Arbeiten mit einer DB-Instance in einer VPC - Amazon Relational Database Service

Arbeiten mit einer DB-Instance in einer VPC

Sofern Sie nicht mit einer älteren DB-Instance arbeiten, befindet sich DB-Instance in einer Virtual Private Cloud (VPC). Eine VPC ist ein virtuelles Netzwerk, das logisch von anderen virtuellen Netzwerken in der AWS Cloud isoliert ist. Amazon VPC lermöglicht Ihnen den Start von AWS-Ressourcen wie z. B. eine Amazon RDS-DB- oder Amazon EC2-Instance in einer VPC. Bei der VPC kann es sich um die mit Ihrem Konto verknüpfte Standard-VPC oder eine von Ihnen erstellte VPC handeln. Alle VPCs sind mit Ihrem AWS-Konto verknüpft.

Die Standard-VPC besitzt drei Subnetze, mit denen Sie Ressourcen innerhalb der VPC separieren können. Zudem verfügt die Standard-VPC über ein Internet-Gateway, mit dem Sie den externen Zugriff auf Ressourcen in der VPC gewähren können.

Eine Liste der Szenarien mit Amazon RDS-DB-Instances in und außerhalb einer VPC finden Sie unter Szenarien für den Zugriff auf eine DB-Instance in einer VPC.

Weitere Informationen zum Erstellen einer VPC, die Sie mit einem gängigen Amazon RDS-Szenario verwenden können, finden Sie unter Tutorial: Erstellen eines Amazon VPC zur Verwendung mit einer DB-Instance.

Weitere Informationen zum Arbeiten mit einer DB-Instance innerhalb einer VPC finden Sie in den folgenden Themen:

Arbeiten mit einer DB-Instance in einer VPC

Hier sind einige Tipps für das Arbeiten mit einer DB-Instance in einer VPC:

  • Ihre VPC muss mindestens zwei Subnetze haben. Diese Subnetze müssen sich in zwei unterschiedlichen Availability Zones in der AWS-Region befinden, in der Sie Ihre DB-Instance bereitstellen möchten. Ein Subnetz ist ein Segment eines IP-Adressbereichs der VPC, das Sie definieren und mit dem Sie basierend auf Ihren Sicherheits- und Betriebsanforderungen Instances gruppieren können.

    Anmerkung

    Die DB-Subnetzgruppe für eine lokale Zone kann nur ein Subnetz haben.

  • Wenn öffentlich auf die DB-Instance in der VPC zugegriffen werden soll, müssen Sie die VPC-Attribute DNS-Hostnamen und DNS-Auflösung aktivieren.

  • Sie müssen für die VPC eine DB-Subnetzgruppe erstellen (weitere Informationen finden Sie im nächsten Abschnitt). Sie erstellen eine DB-Subnetzgruppe, indem Sie die von Ihnen erstellten Subnetze angeben. Amazon RDS wählt ein Subnetz und eine IP-Adresse innerhalb dieses Subnetzes aus, die mit Ihrer DB-Instance verknüpft werden sollen. Die DB-Instance verwendet die Availability Zone, die das Subnetz enthält.

  • Ihre VPC muss über eine VPC-Sicherheitsgruppe verfügen, die den Zugriff auf die DB-Instance zulässt.

  • Die CIDR-Blöcke in jedem Subnetz müssen groß genug sein, um freie IP-Adressen für Amazon RDS unterzubringen, die während der Wartungsarbeiten genutzt werden können, einschließlich Failover und Skalierung.

  • Eine VPC kann über das Attribut instance tenancy mit dem Wert default oder dedicated verfügen. Bei allen Standard-VPCs ist das Attribut "instance tenancy" auf den Standardwert gesetzt; und eine Standard-VPC kann eine beliebige DB-Instance-Klasse unterstützen.

