Tutorial: Creazione di un VPC per l'utilizzo con un cluster database (modalità dual-stack)

Uno scenario comune include un cluster database in un cloud privato virtuale (VPC) basato sul servizio Amazon VPC. Questo VPC condivide i dati con un'istanza Amazon EC2 pubblica in esecuzione nello stesso VPC.

In questo tutorial, si crea il VPC per questo scenario che funziona con un database in esecuzione in modalità dual-stack. Modalità dual-stack per abilitare la connessione tramite il protocollo di indirizzamento IPv6. Per ulteriori informazioni sull'indirizzamento IP, consulta Assegnazione di indirizzi IP in Amazon Aurora.

I cluster di rete dual-stack sono supportati nella maggior parte delle regioni. Per ulteriori informazioni, consulta Disponibilità di cluster database di rete dual-stack. Per esaminare le limitazioni della modalità dual-stack, consulta Limitazioni per cluster database di rete dual-stack.

Il seguente diagramma mostra questo scenario.

Per informazioni su altri scenari, consulta Scenari per accedere a un cluster database in un VPC.

Il cluster database deve essere disponibile solo per l'istanza Amazon EC2 e non per la rete Internet pubblica. Pertanto, occorre creare un VPC con sottoreti pubbliche e private. Il server Web è ospitato nella sottorete pubblica, in modo da poter raggiungere l'Internet pubblico. Il cluster database è ospitato in una sottorete privata. L'istanza Amazon EC2 può connettersi al cluster database perché è ospitata nello stesso VPC. Tuttavia, il cluster database non è disponibile per la rete Internet pubblica, fornendo una maggiore sicurezza.

Questo tutorial configura una sottorete pubblica e privata aggiuntiva in una zona di disponibilità separata. Queste sottoreti non vengono utilizzate dal tutorial. Un gruppo di sottoreti DB RDS richiede una sottorete in almeno due zone di disponibilità. La sottorete aggiuntiva semplifica la configurazione di più istanze database Aurora.

Per creare un cluster database che utilizza la modalità dual-stack, specifica Dual-stack mode (Modalità dual-stack) per l'opzione Network type (Tipo di rete). Puoi, inoltre, modificare un cluster database usando la stessa impostazione. Ulteriori informazioni sulla creazione di un cluster di database sono disponibili in Creazione di un cluster database Amazon Aurora. Per ulteriori informazioni sulla modifica di un cluster di database, consultare Modifica di un cluster database Amazon Aurora.

In questa esercitazione viene descritta la configurazione di un VPC per cluster di database Amazon Aurora. Per ulteriori informazioni su Amazon VPC, consulta la Guida per l'utente di Amazon VPC.

Creazione di un VPC con sottoreti pubbliche e private

Utilizza la procedura seguente per creare un VPC con sottoreti pubbliche e private.

Per creare un VPC e sottoreti

1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nell'angolo in alto a destra di AWS Management Console, scegli la regione in cui creare il tuo VPC. Questo esempio utilizza la regione Stati Uniti orientali (Ohio).

3. Nell'angolo in alto a sinistra, scegli VPC Dashboard (Pannello di controllo VPC). Per iniziare a creare un VPC, scegli Create VPC (Crea VPC).

4. In Resources to create (Risorse da creare) nell'area VPC settings (Impostazioni VPC), scegli VPC and more (VPC e altro).

5. Nei campi VPC settings (Impostazioni VPC) restanti, imposta i seguenti valori:

   • Name tag auto-generation (Generazione automatica del tag del nome): tutorial-dual-stack

   • IPv4 CIDR block (Blocco CIDR IPv4): 10.0.0.0/16

   • IPv6 CIDR block (Blocco CIDR IPv6): blocco CIDR IPv6 fornito da Amazon

   • Tenancy (Locazione): Default

   • Number of Availability Zones (AZs) (Numero di zone di disponibilità): 2

   • Customize AZs (Personalizza le zone di disponibilità): mantieni i valori predefiniti.

