Obiettivo del tutorial Context Architettura Considerazioni È ora di completare il tutorial Costi

Tutorial: Connessione di un'istanza Amazon EC2 a un database Amazon RDS

Obiettivo del tutorial

L'obiettivo di questo tutorial è imparare a configurare una connessione sicura tra un'istanza Amazon EC2 e un database Amazon RDS utilizzando AWS Management Console.

Ci sono diverse opzioni per configurare la connessione. In questo tutorial esploriamo queste tre:

Opzione 1: connessione automatica dell'istanza EC2 al database RDS utilizzando la console EC2

Usa la funzione di connessione automatica nella console EC2 per configurare automaticamente la connessione tra l'istanza EC2 e il database RDS così da consentire il traffico tra l'istanza EC2 e il database RDS.
Opzione 2: connessione automatica dell'istanza EC2 al database RDS utilizzando la console RDS

Usa la funzione di connessione automatica nella console RDS per configurare automaticamente la connessione tra l'istanza EC2 e il database RDS così da consentire il traffico tra l'istanza EC2 e il database RDS.
Opzione 3: connessione manuale dell'istanza EC2 al database RDS imitando la funzione di connessione automatica

Configura la connessione tra l'istanza EC2 e il database RDS configurando e assegnando manualmente i gruppi di sicurezza per riprodurre la configurazione creata automaticamente dalla funzione di connessione automatica nelle opzioni 1 e 2.

Context

Consideriamo il seguente scenario come il motivo per cui vorresti configurare una connessione tra la tua istanza EC2 e un database RDS: il tuo sito Web presenta un modulo che gli utenti devono compilare. Devi acquisire i dati del modulo in un database. Puoi ospitare il tuo sito Web su un'istanza EC2 configurata come server Web e puoi acquisire i dati del modulo in un database RDS. L'istanza EC2 e il database RDS devono essere connessi tra di loro in modo che i dati del modulo possano passare dall'istanza EC2 al database RDS. Questo tutorial spiega come configurare tale connessione. Nota che questo è solo un esempio di un caso d'uso per connettere un'istanza EC2 e un database RDS.

Architettura

Il diagramma seguente mostra le risorse create e la configurazione architettonica risultante dal completamento di tutti i passaggi di questo tutorial.

Le risorse create e la configurazione architettonica risultante dal completamento di tutti i passaggi di questo tutorial.

Il diagramma illustra le seguenti risorse che creerai:

Creerai un'istanza EC2 e un database RDS nello stesso Regione AWS VPC e nella stessa zona di disponibilità.
Creerai l'istanza EC2 in una sottorete pubblica.
Creerai il database RDS in una sottorete privata.

Quando utilizzi la console RDS per creare il database RDS e connettere automaticamente l'istanza EC2, il VPC, il gruppo di sottorete database e le impostazioni di accesso pubblico per il database vengono selezionate automaticamente. Il database RDS viene creato automaticamente in una sottorete privata all'interno dello stesso VPC dell'istanza EC2.
Gli utenti di Internet possono connettersi all'istanza EC2 utilizzando SSH o HTTP/HTTPS tramite un gateway Internet.
Gli utenti di Internet non possono connettersi direttamente al database RDS; solo l'istanza EC2 è connessa al database RDS.
Quando utilizzi la funzione di connessione automatica per consentire il traffico tra l'istanza EC2 e il database RDS, vengono creati e aggiunti automaticamente i gruppi di sicurezza seguenti:
- Il gruppo di sicurezza ec2-rds-x viene creato e aggiunto all'istanza EC2. Una regola in uscita che considera il gruppo di sicurezza rds-ec2-x come destinazione. Ciò consente al traffico proveniente dall'istanza EC2 di raggiungere il database RDS con il gruppo di sicurezza rds-ec2-x.
- Il gruppo di sicurezza rds-ec2-x viene creato e aggiunto all'istanza EC2. Una regola in uscita considera il gruppo di sicurezza ec2-rds-x come origine. Ciò consente al traffico proveniente dall'istanza EC2 con il gruppo di sicurezza ec2-rds-x di raggiungere il database RDS.
Utilizzando gruppi di sicurezza separati (uno per l'istanza EC2 e uno per il database RDS) hai un migliore controllo sulla sicurezza dell'istanza e del database. Se dovessi utilizzare lo stesso gruppo di sicurezza sia sull'istanza sia sul database e quindi modificassi il gruppo di sicurezza per adattarlo, ad esempio, solo al database, la modifica influirebbe sia sull'istanza sia sul database. In altre parole, se dovessi utilizzare un gruppo di sicurezza, potresti modificare involontariamente la sicurezza di una risorsa (l'istanza o il database) avendo dimenticato che il gruppo di sicurezza era associato a tale risorsa.