    Wenn Ihre DB-Instance in einer dedizierten VPC ist und das Attribut "instance tenancy" den Wert "dedicated" aufweist, muss die DB-Instance-Klasse der DB-Instance einem der zulässigen Dedicated-Instance-Typen von Amazon EC2 entsprechen. Beispielsweise entspricht die Dedicated Instance "m3.medium" von EC2 der DB-Instance-Klasse "db.m3.medium". Informationen über die Instance-Tenancy in einer VPC finden Sie unter Dedicated Instances im Amazon Elastic Compute Cloud-Benutzerhandbuch.

    Weitere Informationen zu Instance-Typen, die in einer Dedicated Instance enthalten sein dürfen, finden Sie unter Amazon EC2 Dedicated Instances auf der EC2-Preis-Seite.

    Anmerkung

    Wenn Sie das Instance-Tenancy-Attribut als dediziert für eine Amazon RDS-DB-Instance festlegen, garantiert dies nicht, dass die DB-Instance auf einem dedizierten Host ausgeführt wird.

  • Beim Zuordnen einer Optionsgruppe zu einer DB-Instance wird diese mit der unterstützten Plattform verknüpft, in der sich die DB-Instance befindet. Dies kann entweder VPC oder EC2-Classic (ohne VPC) sein. Wenn sich die DB-Instance in einer VPC befindet, wird außerdem die ihr zugeordnete Optionsgruppe mit der betreffenden VPC verknüpft. Aufgrund dieser Verknüpfung können Sie die einer DB-Instance zugeordnete Optionsgruppe nicht verwenden, wenn Sie die DB-Instance in einer anderen VPC oder auf einer anderen Plattform wiederherstellen.

  • Wenn Sie eine DB-Instanz in einer anderen VPC oder auf einer anderen Plattform wiederherstellen, müssen Sie entweder die Standard-Optionsgruppe der DB-Instanz zuweisen, eine Optionsgruppe zuweisen, die mit dieser VPC oder Plattform verknüpft ist, oder eine neue Optionsgruppe erstellen und es der DB-Instanz zuweisen. Bei persistenten oder permanenten Optionen wie Oracle TDE müssen Sie eine neue Optionsgruppe erstellen, die die persistente oder permanente Option enthält, wenn Sie eine DB-Instance auf einer anderen VPC wiederherstellen.

Arbeiten mit DB-Subnetzgruppen

Subnetze sind Segmente eines IP-Adressbereichs der VPC, die Sie festlegen und mit denen Sie basierend auf Ihren Sicherheits- und Betriebsanforderungen Ressourcen gruppieren können. Eine DB-Subnetzgruppe ist eine Sammlung von Subnetzen (in der Regel private Subnetze), die Sie in einer VPC erstellen und anschließend den DB-Instances zuweisen. Mit einer DB-Subnetzgruppe können Sie eine bestimmte VPC definieren, sofern Sie die DB-Instances mit der CLI oder der API erstellen. Wenn Sie die Konsole verwenden, können Sie einfach die VPC und die Subnetze auswählen, die Sie verwenden möchten.

Jede DB-Subnetzgruppe sollte über Subnetze in mindestens zwei Availability Zones in einer bestimmten AWS-Region verfügen. Beim Erstellen einer DB-Instance in einer VPC müssen Sie eine DB-Subnetzgruppe auswählen. Von der DB-Subnetzgruppe wählt Amazon RDS ein Subnetz und eine IP-Adresse innerhalb dieses Subnetzes aus, die mit Ihrer DB-Instance verknüpft werden sollen. Die DB-Instance verwendet die Availability Zone, die das Subnetz enthält. Falls die primäre DB-Instance einer Multi-AZ-Bereitstellung ausfällt, kann Amazon RDS die entsprechende Standby-Instance hochstufen. Anschließend wird eine neue Standby-Instance mithilfe einer IP-Adresse aus dem Subnetz in einer der anderen Availability Zones erstellt.

Die Subnetze in einer DB-Subnetzgruppe sind entweder öffentlich oder privat. Es können keine Mischung aus öffentlichen und privaten Subnetzen sein. Die Subnetze sind öffentlich oder privat, abhängig von der Konfiguration, die Sie für die Netzwerkzugriffskontrolllisten (Netzwerk-ACLs) und Routingtabellen festgelegt haben.

