugriff für IPv6-Endpunkte privater DB-Instances im Dual-Stack-Modus, um sicherzustellen, dass Ihre IPv6-Endpunkte privat sind und nur von Ihrer VPC aus zugänglich sind.

Weitere Informationen zum Erstellen einer VPC sowohl mit IPv4- als auch IPv6-Adressen, die Sie mit einem gängigen Amazon-RDS-Szenario verwenden können, finden Sie unter Tutorial: Erstellen einer Virtual Private Cloud (VPC) zur Verwendung mit einer DB-Instance (Dual-Stack-Modus).

Dual-Stack-Modus und DB-Subnetzgruppen

Zur Verwendung des Dual-Stack-Modus stellen Sie sicher, dass jedem Subnetz in der DB-Subnetzgruppe, das Sie mit der DB-Instance verknüpfen, ein IPv6-CIDR-Block zugeordnet ist. Sie können eine neue DB-Subnetzgruppe erstellen oder eine vorhandene DB-Subnetzgruppe ändern, um diese Anforderung zu erfüllen. Nachdem eine DB-Instance in den Dual-Stack-Modus gewechselt ist, können sich Clients normal damit verbinden. Stellen Sie sicher, dass Client-Sicherheits-Firewalls und Sicherheitsgruppen der RDS-DB-Instance präzise konfiguriert sind, um Datenverkehr über IPv6 zuzulassen. Zum Herstellen einer Verbindung verwenden Clients den Endpunkt der DB-Instance . Clientanwendungen können angeben, welches Protokoll bevorzugt wird, wenn eine Verbindung mit einer Datenbank hergestellt wird. Im Dual-Stack-Modus erkennt die DB-Instance das bevorzugte Netzwerkprotokoll des Clients, entweder IPv4 oder IPv6, und verwendet dieses Protokoll für die Verbindung.

Wenn eine DB-Subnetzgruppe den Dual-Stack-Modus aufgrund der Löschung des Subnetzes oder der CIDR-Trennung nicht mehr unterstützt, besteht die Gefahr eines inkompatiblen Netzwerkstatus für DB-Instances, die mit der DB-Subnetzgruppe verknüpft sind. Sie können die DB-Subnetzgruppe auch nicht verwenden, wenn Sie eine neue DB-Instance im Dual-Stack-Modus erstellen.

Wenn Sie mit der AWS Management Console ermitteln möchten, ob eine DB-Subnetzgruppe den Dual-Stack-Modus unterstützt, sehen Sie sich Network type (Netzwerktyp) auf der Detailseite der DB-Subnetzgruppe an. Wenn Sie mit der AWS CLI ermitteln möchten, ob eine DB-Subnetzgruppe den Dual-Stack-Modus unterstützt, rufen Sie den Befehl describe-db-subnet-groups auf und sehen Sie sich SupportedNetworkTypes in der Ausgabe an.

Lesereplikate werden als unabhängige DB-Instances behandelt und können einen anderen Netzwerktyp haben als die primäre DB-Instance. Wenn Sie den Netzwerktyp der primären DB-Instance eines Lesereplikats ändern, ist das Lesereplikat nicht betroffen. Wenn Sie eine DB-Instance wiederherstellen, können Sie sie auf jeden unterstützten Netzwerktyp wiederherstellen.

Arbeiten mit DB-Instances im Dual-Stack-Modus

Wenn Sie eine DB-Instance erstellen oder ändern, können Sie den Dual-Stack-Modus angeben, damit Ihre Ressourcen mit Ihrer DB-Instance über IPv4, IPv6 oder beides kommunizieren können.

Wenn Sie die AWS Management Console zum Erstellen oder Ändern einer DB-Instance verwenden, können Sie den Dual-Stack-Modus im Abschnitt Network type (Netzwerktyp) angeben. Die folgende Abbildung zeigt den Abschnitt Network type (Netzwerktyp) in der AWS Management Console.


