Un'istanza EC2 nello stesso VPC Un'istanza EC2 in un VPC diverso Un'applicazione client tramite internet Una rete privata

Scenari per accedere a un cluster database in un VPC

Amazon Aurora supporta i seguenti scenari per accedere a un cluster database in un VPC:

Un'istanza EC2 nello stesso VPC
Un'istanza EC2 in un VPC diverso
Un'applicazione client tramite internet
Una rete privata

Un cluster database in un VPC a cui accede un'istanza EC2 nello stesso VPC

Un uso comune di un cluster database in un VPC è quello di condividere dati con un server di applicazione in esecuzione in un'istanza EC2 nello stesso VPC.

Il seguente diagramma mostra questo scenario.

Scenario VPC con un server Web pubblico e un database privato

Il modo più semplice per gestire l'accesso tra istanze EC2 e cluster database nello stesso VPC consiste nel fare quanto segue:

Creare un gruppo di sicurezza VPC in cui si troveranno i cluster database. Questo gruppo di sicurezza può essere usato per limitare l'accesso ai cluster database. Ad esempio, puoi creare una regola personalizzata per questo gruppo di sicurezza. Ciò potrebbe consentire l'accesso TCP usando la porta assegnata al cluster database al momento della creazione della stessa e un indirizzo IP utilizzato per accedere al cluster database per lo sviluppo o per altri scopi.
Crea un gruppo di sicurezza VPC in cui si troveranno le istanze EC2 (server Web e client). Questo gruppo di sicurezza può, se necessario, consentire l'accesso all'istanza EC2 da Internet tramite la tabella di routing del VPC. Ad esempio, può impostare regole in questo gruppo di sicurezza per consentire l'accesso TCP all'istanza EC2 sulla porta 22.
Creare regole personalizzate nel gruppo di sicurezza per i cluster database che consentono connessioni dal gruppo di sicurezza creato per le istanze EC2. Queste regole potrebbero consentire a qualsiasi membro del gruppo di sicurezza di accedere ai cluster database.

È disponibile una sottorete pubblica e privata aggiuntiva in una zona di disponibilità separata. Un gruppo di sottoreti DB RDS richiede una sottorete in almeno due zone di disponibilità. La sottorete aggiuntiva semplifica il passaggio a un'implementazione Multi-AZ di un'istanza DB in futuro.

Per una dimostrazione che mostri come creare un VPC con sottoreti pubbliche e private per questo scenario, consulta Tutorial: Creazione di un Amazon VPC da utilizzare con un cluster database (solo IPv4).

Suggerimento

Quando crei un cluster database, puoi configurare automaticamente la connettività di rete tra un'istanza Amazon EC2 e un cluster database. Per ulteriori informazioni, consulta Configurazione della connettività di rete automatica con un'istanza EC2 .

Per creare una regola in un gruppo di sicurezza VPC che consente delle connessioni da un altro gruppo di sicurezza, esegui la procedura seguente:

Accedi AWS Management Console e apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc.
Fai clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
Scegli o crea un gruppo di sicurezza per il quale desideri concedere l'accesso ai membri di un altro gruppo di sicurezza. Nello scenario precedente, questo è il gruppo di sicurezza utilizzato per i cluster database. Seleziona la scheda Regole in entrata, quindi scegli Modifica regola.
Nella scheda Modifica regole in entrata, seleziona Aggiungi regola.
Per Tipo, scegli la voce che corrisponde alla porta utilizzata durante la creazione del cluster database, ad esempio MySQL/Aurora.
Nella casella Origine iniziare a digitare l'ID del gruppo di sicurezza, che elenca i gruppi di sicurezza corrispondenti. Scegli il gruppo di sicurezza con i membri che desideri abbiano accesso alle risorse protette da questo gruppo di sicurezza. Nello scenario precedente, questo è il gruppo di sicurezza utilizzato per le istanze EC2.
Se necessario, ripeti i passaggi per il protocollo TCP creando una regola con All TCP (Tutti i TCP) come Tipo e il gruppo di sicurezza nella casella Source (Origine). Se desideri usare il protocollo UDP, crea una regola con All UDP (Tutti i UDP) come Type (Tipo) e il gruppo di sicurezza nella casella Source (Origine).
Scegliere Salva regole.

Nella schermata seguente viene illustrata una regola in entrata con un gruppo di sicurezza per la relativa origine.

Aggiunta di un gruppo di sicurezza alle regole di un altro gruppo di sicurezza

Per ulteriori informazioni sulla connessione al cluster di database dall'istanza EC2, consulta Connessione a un cluster database Amazon Aurora.

Un cluster database in un VPC a cui accede un'istanza EC2 in un VPC diverso

Quando i cluster database si trova in un VPC diverso dall'istanza EC2 che si sta utilizzando per accedervi, puoi utilizzare il peering VPC per accedere al cluster database.

Il seguente diagramma mostra questo scenario.

Istanza database in un VPC a cui accede un'istanza EC2 in un VPC diverso

Una connessione di peering di VPC è una connessione di rete tra due VPC che consentono di instradare il traffico tra loro utilizzando degli indirizzi IP privati. Le risorse in uno qualsiasi dei VPC possono comunicare tra loro come se fossero nella stessa rete. Puoi creare una connessione peering VPC tra i tuoi VPC, con un VPC in un altro account o con un VPC in un altro AWS . Regione AWS Per ulteriori informazioni su VPC in peering, consulta Peering di VPC nella Guida per l'utente di Amazon Virtual Private Cloud.

Un cluster database in un VPC a cui accede un'applicazione client tramite Internet

Per accedere a cluster database in un VPC da un'applicazione client tramite Internet, configura un VPC con una sottorete pubblica singola e un gateway Internet per abilitare la comunicazione in Internet.

Il seguente diagramma mostra questo scenario.

Un cluster database in un VPC a cui accede un'applicazione client tramite Internet

È consigliabile utilizzare la seguente configurazione:

Un VPC di dimensione /16 (ad esempio, CIDR: 10.0.0.0/16). Questa dimensione fornisce indirizzi 65.536 indirizzi IP privati.
Una sottorete di dimensione /24 (ad esempio, CIDR: 10.0.0.0/24). Questa dimensione fornisce 256 indirizzi IP privati.
Un cluster di database Amazon Aurora che è in associazione al VPC e alla sottorete. Amazon RDS assegna un indirizzo IP nella sottorete al cluster database.
Un gateway Internet che collega il VPC a Internet e agli altri prodotti AWS .
Un gruppo di sicurezza associato al cluster database. Le regole in entrata del gruppo di sicurezza consentono all'applicazione client di accedere al cluster database.

Per informazioni su come creare un cluster database in un VPC, consulta Creazione di un cluster database in un VPC.

Un cluster database in un VPC a cui si accede da una rete privata

Se il cluster database non è accessibile pubblicamente, sono disponibili le seguenti opzioni per consentire l'accesso da una rete privata:

Una AWS connessione VPN da sito a sito. Per ulteriori informazioni, consulta What is AWS Site-to-Site VPN?
Una connessione. AWS Direct Connect Per ulteriori informazioni, consulta What is AWS Direct Connect?
Una AWS Client VPN connessione. Per ulteriori informazioni, consulta What is AWS Client VPN?

Il diagramma seguente mostra uno scenario con una connessione VPN da AWS sito a sito.

Un cluster database in un VPC a cui si accede da una rete privata.

Per ulteriori informazioni, consulta Riservatezza del traffico Internet.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Uso di un cluster database in un VPC

Tutorial: Creazione di un Amazon VPC da utilizzare con un cluster database (solo IPv4)