   • Number of public subnet (Numero di sottoreti pubbliche): 2

   • Number of private subnets (Numero di sottoreti private): 2

   • Customize subnets CIDR blocks (Personalizza blocchi CIDR delle sottoreti): mantieni i valori predefiniti.

   • NAT gateways ($) (Gateway NAT): nessuna

   • Egress only internet gateway (Gateway Internet solo in uscita): No

   • VPC endpoints (Endpoint VPC): nessuno

   • DNS options (Opzioni DNS): mantieni i valori predefiniti.

   Nota

   Amazon RDS richiede almeno due sottoreti in due zone di disponibilità diverse per supportare le implementazioni Multi-AZ di un'istanza DB. In questo tutorial viene creata crea un'implementazione Single-AZ, ma il requisito semplifica la conversione in un'implementazione Multi-AZ di un'istanza DB in futuro.

6. Seleziona Crea VPC.

Per creare un gruppo di sicurezza VPC per un'istanza Amazon EC2 pubblica

È possibile a questo punto aggiungere un gruppo di sicurezza per l'accesso pubblico. Per connettersi alle istanze EC2 nel VPC, aggiungi regole in entrata al gruppo di sicurezza VPC per consentire il traffico da Internet.

Per creare un gruppo di sicurezza VPC

1. Aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Scegliere VPC Dashboard (Pannello di controllo VPC), Security Groups (Gruppi di sicurezza) e quindi Create security group (Crea gruppo di sicurezza).

3. Nella pagina Create security group (Crea gruppo di sicurezza) impostare questi valori:

   • Security group name: (Nome del gruppo di sicurezza: tutorial-dual-stack-securitygroup

   • Descrizione: Tutorial Dual-Stack Security Group

   • VPC: scegli il VPC creato in precedenza, ad esempio vpc-identifier (tutorial-dual-stack-vpc)

4. Aggiungere regole in entrata al gruppo di sicurezza

   1. Determina l'indirizzo IP da utilizzare per connettersi alle istanze EC2 nel VPC utilizzando Secure Shell (SSH).

      Un esempio di indirizzo Internet Protocol versione 4 (IPv4) è 203.0.113.25/32. Un esempio di intervalli di indirizzi Internet Protocol versione 6 (IPv6) è 2001:db8:1234:1a00::/64.

      In molti casi, è possibile eseguire la connessione tramite un fornitore di servizi Internet (ISP) o con la protezione di un firewall senza un indirizzo IP statico. In tal caso, trova l'intervallo di indirizzi IP utilizzati dai computer client.

      avvertimento

      Se utilizzi 0.0.0.0/0 per IPv4 o ::0 per IPv6, consenti a tutti gli indirizzi IP di accedere alle istanze pubbliche utilizzando SSH. Questo approccio è accettabile per un breve periodo di tempo in un ambiente di test, ma non è sicuro per gli ambienti di produzione. In produzione, è preferibile autorizzare l'accesso alle istanze solo a indirizzo IP o a un intervallo di indirizzi specifico.

   2. Nella sezione Regole in entrata, scegliere Aggiungi regola.

   3. Imposta i seguenti valori per la nuova regola in entrata per consentire l'accesso Secure Shell (SSH) all'istanza Amazon EC2. In questo caso, è possibile connettersi all'istanza EC2 per installare client SQL e altre applicazioni. Specifica un indirizzo IP per poter accedere all'istanza EC2:

      • Tipo: SSH

      • Origine: indirizzo IP o intervallo ottenuto nel passaggio a. Un esempio di indirizzo IP IPv4 è 203.0.113.25/32. Un esempio di indirizzo IP IPv6 è 2001:DB8::/32.

5. Per creare il gruppo di sicurezza, scegli Create security group (Crea gruppo di sicurezza).

   Prendi nota dell'ID del gruppo di sicurezza perché sarà necessario in seguito in questo tutorial.

Creazione di un gruppo di sicurezza VPC per un cluster database privato

Per mantenere il cluster database privato, crea un secondo gruppo di sicurezza per l'accesso privato. Per connetterti ai cluster database privati nel VPC, aggiungi le regole in entrata al gruppo di sicurezza VPC. Queste consentono il traffico solo dall'istanza Amazon EC2.