							Der Abschnitt Network type (Netzwerktyp) in der Konsole mit ausgewähltem Dual-Stack-Modus

Wenn Sie die AWS CLI zum Erstellen oder Ändern einer DB-Instance verwenden, legen Sie die Option --network-type auf DUAL fest, um den Dual-Stack-Modus zu verwenden. Wenn Sie die RDS API zum Erstellen oder Ändern einer DB-Instance verwenden, legen Sie den Parameter NetworkType auf DUAL fest, um den Dual-Stack-Modus zu verwenden. Wenn Sie den Netzwerktyp einer DB-Instance ändern, sind Ausfallzeiten möglich. Wenn der Dual-Stack-Modus von der angegebenen DB-Engine-Version oder der DB-Subnetzgruppe nicht unterstützt wird, wird der Fehler NetworkTypeNotSupported zurückgegeben.

Weitere Informationen zum Erstellen einer DB-Instance finden Sie unter Erstellen einer Amazon RDS-DB-Instance. Weitere Informationen zum Ändern einer DB-Instance finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Wenn Sie mit der AWS Management Console ermitteln möchten, ob sich eine DB-Instance im Dual-Stack-Modus befindet, sehen Sie sich den Network type (Netzwerktyp) auf dem Tab Connectivity & security (Konnektivität und Sicherheit) für die DB-Instance an.

Ändern von reinen IPv4-DB-Instanceszur Verwendung des Dual-Stack-Modus

Sie können eine reine IPv4-DB-Instance zur Verwendung des Dual-Stack-Modus ändern. Dazu ändern Sie den Netzwerktyp der DB-Instance. Die Änderung kann zu Ausfallzeiten führen.

Bevor Sie eine DB-Instance zur Verwendung des Dual-Stack-Modus zu ändern, stellen Sie sicher, dass ihre DB-Subnetzgruppe den Dual-Stack-Modus unterstützt. Wenn die mit der DB-Instance verknüpfte DB-Subnetzgruppe den Dual-Stack-Modus nicht unterstützt, geben Sie eine andere DB-Subnetzgruppe an, die DB-Instance unterstützt, wenn Sie sie ändern. Wenn Sie die DB-Subnetzgruppe einer DB-Instance ändern, bevor Sie die DB-Instance zur Verwendung des Dual-Stack-Modus, stellen Sie sicher, dass die DB-Subnetzgruppe vor und nach der Änderung für die DB-Instance gültig ist.

Wenn Sie nach der Änderung keine Verbindung mit der DB-Instance herstellen können, stellen Sie sicher, dass die Firewalls und Routing-Tabellen für die Client- und Datenbanksicherheit genau konfiguriert sind, um Datenquerverkehr zur Datenbank im ausgewählten Netzwerk (entweder IPv4 oder IPv6) zuzulassen. Möglicherweise müssen Sie auch Betriebssystemparameter, Bibliotheken oder Treiber ändern, um eine Verbindung mithilfe einer IPv6-Adresse herzustellen.

Die folgenden Einschränkungen gelten für die Änderung einer DB-Instance zur Verwendung des Dual-Stack-Modus:

  • DB-Instances im Dual-Stack-Modus dürfen nicht öffentlich zugänglich sein.

  • DB-Instances können keinen reinen IPv6-Endpunkt haben.

  • Es dar keine ausstehende Änderung von einer Single-AZ-Bereitstellung zu einer Multi-AZ-Bereitstellung oder von einer Multi-AZ-Bereitstellung zu einer Single-AZ-Bereitstellung geben.

Ändern Sie eine reine IPv4-DB-Instance zur Verwendung des Dual-Stack-Modus wie folgt

  1. Ändern Sie eine DB-Subnetzgruppe, um den Dual-Stack-Modus zu unterstützen, oder erstellen Sie eine DB-Subnetzgruppe, die den Dual-Stack-Modus unterstützt:

    1. Ordnen Sie Ihrer VPC einen IPv6-CIDR-Block zu.

      Weitere Informationen finden Sie unter Zuordnen eines IPv6-CIDR-Blocks zu Ihrer VPC im Amazon-VPC-Benutzerhandbuch.

    2. Fügen Sie den IPv6 CIDR-Block allen Subnetzen in der DB-Subnetzgruppe an.

      Weitere Informationen finden Sie unter Zuordnen eines IPv6-CIDR-Blocks zu Ihrem Subnetz im Amazon-VPC-Benutzerhandbuch.