I gruppi di sicurezza creati automaticamente rispettano inoltre i privilegi minimi in quanto consentono solo la connessione reciproca per tale carico di lavoro sulla porta del database creando una coppia di gruppi di sicurezza specifica per il carico di lavoro.

Considerazioni

Considera quanto segue quando completi i passaggi di questo tutorial:

Due console: per questo tutorial utilizzerai le due console seguenti:
- Console Amazon EC2: utilizzerai la console EC2 per avviare istanze, per connettere automaticamente un'istanza EC2 a un database RDS e per l'opzione manuale di configurazione della connessione attraverso la creazione di gruppi di sicurezza.
- Console Amazon RDS: utilizzerai la console RDS per creare un database RDS e connettere automaticamente un'istanza EC2 a un database RDS.
Un VPC: per utilizzare la funzione di connessione automatica, l'istanza EC2 e il database RDS devono trovarsi nello stesso VPC.

Se dovessi configurare manualmente la connessione tra l'istanza EC2 e il database RDS, potresti avviare l'istanza EC2 in un VPC e il database RDS in un altro VPC; tuttavia, dovresti configurare instradamento e configurazione VPC aggiuntivi. Questo scenario non è trattato in questo tutorial.
Uno Regione AWS: l'istanza EC2 e il database RDS devono trovarsi nella stessa regione.
Due gruppi di sicurezza: la connettività tra l'istanza EC2 e il database RDS viene configurata da due gruppi di sicurezza: un gruppo di sicurezza per l'istanza EC2 e un gruppo di sicurezza per il database RDS.

Quando utilizzi la funzione di connessione automatica nella console EC2 o nella console RDS per configurare la connettività (opzione 1 e opzione 2 di questo tutorial), i gruppi di sicurezza vengono creati e assegnati automaticamente all'istanza EC2 e al database RDS.

Se non utilizzi la funzione di connessione automatica, dovrai creare e assegnare manualmente i gruppi di sicurezza. Puoi farlo nell'opzione 3 di questo tutorial.

È ora di completare il tutorial

30 minutes

Puoi completare l'intero tutorial in una sola sessione oppure puoi completarlo facendo un passo per volta.

Costi

Completando questo tutorial, potresti incorrere in costi per AWS le risorse che crei.

Puoi utilizzare Amazon EC2 con il piano gratuito a condizione che il tuo AWS account abbia meno di 12 mesi e configuri le tue risorse in base ai requisiti del piano gratuito.

Ti verranno applicati costi per il trasferimento di dati se l'istanza EC2 e il database RDS si trovano in zone di disponibilità diverse. Per evitare di incorrere in questi costi, l'istanza EC2 e il database RDS devono trovarsi nella stessa zona di disponibilità. Per informazioni sui costi per il trasferimento di dati, consulta Trasferimento dati sulla pagina dei prezzi on demand di Amazon EC2.

Per evitare di incorrere in costi dopo aver completato il tutorial, assicurati di eliminare le risorse se non sono più necessarie. Per le fasi di eliminazione delle risorse, consulta Eliminazione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Connessione di un'istanza a una risorsa

Opzione 1: connessione automatica nella console EC2