Per creare un gruppo di sicurezza VPC

1. Aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Scegliere VPC Dashboard (Pannello di controllo VPC), Security Groups (Gruppi di sicurezza) e quindi Create security group (Crea gruppo di sicurezza).

3. Nella pagina Create security group (Crea gruppo di sicurezza) impostare questi valori:

   • Security group name: (Nome del gruppo di sicurezza: tutorial-dual-stack-db-securitygroup

   • Descrizione: Tutorial Dual-Stack DB Instance Security Group

   • VPC: scegli il VPC creato in precedenza, ad esempio vpc-identifier (tutorial-dual-stack-vpc)

4. Aggiungere regole in entrata al gruppo di sicurezza

   1. Nella sezione Regole in entrata, scegliere Aggiungi regola.

   2. Impostare i valori seguenti per la nuova regola in entrata per consentire il traffico MySQL sulla porta 3306 dall'istanza Amazon EC2. In tal modo, puoi eseguire la connessione dall'istanza EC2 al cluster database ed Questa operazione consente di inviare dati dall'istanza EC2 al database.

      • Tipo: MySQL/Aurora

      • Source (Origine): l'identificatore del gruppo di sicurezza tutorial-dual-stack-securitygroup creato in precedenza in questo tutorial, ad esempio sg-9edd5cfb.

5. Per creare il gruppo di sicurezza, scegliere Crea gruppo di sicurezza.

Per creare un gruppo di sottoreti del database

Un gruppo di sottoreti DB è una raccolta di sottoreti creata in un VPC e che è possibile indicare per i cluster database. L'utilizzo di un gruppo di sottoreti DB consente di specificare un determinato VPC durante la creazione di cluster database. Per creare un gruppo di sottoreti database compatibile con DUAL, tutte le sottoreti devono essere compatibili con DUAL. Per essere compatibile con DUAL, a una sottorete deve essere associato un CIDR IPv6.

Creare un gruppo di sottoreti database

1. Identifica le sottoreti private per il database nel VPC.

   1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

   2. Scegli VPC Dashboard (Pannello di controllo VPC), quindi seleziona Subnets (Sottoreti).

   3. Prendi nota degli ID sottorete delle sottoreti denominati tutorial-dual-stack-subnet-private1-us-west-2a e tutorial-dual-stack-subnet-private2-us-west-2b.

      Gli ID sottorete saranno necessari quando si crea il gruppo di sottoreti DB.

2. Apri la console di Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

   Assicurarsi di connettersi alla console Amazon RDS e non alla console Amazon VPC.

3. Nel pannello di navigazione selezionare Subnet groups (Gruppi di sottoreti).

4. Scegli Create DB Subnet Group (Crea gruppo di sottoreti del database).

5. Nella pagina Create DB subnet group (Crea gruppo di sottoreti del database) impostare questi valori in Subnet group details (Dettagli gruppi di sottoreti):

   • Nome: tutorial-dual-stack-db-subnet-group

   • Descrizione: Tutorial Dual-Stack DB Subnet Group

   • VPC: tutorial-dual-stack-vpc (identificatore vpc)

6. Nella sezione Add subnets (Aggiungi sottoreti), scegli i valori desiderati per le opzioni Availability Zones (Zone di disponibilità) e Subnets (Sottoreti).

   Per questo tutorial, scegli us-east-2b e us-east-2c per l'opzione Availability Zones (Zone di disponibilità). In Subnets (Sottoreti), scegli le sottoreti private identificate nella fase precedente.

7. Scegliere Create (Crea).

Il nuovo gruppo di sottoreti database viene visualizzato nell'elenco dei gruppi di sottoreti database sulla console RDS. È possibile scegliere il gruppo di sottoreti database per visualizzarne i dettagli. I dettagli includono i protocolli di indirizzamento supportati e tutte le sottoreti associate al gruppo e il tipo di rete supportato dal gruppo di sottoreti database.