Anmerkung

Die DB-Subnetzgruppe für eine lokale Zone kann nur ein Subnetz haben.

Wenn Amazon RDS eine DB-Instance in einer VPC erstellt, wird Ihrer DB-Instance mithilfe einer IP-Adresse aus Ihrer DB-Subnetzgruppe eine Netzwerkschnittstelle zugewiesen. Es wird jedoch dringend empfohlen, den DNS-Namen für die Verbindung zur DB-Instance zu verwenden, da sich die zugrunde liegende IP-Adresse während eines Failovers ändert.

Anmerkung

Für jede DB-Instance, die Sie in einer VPC ausführen, stellen Sie sicher,mindestens eine Adresse in jedem Subnetz der DB-Subnetzgruppe für Wiederherstellungsmaßnahmen von Amazon RDS zu reservieren.

Deaktivieren des öffentlichen Zugriffs aus dem Internet auf die DB-Instance in einer VPC

In einem gängigen Amazon RDS-Szenario gibt es eine VPC mit einer EC2-Instance und einer öffentlichen Webanwendung sowie einer DB-Instance mit einer Datenbank, für die der öffentliche Zugriff deaktiviert ist. Sie können beispielsweise eine VPC mit einem öffentlichen und einem privaten Subnetz erstellen. Amazon EC2-Instances, die als Webserver verwendet werden, können im öffentlichen Subnetz bereitgestellt werden. DB-Instances werden im privaten Subnetz bereitgestellt. Bei einer solchen Bereitstellung haben nur die Webserver Zugang zu den DB-Instances. Eine bildliche Darstellung dieses Szenarios finden Sie unter EC2-Instance-Zugriff auf eine DB-Instance in derselben VPC.

Wenn Sie eine DB-Instance innerhalb einer VPC starten, verfügt die DB-Instance über eine private IP-Adresse für den Datenverkehr innerhalb der VPC. Diese private IP-Adresse ist nicht öffentlich zugänglich. Mit der Option Public access (Öffentlicher Zugriff) können Sie festlegen, ob die DB-Instance neben der privaten IP-Adresse auch eine öffentliche IP-Adresse hat. Wenn die DB-Instance als öffentlich zugänglich bezeichnet wird, wird ihr DNS-Endpunkt in die private IP-Adresse innerhalb der VPC der DB-Instance und in die öffentliche IP-Adresse von außerhalb der VPC der DB-Instance aufgelöst. Der Zugriff auf die DB-Instance wird letztlich durch die verwendete Sicherheitsgruppe gesteuert und der öffentliche Zugriff ist nur dann zulässig, wenn die der DB-Instance zugewiesene Sicherheitsgruppe diesen gewährt.

Sie können eine DB-Instance ändern und die öffentliche Zugänglichkeit mit der Option Public access (Öffentlicher Zugriff) aktivieren und deaktivieren. Weitere Informationen finden Sie im Abschnitt mit den Änderungen für Ihre DB-Engine.

Die folgende Abbildung zeigt die Option Public access (Öffentlicher Zugriff) im Abschnitt Additional connectivity configuration (Zusätzliche Konnektivitätskonfiguration) . Um die Option festzulegen, öffnen Sie den Abschnitt Additional connectivity configuration (Zusätzliche Konnektivitätskonfiguration) im Abschnitt Connectivity (Konnektivität) .

Hinweise zum Ändern einer DB-Instance zum Festlegen der Option Public access (Öffentlicher Zugriff) finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Erstellen einer DB-Instance in einer VPC

In den folgenden Verfahren wird das Erstellen einer DB-Instance in einer VPC veranschaulicht. Wenn Ihr Konto über eine Standard-VPC verfügt, können Sie mit Schritt 3 fortfahren, da die VPC und die DB-Subnetzgruppe für Sie bereits erstellt wurden. Falls für Ihr AWS-Konto keine Standard-VPC vorhanden ist oder Sie eine zusätzliche VPC nutzen möchten, können Sie eine neue VPC erstellen.