    3. Vergewissern Sie sich, dass die DB-Subnetzgruppe den Dual-Stack-Modus unterstützt.

      Wenn Sie die AWS Management Console verwenden, wählen Sie die DB-Subnetzgruppe aus und stellen Sie sicher, dass der Wert Supported network types (Unterstützte Netzwerktypen) Dual, IPv4 lautet.

      Wenn Sie die AWS CLI verwenden, rufen Sie den Befehl describe-db-subnet-groups auf und stellen Sie sicher, dass der SupportedNetworkType-Wert für die DB-Instance Dual, IPv4 lautet.

  2. Ändern Sie die mit der DB-Instance verknüpfte Sicherheitsgruppe, um IPv6-Verbindungen mit der Datenbank zuzulassen, oder erstellen Sie eine neue Sicherheitsgruppe, die IPv6-Verbindungen zulässt.

    Eine Anleitung dazu finden Sie unter Sicherheitsgruppenregeln im Amazon-VPC-Benutzerhandbuch.

  3. Ändern Sie die DB-Instance, um den Dual-Stack-Modus zu unterstützen, und legen Sie den Network type (Netzwerktyp) auf Dual-stack mode (Dual-Stack-Modus) fest.

    Wenn Sie die AWS Management Console verwenden, stellen Sie sicher, dass die folgenden Einstellungen korrekt sind:

    • Network type (Netzwerktyp) – Dual-stack mode (Dual-Stack-Modus)

      
											Der Abschnitt Network type (Netzwerktyp) in der Konsole mit ausgewähltem Dual-Stack-Modus
    • Subnet group (Subnetzgruppe) – Die DB-Subnetzgruppe, die Sie in einem vorherigen Schritt konfiguriert haben

    • Security group (Sicherheitsgruppe) – Die Sicherheitsgruppe, die Sie in einem vorherigen Schritt konfiguriert haben

    Wenn Sie die AWS CLI verwenden, stellen Sie sicher, dass die folgenden Einstellungen korrekt sind:

    • --network-typedual

    • --db-subnet-group-name – Die DB-Subnetzgruppe, die Sie in einem vorherigen Schritt konfiguriert haben

    • --vpc-security-group-ids – Die DB-Sicherheitsgruppe, die Sie in einem vorherigen Schritt konfiguriert haben

  4. Vergewissern Sie sich, dass die DB-Instance den Dual-Stack-Modus unterstützt.

    Wenn Sie die AWS Management Console verwenden, rufen Sie den Tab Connectivity & security (Konnektivität und Sicherheit) für die DB-Instance auf und stellen Sie sicher, dass der Wert Network type (Netzwerktyp) Dual-stack mode (Dual-Stack-Modus) lautet.

    Wenn Sie die AWS CLI verwenden, rufen Sie den Befehl describe-db-instances auf und stellen Sie sicher, dass der NetworkType-Wert für die DB-Instance dual lautet.

    Führen Sie den Befehl dig auf dem Endpunkt der DB-Instance aus, um die damit verknüpfte IPv6-Adresse zu identifizieren.

    dig db-instance-endpoint AAAA

    Verwenden Sie den Endpunkt der DB-Instance und nicht die IPv6-Adresse, um eine Verbindung mit der DB-Instance herzustellen.

Verfügbarkeit von Dual-Stack-Netzwerk-DB-Instances

Die folgenden DB-Engine-Versionen unterstützen Dual-Stack-Netzwerk-DB-Instances:

  • Alle RDS-for-MariaDB-Versionen

  • RDS-for-MySQL-Versionen:

    • 8.0.21 und höhere 8.0-Versionen

    • 5.7.31 und höhere 5.7-Versionen

  • Alle RDS-for-Oracle-Versionen

  • RDS-for-PostgreSQL-Versionen:

    • Alle 14-Versionen

    • 13.3 und höhere 13 Versionen

    • 12.7 und höher 12 Versionen

    • 11.12 und höher 11 Versionen

    • 10.17 und höhere 10 Versionen

  • RDS-for-SQL-Server-Versionen:

    • 15.00.4043.16.v1 und höhere 15-Versionen

    • 14.00.3294.2.v1 und höhere 14-Versionen

    • 13.00.5820.21.v1 und höhere 13-Versionen

Einschränkungen für Dual-Stack-Netzwerk-DB-Instances

Die folgenden Einschränkungen gelten für Dual-Stack-Netzwerk-DB-Instances:

  • DB-Instances können das IPv6-Protokoll nicht ausschließlich verwenden. Sie können ausschließlich IPv4 oder das IPv4- und das IPv6-Protokoll (Dual-Stack-Modus) verwenden.