Creare un'istanza Amazon EC2 in modalità dual-stack

Per creare un'istanza Amazon EC2, segui le istruzioni in Launch an instance using the new launch instance wizard nella Amazon EC2 User Guide.

Nella pagina Configure Instance Details (Configura i dettagli dell'istanza), imposta questi valori e lascia gli altri valori come predefiniti:

• Rete: scegli un VPC esistente con sottoreti sia pubbliche che private, ad esempio tutorial-dual-stack-vpc (vpc-identifier) creato in Creazione di un VPC con sottoreti pubbliche e private.

• Subnet: scegli una sottorete pubblica esistente, ad esempio subnet- identifier | -public1-us-east-2a | us-east-2a creata in. tutorial-dual-stack-subnet Per creare un gruppo di sicurezza VPC per un'istanza Amazon EC2 pubblica

• Auto-assign Public IP (Assegna automaticamente IP pubblico): scegli Enable (Abilita).

• Auto-assign IPv6 IP (Assegna automaticamente IP IPv6): scegli Enable (Abilita).

• Firewall (security groups) (Firewall (gruppi di sicurezza)): scegli Select an existing security group (Seleziona un gruppo di sicurezza esistente).

• Gruppi di sicurezza comuni: scegli un gruppo di sicurezza esistente, ad esempio il tutorial-securitygroup creato in Per creare un gruppo di sicurezza VPC per un'istanza Amazon EC2 pubblica. Assicurarsi che il gruppo di sicurezza scelto includa regole in ingresso per Secure Shell (SSH) e l'accesso HTTP.

Creazione di un cluster database in modalità dual-stack

In questo passaggio, viene creata un cluster database che viene eseguito in modalità dual-stack.

Per creare un'istanza database.

1. Accedi AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

2. Questo esempio utilizza la regione Stati Uniti orientali (Ohio).

3. Nel riquadro di navigazione, scegliere Databases (Database).

4. Scegliere Create database (Crea database).

5. Nella pagina Create database (Crea database), assicurati che l'opzione Standard create (Creazione standard) sia selezionata, quindi scegli il tipo di motore DB Aurora MySQL.

6. Nella sezione Connettività, imposta i seguenti valori:

   • Network type (Tipo di rete): scegli Dual-stack mode (Modalità dual-stack).

     

   • Virtual private cloud (VPC) Cloud privato virtuale (VPC): scegli un VPC esistente con sottoreti sia pubbliche che private, ad esempio tutorial-dual-stack-vpc (vpc-identifier) creato in Creazione di un VPC con sottoreti pubbliche e private.

     Il VPC deve avere sottoreti in diverse zone di disponibilità.

   • DB subnet group (Gruppo di sottoreti DB): scegli un gruppo di sottoreti DB per il VPC, ad esempio tutorial-dual-stack-db-subnet-group creato in Per creare un gruppo di sottoreti del database.

   • Public access (Accesso pubblico): scegli No.

   • VPC security group (firewall) (Gruppo di sicurezza VPC (firewall)): seleziona Choose existing (Sceglie esistente).

   • Gruppi di sicurezza VPC esistenti: scegli un gruppo di sicurezza VPC esistente che sia configurato per accesso privato, ad esempio tutorial-dual-stack-db-securitygroup creato in Creazione di un gruppo di sicurezza VPC per un cluster database privato.

     Rimuovere gli altri gruppi di sicurezza, come quello predefinito, selezionando la X associata a esso.

   • Availability Zone (Zona di disponibilità): scegli us-west-2a.

     Per evitare il traffico tra AZ, assicurati che l'istanza database e l'istanza EC2 si trovino nella stessa zona di disponibilità.

7. Per le restanti sezioni, specifica le impostazioni del cluster di database. Per informazioni su ciascuna impostazione, consulta Impostazioni per cluster di database Aurora.

