Conexión a un clúster de Amazon DocumentDB desde fuera de Amazon VPC

Los clústeres de Amazon DocumentDB (con compatibilidad con MongoDB) se implementan en una Amazon Virtual Private Cloud (Amazon). VPC Se puede acceder a ellos directamente mediante EC2 instancias de Amazon u otros AWS servicios que estén desplegados en el mismo AmazonVPC. Además, se puede acceder a Amazon DocumentDB mediante EC2 instancias u otros AWS servicios situados en la misma región Región de AWS o VPCs en otras regiones mediante VPC el emparejamiento.

Sin embargo, supongamos que su caso de uso requiere que usted (o su aplicación) accedan a los recursos de Amazon DocumentDB desde fuera del clúster. VPC En ese caso, puede utilizar la SSH tunelización (también conocida como reenvío de puertos) para acceder a los recursos de Amazon DocumentDB.

SSHAnalizar la tunelización en profundidad va más allá del alcance de este tema. Para obtener más información sobre la construcción de SSH túneles, consulte lo siguiente:

SSHTúnel
SSHEjemplo de reenvío de puertos, específicamente la sección de reenvío local

Para crear un SSH túnel, necesita una EC2 instancia de Amazon que se ejecute en el mismo Amazon que su VPC clúster de Amazon DocumentDB. Puede usar una EC2 instancia existente en la VPC misma instancia que su clúster o crear una. Para obtener más información, consulte el tema correspondiente a su sistema operativo:

Normalmente, puede conectarse a una EC2 instancia mediante el siguiente comando.


ssh -i "ec2Access.pem" ubuntu@ec2-34-229-221-164.compute-1.amazonaws.com

Si es así, puede configurar un SSH túnel hacia el clúster de Amazon DocumentDB sample-cluster.node.us-east-1.docdb.amazonaws.com ejecutando el siguiente comando en su ordenador local. La marca -L se utiliza para el reenvío de un puerto local. Cuando utilice un SSH túnel, le recomendamos que se conecte al clúster mediante el punto final del clúster y que no intente conectarse en el modo de conjunto de réplicas (es decir, especificando replicaSet=rs0 la cadena de conexión), ya que se producirá un error.


ssh -i "ec2Access.pem" -L 27017:sample-cluster.node.us-east-1.docdb.amazonaws.com:27017 ubuntu@ec2-34-229-221-164.compute-1.amazonaws.com -N

Una vez creado el SSH túnel, todos los comandos que ejecute localhost:27017 se reenviarán al clúster de Amazon DocumentDB que sample-cluster se ejecuta en Amazon. VPC Si Transport Layer Security (TLS) está activado en su clúster de Amazon DocumentDB, debe descargar la clave pública de Amazon DocumentDB desde. https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem La siguiente operación descarga este archivo:


wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem

nota

TLSestá habilitada de forma predeterminada para los nuevos clústeres de Amazon DocumentDB. No obstante, sí puede deshabilitarlo. Para obtener más información, consulte Administración de la configuración del clúster de Amazon DocumentDB TLS.

Para conectarse a su clúster de Amazon DocumentDB desde fuera de AmazonVPC, utilice el siguiente comando.


mongo --sslAllowInvalidHostnames --ssl --sslCAFile global-bundle.pem --username <yourUsername> --password <yourPassword>

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Conexión como un conjunto de réplicas

Conexión mediante Studio 3T