  • Amazon RDS unterstützt keine nativen IPv6-Subnetze.

  • DB-Instances, die den Dual-Stack-Modus verwenden, müssen privat sein. Sie dürfen nicht öffentlich zugänglich sein.

  • Der Dual-Stack-Modus unterstützt die DB-Instance-Klassen db.m3 und db.r3 nicht.

  • Bei RDS für SQL Server enthalten DB-Instances im Dual-Stack-Modus, die Verfügbarkeitsgruppen-Listener-Endpunkte für Always-On-Verfügbarkeitsgruppen verwenden, nur IPv4-Adressen.

  • Sie können RDS Proxy nicht mit DB-Instances im Dual-Stack-Modus verwenden.

  • Sie können den Dual-Stack-Modus nicht mit RDS auf AWS Outposts-DB-Instances verwenden.

  • Sie können den Dual-Stack-Modus nicht mit DB-Instances in einer lokalen Zone verwenden.

Deaktivieren des öffentlichen Zugriffs aus dem Internet auf die DB-Instance in einer VPC

In einem gängigen Amazon RDS-Szenario gibt es eine VPC mit einer EC2-Instance und einer öffentlichen Webanwendung sowie einer DB-Instance mit einer Datenbank, für die der öffentliche Zugriff deaktiviert ist. Sie können beispielsweise eine VPC mit einem öffentlichen und einem privaten Subnetz erstellen. Amazon-EC2-Instances, die als Webserver verwendet werden, können im öffentlichen Subnetz bereitgestellt werden. DB-Instances werden im privaten Subnetz bereitgestellt. Bei einer solchen Bereitstellung haben nur die Webserver Zugang zu den DB-Instances. Eine bildliche Darstellung dieses Szenarios finden Sie unter EC2-Instance-Zugriff auf eine DB-Instance in derselben VPC.

Wenn Sie eine DB-Instance innerhalb einer VPC starten, verfügt die DB-Instance über eine private IP-Adresse für den Datenverkehr innerhalb der VPC. Diese private IP-Adresse ist nicht öffentlich zugänglich. Mit der Option Public access (Öffentlicher Zugriff) können Sie festlegen, ob die DB-Instance neben der privaten IP-Adresse auch eine öffentliche IP-Adresse hat. Wenn die DB-Instance als öffentlich zugänglich bezeichnet wird, wird ihr DNS-Endpunkt in die private IP-Adresse innerhalb der VPC der DB-Instance und in die öffentliche IP-Adresse von außerhalb der VPC der DB-Instance aufgelöst. Der Zugriff auf die DB-Instance wird letztlich durch die verwendete Sicherheitsgruppe gesteuert und der öffentliche Zugriff ist nur dann zulässig, wenn die der DB-Instance zugewiesene Sicherheitsgruppe diesen gewährt.

Sie können eine DB-Instance ändern und die öffentliche Zugänglichkeit mit der Option Public access (Öffentlicher Zugriff) aktivieren und deaktivieren. Weitere Informationen finden Sie im Abschnitt mit den Änderungen für Ihre DB-Engine.

Die folgende Abbildung zeigt die Option Public access (Öffentlicher Zugriff) im Abschnitt Additional connectivity configuration (Zusätzliche Konnektivitätskonfiguration) . Um die Option festzulegen, öffnen Sie den Abschnitt Additional connectivity configuration (Zusätzliche Konnektivitätskonfiguration) im Abschnitt Connectivity (Konnektivität) .