Connessione all'istanza Amazon EC2 e al cluster database

Dopo aver creato l'istanza Amazon EC2 e il cluster database in modalità dual-stack, puoi eseguire la connessione utilizzando il protocollo IPv6. Per connetterti a un'istanza Amazon EC2 utilizzando il protocollo IPv6, segui le istruzioni in Connetti alla tua istanza Linux nella Amazon EC2 User Guide.

Per connetterti al cluster database Aurora MySQL dall'istanza Amazon EC2, segui le istruzioni in Connessione a un cluster di database Aurora MySQL.

Eliminazione del VPC

Dopo aver creato il VPC e altre risorse per questo tutorial, è possibile eliminarle se non sono più necessarie.

Se hai aggiunto risorse nel VPC creato per questo tutorial, potrebbe essere necessario eliminarle prima di poter eliminare il VPC. Esempi di risorse sono le istanze Amazon EC2 o i cluster database. Per ulteriori informazioni, consulta Eliminazione del VPC nella Guida per l'utente di Amazon VPC.

Per eliminare un VPC e le risorse correlate

1. Eliminare il gruppo di sottoreti database:

   1. Apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

   2. Nel pannello di navigazione selezionare Subnet groups (Gruppi di sottoreti).

   3. Seleziona il gruppo di sottoreti database da eliminare, ad esempio tutorial-db-subnet-group.

   4. Scegliere Delete (Elimina) e quindi scegliere Delete (Elimina) nella finestra di conferma.

2. Annotare l'ID VPC:

   1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

   2. ScegliereVPC Dashboard (Pannello di controllo VPC) e quindi scegliere VPC.

   3. Nell'elenco, individua il VPC creato, ad esempio tutorial-dual-stack-vpc.

   4. Annotare il valore ID VPC del VPC creato. Sarà necessario usare questo ID VPC nei passaggi successivi.

3. Eliminare i gruppi di sicurezza:

   1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

   2. Scegliere VPC Dashboard (Pannello di controllo VPC) e quindi scegliere Security Groups (Gruppi di sicurezza).

   3. Selezionare il gruppo di sicurezza per l'istanza database di Amazon RDS, ad esempio tutorial-dual-stack-db-securitygroup.

   4. In Actions (Operazioni), scegli Delete security groups (Elimina gruppi di sicurezza) e quindi scegli Delete (Elimina) nella pagina di conferma.

   5. Nella pagina Security Groups (Gruppi di sicurezza), seleziona il gruppo di sicurezza per l'istanza Amazon EC2, ad esempio tutorial-dual-stack-securitygroup..

   6. In Actions (Operazioni), scegli Delete security groups (Elimina gruppi di sicurezza) e quindi scegli Delete (Elimina) nella pagina di conferma.

4. Elliminare il gateway NAT:

   1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

   2. Scegliere VPC Dashboard (Pannello di controllo VPC) e quindi scegliere NAT Gateways (Gateway NAT).

   3. Seleziona il gateway NAT del VPC creato. Utilizzare l'ID VPC per identificare il gateway NAT corretto.

   4. In Actions (Operazioni), scegli Delete NAT gateway (Elimina gateway NAT).

   5. Nella pagina di conferma, immetti delete e scegliere Delete (Elimina).

5. Eliminare il VPC

   1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

   2. ScegliereVPC Dashboard (Pannello di controllo VPC) e quindi scegliere VPC.

   3. Seleziona il VPC da eliminare, ad esempio tutorial-dual-stack-vpc.

   4. In Operazioni, scegli Elimina VPC.

      Nella pagina di conferma vengono visualizzate altre risorse associate al VPC che verranno eliminate, incluse le subnet associate.

   5. Nella pagina di conferma, immetti delete e scegliere Delete (Elimina).

6. Rilasciare gli indirizzi IP elastici:

   1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

   2. Scegliere EC2 Dashboard (Pannello di controllo EC2) e quindi scegliere Elastic IPs (IP elastici).

   3. Seleziona l'indirizzo IP elastico da rilasciare.

   4. In Actions (Operazioni), scegli Release Elastic IP addresses (Rilascia indirizzi IP elastici).

   5. Nella pagina di conferma scegli Release (Rilasciare).