Cree una VPC IPv4 exclusiva para usarla con un clúster de DocumentDB

Una situación común incluye un clúster en una nube privada virtual (VPC) basada en el servicio Amazon VPC. Por ejemplo, esta VPC podría compartir datos con un servicio o aplicación que se ejecute en la misma VPC. En este tema, creará la VPC para esta situación.

Su clúster debe estar disponible únicamente para su servidor web, y no para la Internet pública. Además, cree de una VPC con subredes públicas y privadas. La aplicación se aloja en la subred pública, para que pueda obtener acceso a la Internet pública. El clúster se aloja en una subred privada. La aplicación puede conectarse al clúster porque se aloja en la misma VPC. Sin embargo, el clúster no está disponible en la red pública de internet, lo que proporciona mayor seguridad.

Con el procedimiento de este tema se configura una subred pública y privada adicional en una zona de disponibilidad independiente. El procedimiento no utiliza estas subredes. Los grupos de subredes de DocumentDB requieren una subred en, al menos, dos zonas de disponibilidad. La subred adicional facilita la configuración de más de una instancia de DocumentDB.

En este tema se describe la configuración de una VPC para clústeres de Amazon DocumentDB. Para obtener más información sobre Amazon VPC, consulte la Guía del usuario de Amazon VPC.

sugerencia

Puede configurar automáticamente la conectividad de red entre una EC2 instancia de Amazon y un clúster de DocumentDB al crear el clúster. La configuración de red es similar a la que se describe en esta situación. Para obtener más información, consulte Conexión automática de Amazon EC2.

Paso 1: crear una VPC con subredes públicas y privadas

Utilice el siguiente procedimiento para crear una VPC con subredes públicas y privadas.

Para crear una VPC y subredes

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com /vpc.

2. En la esquina superior derecha de Consola de administración de AWS, elige la región en la que quieres crear tu VPC. En este ejemplo se utiliza la región Oeste de EE. UU. (Oregón).

3. En la esquina superior izquierda, elija VPC Dashboard (Panel de control VPC). Para comenzar a crear una VPC, elija Create VPC (Crear una VPC).

4. En Resources to create (Recursos para crear), en VPC settings (Configuración VPC), elija VPC and more (VPC y más).

5. En VPC settings (Configuración de la VPC), establezca estos valores:

   • Generación automática de etiquetas de identificación — example

   • IPv4 Bloque CIDR — 10.0.0.0/16

   • IPv6 Bloque CIDR: sin IPv6 bloqueo CIDR

   • Tenencia: predeterminada

   • Número de zonas de disponibilidad (AZs): 2

   • Personalizar AZs: mantenga los valores predeterminados

   • Número de subredes públicas: 2

   • Número de subredes privadas: 2

   • Personalizar bloques de CIDR de subredes: conserve los valores predeterminados.

   • Puertas de enlace NAT ($): ninguna

   • Puntos de conexión de VPC: ninguno

   • Opciones de DNS: conserve los valores predeterminados.

6. Seleccione Creación de VPC.

Paso 2: crear un grupo de seguridad de VPC para una aplicación pública

A continuación, cree un grupo de seguridad para el acceso público. Para conectarse a las EC2 instancias públicas de la VPC, debe agregar reglas de entrada al grupo de seguridad de la VPC. Permiten que el tráfico se conecte desde Internet.

Para crear un grupo de seguridad de VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com /vpc.

2. Elija VPC Dashboard (Panel VPC), seguido de Security Groups (Grupos de seguridad) y, por último, Create Security Group (Crear grupo de seguridad).

3. En la página Create Security Group (Crear grupo de seguridad), establezca estos valores:

   • Nombre del grupo de seguridad: example-securitygroup

   • Descripción — Application security group

   • VPC: elija la VPC que creó anteriormente, por ejemplo: vpc-example.

4. Agregar reglas de entrada al grupo de seguridad

   1. Determine la dirección IP que se utilizará para conectarse a EC2 las instancias de la VPC mediante Secure Shell (SSH). Para determinar su dirección IP pública, en otra ventana o pestaña del navegador, puede utilizar el servicio en. https://checkip.amazonaws.com Un ejemplo de dirección IP es 203.0.113.25/32.