Hinweise zum Ändern einer DB-Instance zum Festlegen der Option Public access (Öffentlicher Zugriff) finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Erstellen einer DB-Instance in einer VPC

In den folgenden Verfahren wird das Erstellen einer DB-Instance in einer VPC veranschaulicht. Wenn Ihr Konto über eine Standard-VPC verfügt, können Sie mit Schritt 3 fortfahren, da die VPC und die DB-Subnetzgruppe für Sie bereits erstellt wurden. Falls für Ihr AWS-Konto keine Standard-VPC vorhanden ist oder Sie eine zusätzliche VPC nutzen möchten, können Sie eine neue VPC erstellen.

Sollten Sie nicht wissen, ob eine Standard-VPC existiert, finden Sie weitere Informationen unter Ermitteln der verwendeten Plattform: EC2-VPC oder EC2-Classic.

Anmerkung

Wenn öffentlich auf die DB-Instance in der VPC zugegriffen werden soll, müssen Sie die DNS-Informationen für die VPC aktualisieren. Dazu aktivieren Sie die VPC-Attribute DNS-Hostnamen und DNS-Auflösung. Weitere Informationen zum Aktualisieren der DNS-Informationen für eine VPC-Instance finden Sie unter Aktualisieren des DNS-Supports für Ihre VPC.

Gehen Sie wie folgt vor, um eine DB-Instance in einer VPC zu erstellen:

Schritt 1: Erstellen einer VPC

Falls für Ihr AWS-Konto keine Standard-VPC vorhanden ist oder Sie eine zusätzliche VPC nutzen möchten, folgen Sie den Anweisungen zum Erstellen einer neuen VPC. Weitere Informationen finden Sie unter Erstellen einer VPC mit privaten und öffentlichen Subnetzen oder Schritt 1: Erstellen einer VPC in der Amazon VPC-Dokumentation.

Schritt 2: Hinzufügen von Subnetzen zur VPC

Nachdem Sie eine VPC erstellt haben, müssen Sie Subnetze in mindestens zwei Availability Zones generieren. Diese Subnetze verwenden Sie, wenn Sie eine DB-Subnetzgruppe erstellen. Wenn Sie eine Standard-VPC verwenden, wird automatisch ein Subnetz in jeder Availability Zone der AWS-Region für Sie erstellt.

Anweisungen zum Erstellen von Subnetzen in einer VPC finden Sie unter Erstellen einer VPC mit privaten und öffentlichen Subnetzen.

Schritt 3: Erstellen einer DB-Subnetzgruppe

Eine DB-Subnetzgruppe ist eine Sammlung von Subnetzen (in der Regel private Subnetze), die Sie für eine VPC erstellen und anschließend Ihren DB-Instances zuweisen. Mit einer DB-Subnetzgruppe können Sie eine bestimmte VPC definieren, wenn Sie DB-Instances mit der CLI oder der API erstellen. Wenn Sie die Konsole verwenden, können Sie einfach die VPC und Subnetze auswählen, die Sie verwenden möchten. Jede DB-Subnetzgruppe muss über mindestens ein Subnetz in mindestens zwei Availability Zones der AWS-Region verfügen.

Jede DB-Subnetzgruppe sollte über mindestens ein Subnetz für jede Availability Zone in einer bestimmten AWS-Region verfügen. Bei Multi-AZ-Bereitstellungen ermöglicht die Definition eines Subnetzes für alle Availability Zones in einer AWS-Region, Amazon RDS bei Bedarf ein neues Standby-Replikat in einer anderen Availability Zone zu erstellen. Sie können diese bewährte Methode auch für Single-AZ-Bereitstellungen einsetzen, da Sie sie in Zukunft möglicherweise in Multi-AZ-Bereitstellungen konvertieren.

Damit öffentlich auf eine DB-Instance zugegriffen werden kann, müssen die Subnetze in der DB-Subnetzgruppe über ein Internet-Gateway verfügen. Weitere Informationen über Internet-Gateways für Subnetze finden Sie unter Internet-Gateways in der Amazon VPC-Dokumentation.

Anmerkung

Die DB-Subnetzgruppe für eine lokale Zone kann nur ein Subnetz haben.