Sollten Sie nicht wissen, ob eine Standard-VPC existiert, finden Sie weitere Informationen unter Ermitteln der verwendeten Plattform: EC2-VPC oder EC2-Classic.

Anmerkung

Wenn öffentlich auf die DB-Instance in der VPC zugegriffen werden soll, müssen Sie die DNS-Informationen für die VPC aktualisieren. Dazu aktivieren Sie die VPC-Attribute DNS-Hostnamen und DNS-Auflösung. Weitere Informationen zum Aktualisieren der DNS-Informationen für eine VPC-Instance finden Sie unter Aktualisieren des DNS-Supports für Ihre VPC.

Gehen Sie wie folgt vor, um eine DB-Instance in einer VPC zu erstellen:

Schritt 1: Erstellen einer VPC

Falls für Ihr AWS-Konto keine Standard-VPC vorhanden ist oder Sie eine zusätzliche VPC nutzen möchten, folgen Sie den Anweisungen zum Erstellen einer neuen VPC. Weitere Informationen finden Sie unter Erstellen einer VPC mit privaten und öffentlichen Subnetzen oder Schritt 1: Erstellen einer VPC in der Amazon VPC-Dokumentation.

Schritt 2: Hinzufügen von Subnetzen zur VPC

Nachdem Sie eine VPC erstellt haben, müssen Sie Subnetze in mindestens zwei Availability Zones generieren. Diese Subnetze verwenden Sie, wenn Sie eine DB-Subnetzgruppe erstellen. Wenn Sie eine Standard-VPC verwenden, wird automatisch ein Subnetz in jeder Availability Zone der AWS-Region für Sie erstellt.

Anweisungen zum Erstellen von Subnetzen in einer VPC finden Sie unter Erstellen einer VPC mit privaten und öffentlichen Subnetzen.

Schritt 3: Erstellen einer DB-Subnetzgruppe

Eine DB-Subnetzgruppe ist eine Sammlung von Subnetzen (in der Regel private Subnetze), die Sie für eine VPC erstellen und anschließend Ihren DB-Instances zuweisen. Mit einer DB-Subnetzgruppe können Sie eine bestimmte VPC definieren, wenn Sie DB-Instances mit der CLI oder der API erstellen. Wenn Sie die Konsole verwenden, können Sie einfach die VPC und Subnetze auswählen, die Sie verwenden möchten. Jede DB-Subnetzgruppe muss über mindestens ein Subnetz in mindestens zwei Availability Zones der AWS-Region verfügen.

Jede DB-Subnetzgruppe sollte über mindestens ein Subnetz für jede Availability Zone in einer bestimmten AWS-Region verfügen. Bei Multi-AZ-Bereitstellungen ermöglicht die Definition eines Subnetzes für alle Availability Zones in einer AWS-Region, Amazon RDS bei Bedarf ein neues Standby-Replikat in einer anderen Availability Zone zu erstellen. Sie können diese bewährte Methode auch für Single-AZ-Bereitstellungen einsetzen, da Sie sie in Zukunft möglicherweise in Multi-AZ-Bereitstellungen konvertieren.

Damit öffentlich auf eine DB-Instance zugegriffen werden kann, müssen die Subnetze in der DB-Subnetzgruppe über ein Internet-Gateway verfügen. Weitere Informationen über Internet-Gateways für Subnetze finden Sie unter Internet-Gateways in der Amazon VPC-Dokumentation.

Anmerkung

Die DB-Subnetzgruppe für eine lokale Zone kann nur ein Subnetz haben.