      En muchos casos, puede conectarse a través de un proveedor de servicios de internet (ISP) o protegido por un firewall sin una dirección IP estática. Si es así, busque el rango de direcciones IP utilizadas por los ordenadores cliente.

      aviso

      Si utiliza 0.0.0.0/0 para el acceso SSH, permita que todas las direcciones IP accedan a sus instancias públicas mediante SSH. Este método es aceptable para un periodo de tiempo corto en un entorno de prueba, pero no es seguro en entornos de producción. En entornos de producción, solo debe autorizar una dirección IP específica o un intervalo de direcciones para acceder a sus instancias mediante SSH.

   2. En la sección Inbound rules (Reglas de entrada), elija Add rule (agregar regla).

   3. Establece los siguientes valores para tu nueva regla de entrada para permitir el acceso de SSH a tu instancia de Amazon EC2 . Una vez hecho esto, puedes conectarte a tu EC2 instancia para instalar la aplicación y otras utilidades. También te conectas a tu EC2 instancia para cargar contenido para tu aplicación.

      • Escriba — SSH

      • Origen: la dirección IP o el rango de direcciones que creó en el Paso a, por ejemplo: 203.0.113.25/32.

   4. Seleccione Agregar regla.

   5. Establezca los siguientes valores para la regla de entrada nueva con objeto de permitir el acceso HTTP a su aplicación.

      • Tipo — HTTP

      • Fuente — 0.0.0.0/0

5. Para crear el grupo de seguridad, elija Create security group (Crear grupo de seguridad).

   Anote el identificador del grupo de seguridad, ya que lo necesitará más tarde en otro procedimiento.

Paso 3: crear un grupo de seguridad de VPC para un clúster privado

Para crear un clúster privado, debe crear un segundo grupo de seguridad para el acceso privado. Para conectarse a clústeres privados en la VPC, agregue reglas de entrada al grupo de seguridad de la VPC que permitan el tráfico solo desde su aplicación.

Para crear un grupo de seguridad de VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com /vpc.

2. Elija VPC Dashboard (Panel VPC), seguido de Security Groups (Grupos de seguridad) y, por último, Create Security Group (Crear grupo de seguridad).

3. En la página Create Security Group (Crear grupo de seguridad), establezca estos valores:

   • Nombre del grupo de seguridad: example-securitygroup

   • Descripción — Instance security group

   • VPC: elija la VPC que creó anteriormente, por ejemplo: vpc-example.

4. Agregar reglas de entrada al grupo de seguridad

   1. En la sección Inbound rules (Reglas de entrada), elija Add rule (gregar regla).

   2. Defina los siguientes valores para la nueva regla de entrada a fin de permitir el tráfico de DocumentDB en el puerto 27017 desde su instancia de Amazon. EC2 Si lo hace, podrá conectarse desde su aplicación a su clúster. Si lo hace, puede almacenar y recuperar datos desde su aplicación a su base de datos.

      • Escriba: Custom TCP

      • Origen: por ejemplo, el identificador del grupo de seguridad de la aplicación que creó anteriormente en este tema: sg-9edd5cfb.

   3. Seleccione Agregar regla.

   4. Establezca los siguientes valores para la regla de entrada nueva con objeto de permitir el acceso HTTP a su aplicación.

      • Tipo — HTTP

      • Fuente — 0.0.0.0/0

5. Para crear el grupo de seguridad, elija Create security group (Crear grupo de seguridad).

Paso 4: Crear un grupo de subredes

Un grupo de subredes es una colección de subredes que se crean en una VPC y que después se asignan a los clústeres. Los grupos de subredes le permiten especificar una VPC en particular cuando crea los clústeres.

Para crear un grupo de subredes

1. Identifique las subredes privadas de la base de datos en la VPC.

   1. Abra la consola de Amazon VPC en https://console.aws.amazon.com /vpc.

   2. Seleccione VPC Dashboard (Panel de control de VPC) y, a continuación, seleccione Subnets (Subredes).

   3. Anote la subred IDs de las subredes que creó en el paso 1 denominada, por ejemplo: 1-us-west-2a y 2-us-west-2b. example-subnet-private example-subnet-private Necesitará la subred al crear el grupo de subredes. IDs

2. Inicie sesión en y abra la Consola de administración de AWS consola de Amazon DocumentDB en https://console.aws.amazon.com /docdb.