Beim Erstellen einer DB-Instance in einer VPC müssen Sie eine DB-Subnetzgruppe auswählen. Von der DB-Subnetzgruppe wählt Amazon RDS ein Subnetz und eine IP-Adresse innerhalb dieses Subnetzes aus, die mit Ihrer DB-Instance verknüpft werden sollen. Amazon RDSerstellt und ordnet Ihrer DB-Instance eine Elastic-Network-Schnittstelle mit dieser IP-Adresse zu. Die DB-Instance verwendet die Availability Zone, die das Subnetz enthält. Bei Multi-AZ-Bereitstellungen kann Amazon RDS durch die Definition eines Subnetzes für zwei oder mehr Availability Zones in einer AWS-Region bei Bedarf eine neue Standby-Instance in einer anderen Availability Zone erstellen. Sie müssen dies sogar für Einzel-AZ-Bereitstellungen vornehmen, nur für den Fall, dass Sie sie zu einem späteren Zeitpunkt in Multi-AZ-Bereitstellungen umwandeln möchten.

In diesem Schritt erstellen Sie eine DB-Subnetzgruppe und fügen die Subnetze hinzu, die Sie für Ihre VPC erstellt haben.

Erstellen einer DB-Sicherheitsgruppe

  1. Öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Subnetzgruppe aus.

  3. Wählen Sie DB-Subnetzgruppe erstellen aus.

  4. Geben Sie im Feld Name den Namen Ihrer DB-Subnetzgruppe ein.

  5. Geben Sie unter Beschreibung eine Beschreibung für Ihre DB-Subnetzgruppe ein.

  6. Wählen Sie für VPC die erstellte VPC aus.

  7. Wählen Sie im Abschnitt Subnetze hinzufügen die Availability Zones aus, die die Subnetze aus Availability Zones enthalten, und wählen Sie dann die Subnetze aus Subnetze aus.

    
							Erstellen einer Schaltfläche für DB-Subnetzgruppen
    Anmerkung

    Wenn Sie eine lokale Zone aktiviert haben, können Sie auf der Seite Create DB subnet group (DB-Subnetzgruppe erstellen) eine Gruppe von Availability Zones auswählen. Wählen Sie in diesem Fall die Availability Zone group (Gruppe von Availability Zones), Availability Zones und Subnets (Subnetze) aus.

  8. Wählen Sie Create (Erstellen) aus.

    Ihre neue DB-Subnetzgruppe wird in der Liste der DB-Subnetzgruppen in der RDS-Konsole angezeigt. Sie können die DB-Subnetzgruppe auswählen und unten im Detailbereich ausführliche Informationen einschließlich aller Subnetze für diese Gruppe anzeigen.

Schritt 4: Erstellen einer VPC-Sicherheitsgruppe

Vor der DB-Instance müssen Sie eine VPC-Sicherheitsgruppe erstellen, die Ihrer DB-Instance zugeordnet wird. Anweisungen zum Erstellen einer Sicherheitsgruppe für Ihre DB-Instance finden Sie unter Erstellen einer VPC-Sicherheitsgruppe für eine private DB-Instance oder unter Sicherheitsgruppen für Ihre VPC in der Amazon VPC-Dokumentation.

Schritt 5: Erstellen einer DB-Instance in der VPC

In diesem Schritt erstellen Sie eine DB-Instance und verwenden den VPC-Namen, die DB-Subnetzgruppe und die VPC-Sicherheitsgruppe, die Sie in den vorherigen Schritten erstellt haben.

Anmerkung

Wenn öffentlich auf die DB-Instance in der VPC zugegriffen werden soll, müssen Sie die VPC-Attribute DNS-Hostnamen und DNS-Auflösung aktivieren. Weitere Informationen zum Aktualisieren der DNS-Informationen für eine VPC-Instance finden Sie unter Aktualisieren des DNS-Supports für Ihre VPC.

Weitere Informationen zum Erstellen einer DB-Instance finden Sie unter Erstellen einer Amazon RDS-DB-Instance.

Wenn Sie im Abschnitt Connectivity (Konnektivität) dazu aufgefordert werden, geben Sie den VPC-Namen, die DB-Subnetzgruppe und die VPC-Sicherheitsgruppe ein, die Sie in den vorherigen Schritten erstellt haben.