Wenn Sie eine DB-Instance in einer VPC erstellen, müssen Sie unbedingt eine DB-Subnetzgruppe auswählen. Amazon RDS wählt ein Subnetz und eine IP-Adresse innerhalb dieses Subnetzes aus, die mit Ihrer DB-Instance verknüpft werden soll. Amazon RDS erstellt und ordnet Ihrer DB-Instance ein Elastic Network-Interface mit dieser IP-Adresse zu. Die DB-Instance verwendet die Availability Zone, die das Subnetz enthält. Bei Multi-AZ-Bereitstellungen kann Amazon RDS durch die Definition eines Subnetzes für zwei oder mehr Availability Zones in einer AWS-Region bei Bedarf eine neue Standby-Instance in einer anderen Availability Zone erstellen. Sie müssen dies sogar für Einzel-AZ-Bereitstellungen vornehmen, nur für den Fall, dass Sie sie zu einem späteren Zeitpunkt in Multi-AZ-Bereitstellungen umwandeln möchten.

In diesem Schritt erstellen Sie eine DB-Subnetzgruppe und fügen die Subnetze hinzu, die Sie für Ihre VPC erstellt haben.

Erstellen einer DB-Sicherheitsgruppe

  1. Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Subnetzgruppe aus.

  3. Wählen Sie DB-Subnetzgruppe erstellen aus.

  4. Geben Sie im Feld Name den Namen Ihrer DB-Subnetzgruppe ein.

  5. Geben Sie unter Beschreibung eine Beschreibung für Ihre DB-Subnetzgruppe ein.

  6. Wählen Sie für VPC die erstellte VPC aus.

  7. Wählen Sie im Abschnitt Subnetze hinzufügen die Availability Zones aus, die die Subnetze aus Availability Zones enthalten, und wählen Sie dann die Subnetze aus Subnetze aus.

    
							Erstellen einer Schaltfläche für DB-Subnetzgruppen
    Anmerkung

    Wenn Sie eine lokale Zone aktiviert haben, können Sie auf der Seite Create DB subnet group (DB-Subnetzgruppe erstellen) eine Gruppe von Availability Zones auswählen. Wählen Sie in diesem Fall die Availability Zone group (Gruppe von Availability Zones), Availability Zones und Subnets (Subnetze) aus.

  8. Wählen Sie Create aus.

    Ihre neue DB-Subnetzgruppe wird in der Liste der DB-Subnetzgruppen in der RDS-Konsole angezeigt. Sie können die DB-Subnetzgruppe auswählen und unten im Detailbereich ausführliche Informationen einschließlich aller Subnetze für diese Gruppe anzeigen.

Schritt 4: Erstellen einer VPC-Sicherheitsgruppe

Vor der DB-Instance müssen Sie eine VPC-Sicherheitsgruppe erstellen, die Ihrer DB-Instance zugeordnet wird. Anweisungen zum Erstellen einer Sicherheitsgruppe für Ihre DB-Instance finden Sie unter Erstellen einer VPC-Sicherheitsgruppe für eine private DB-Instance oder unter Sicherheitsgruppen für Ihre VPC in der Amazon VPC-Dokumentation.

Schritt 5: Erstellen einer DB-Instance in der VPC

In diesem Schritt erstellen Sie eine DB-Instance und verwenden den VPC-Namen, die DB-Subnetzgruppe und die VPC-Sicherheitsgruppe, die Sie in den vorherigen Schritten erstellt haben.

Anmerkung

Wenn öffentlich auf die DB-Instance in der VPC zugegriffen werden soll, müssen Sie die VPC-Attribute DNS-Hostnamen und DNS-Auflösung aktivieren. Weitere Informationen zum Aktualisieren der DNS-Informationen für eine VPC-Instance finden Sie unter Aktualisieren des DNS-Supports für Ihre VPC.

Weitere Informationen zum Erstellen einer DB-Instance finden Sie unter Erstellen einer Amazon RDS-DB-Instance.

Wenn Sie im Abschnitt Network & Security (Netzwerk und Sicherheit) dazu aufgefordert werden, geben Sie den VPC-Namen, die DB-Subnetzgruppe und die VPC-Sicherheitsgruppe ein, die Sie in den vorherigen Schritten erstellt haben.