   Asegúrese de conectarse a la consola de Amazon DocumentDB, no a la consola de Amazon VPC.

3. En el panel de navegación, elija Subnet groups (grupos de subredes).

4. Seleccione Crear.

5. En la página Crear grupo de subredes, establezca estos valores en la sección Detalles del grupo de subredes:

   • Nombre: example-db-subnet-group

   • Descripción — Instance security group

6. En la sección Configuración, establezca los siguientes valores:

   • VPC: elija la VPC que creó anteriormente, por ejemplo: vpc-example.

   • Zonas de disponibilidad: seleccione las dos zonas de disponibilidad creadas en el Paso 1. Ejemplo: us-west-2a y us-west-2b.

   • Subredes: elija las subredes privadas que creó en el Paso 1.

7. Seleccione Crear.

El nuevo grupo de subredes aparece en la lista de grupos de subredes de la consola de DocumentDB. Puede elegir el grupo de subredes para ver los detalles en el panel de detalles. Estos detalles incluyen todas las subredes asociadas al grupo.

nota

Si creó esta VPC para asociarla a un clúster de DocumentDB, cree el clúster siguiendo las instrucciones que se indican en Creación de un clúster de Amazon DocumentDB.

Eliminación de una VPC

Puede eliminar una VPC y los demás recursos que se utilizan en ella si ya no son necesarios.

nota

Si agregó recursos en la VPC que creó en este tema, es posible que primero tenga que eliminar estos para poder eliminar la VPC. Por ejemplo, estos recursos pueden incluir EC2 instancias de Amazon o clústeres de DocumentDB. Para obtener más información, consulte Eliminación de la VPC en la Guía del usuario de Amazon VPC.

Para eliminar una VPC y los recursos relacionados

1. Elimine el grupo de subredes:

   1. Inicie sesión en y abra la Consola de administración de AWS consola de Amazon DocumentDB en https://console.aws.amazon.com /docdb.

   2. En el panel de navegación, elija Subnet groups (grupos de subredes).

   3. Seleccione el grupo de subredes que desee eliminar, por ejemplo. example-db-subnet-group

   4. Elija Delete (Eliminar) y, a continuación, elija Delete (Eliminar) en la ventana de confirmación.

2. Anote el ID de la VPC:

   1. Abra la consola de Amazon VPC en https://console.aws.amazon.com /vpc.

   2. Elija el panel de control de VPC y, a continuación, elija el suyo. VPCs

   3. En la lista, identifique la VPC que creó, como, por ejemplo, vpc-example.

   4. Anote el ID de la VPC que ha creado. Necesitará el ID de la VPC en pasos posteriores.

3. Elimine los grupos de seguridad:

   1. Abra la consola de Amazon VPC en https://console.aws.amazon.com /vpc.

   2. Seleccione VPC Dashboard (Panel de control de VPC) y, a continuación, seleccione Security Groups (Grupos de seguridad).

   3. Seleccione el grupo de seguridad del clúster de Amazon DocumentDB, como, por ejemplo, example-securitygroup.

   4. En Acciones, elija Eliminar grupos de seguridad y, a continuación, seleccione Eliminar en el diálogo de confirmación.

   5. De vuelta a la página Grupos de seguridad, selecciona el grupo de seguridad para la EC2 instancia de Amazon, como example-securitygroup.

   6. En Acciones, elija Eliminar grupos de seguridad y, a continuación, seleccione Eliminar en el diálogo de confirmación.

4. Elimine la VPC:

   1. Abra la consola de Amazon VPC en https://console.aws.amazon.com /vpc.

   2. Elija el panel de control de VPC y, a continuación, elija el suyo. VPCs

   3. Seleccione la VPC que desea eliminar, como, por ejemplo vpc-example.

   4. En Acciones, elija Eliminar VPC.

      La página de confirmación muestra otros recursos asociados a la VPC que también se eliminarán, incluidas las subredes asociadas a ella.

   5. En el diálogo de confirmación, introduzca delete y, a continuación, elija Eliminar.