Trabalhar com uma instância de banco de dados em uma VPC - Amazon Aurora

Trabalhar com uma instância de banco de dados em uma VPC

sua instância de banco de dados está em uma nuvem privada virtual (VPC). Uma VPC é uma rede virtual logicamente isolada de outras redes virtuais na Nuvem AWS. A Amazon VPC permite que você inicie a AWS, como uma instância de banco de dados do Amazon Aurora ou uma instância do Amazon EC2, em uma VPC. A VPC pode ser uma VPC padrão que vem com sua conta ou aquele que você criou. Todas as VPCs estão associadas à sua conta da AWS.

Sua VPC padrão possui três sub-redes que você pode usar para isolar recursos dentro da VPC. A VPC padrão também possui um gateway da Internet que pode ser usado para fornecer acesso a recursos na VPC de fora da VPC.

Para obter uma lista de cenários envolvendo instâncias de banco de dados do Amazon Aurora em uma VPC , consulte Cenários para acessar uma instância de banco de dados em uma VPC.

Para aprender a trabalhar com instâncias de banco de dados dentro de uma VPC, consulte o seguinte:

Para ver um tutorial que mostra como criar uma VPC a ser usada com um cenário comum do Amazon Aurora, consulte Tutorial: criar uma Amazon VPC para usar com uma instância de banco de dados.

nota

Atualmente, o Aurora não é compatível com o modo de pilha dupla.

Trabalhar com uma instância de banco de dados em uma VPC

Veja a seguir algumas dicas sobre como trabalhar com uma instância de banco de dados em uma VPC:

  • A VPC deve ter pelo menos duas sub-redes. Essas sub-redes devem estar em duas zonas de disponibilidade diferentes na Região da AWS onde você deseja implantar a instância de banco de dados. Uma sub-rede é um segmento do intervalo de endereços IP de uma VPC que você pode especificar e que permite agrupar instâncias com base nas suas necessidades operacionais e de segurança.

  • Se quiser que sua instância de banco de dados na VPC seja publicamente acessível, você deverá habilitar os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS).

  • Sua VPC deve ter um grupo de sub-redes de banco de dados que você criou (para obter mais informações, consulte a próxima seção). Crie um grupo de sub-redes de banco de dados especificando as sub-redes criadas. O Amazon Aurora escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar à sua instância de banco de dados. A instância de banco de dados usa a zona de disponibilidade que contém a sub-rede.

  • Sua VPC deve ter um grupo de segurança de VPC que permita o acesso à instância de banco de dados.

  • Os blocos CIDR em cada uma das suas sub-redes devem ser suficientemente grandes para acomodar endereços IP sobressalentes para o Amazon Aurora usar durante atividades de manutenção, incluindo failover e escalabilidade de computação.

  • Uma VPC pode ter um atributo instance tenancy (locação da instância) com o valor default (padrão) ou dedicated (dedicado). Todas as VPC padrão têm o atributo instance tenancy definido como default, e uma VPC padrão pode oferecer suporte a qualquer classe de instância de banco de dados.

    Se você optar por ter sua instância de banco de dados em uma VPC dedicada em que o atributo instance tenancy esteja definido como dedicated, a classe da sua instância de banco de dados deverá ser um dos tipos aprovados de instância dedicada do Amazon EC2. Por exemplo, a instância dedicada m3.medium do EC2 corresponde à classe de instância de banco de dados db.m3.medium. Para obter informações sobre a locação de instâncias em uma VPC, consulte Instâncias dedicadas no Manual do usuário do Amazon Elastic Compute Cloud.

    Para obter mais informações sobre os tipos de instância que podem estar em uma instância dedicada, consulte Instâncias dedicadas do Amazon EC2, na página de definição de preços do EC2.

    nota

    Quando você define o atributo de locação de instâncias como dedicado para uma instância de banco de dados do Amazon RDS, ele não garante que essa instância será executada em um host dedicado.

Trabalhar com grupos de sub-redes de banco de dados

Sub-redes são segmentos do intervalo de endereços IP de uma VPC que você designa para agrupar seus recursos com base em necessidades operacionais e de segurança. Um grupo de sub-redes de banco de dados é uma coleção de sub-redes (geralmente privadas) que você cria em uma VPC e designa para suas instâncias de banco de dados. Ao utilizar um grupo de sub-redes de banco de dados, você pode especificar uma VPC específica ao criar instâncias de banco de dados usando a CLI ou a API. Se você usar o console, poderá escolher somente a VPC e as sub-redes que deseja usar.

Cada grupo de sub-redes de banco de dados deve ter sub-redes em pelo menos duas zonas de disponibilidade em determinada Região da AWS. Ao criar uma instância de banco de dados na VPC, você deve escolher um grupo de sub-redes de banco de dados. Do grupo de sub-rede de banco de dados, o Amazon Aurora escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar à sua instância de banco de dados. A instância de banco de dados usa a zona de disponibilidade que contém a sub-rede. Se a instância de banco de dados primário de uma implantação multi-AZ falhar, o Amazon Aurora poderá promover a espera correspondente e, posteriormente, criar uma espera usando um endereço IP da sub-rede em uma das outras zonas de disponibilidade.

As sub-redes em um grupo de sub-redes de banco de dados são públicas ou privadas. As sub-redes são públicas ou privadas, dependendo da configuração definida para as listas de controle de acesso à rede (ACLs de rede) e tabelas de roteamento. Para que uma instância de banco de dados seja acessível ao público, todas as sub-redes em seu grupo de sub-redes de banco de dados devem ser públicas. Se uma sub-rede associada a uma instância de banco de dados acessível ao público mudar de pública para privada, ela poderá afetar a disponibilidade da instância de banco de dados.

Quando o Amazon Aurora cria uma instância de banco de dados em uma VPC, ele atribui uma interface de rede à sua instância de banco de dados usando um endereço IP do seu grupo de sub-redes de banco de dados. No entanto, é altamente recomendável que você use o Sistema de Nome de Domínio (DNS) para se conectar à sua instância de banco de dados, pois o endereço IP subjacente muda durante o failover.

nota

Para cada instância de banco de dados executada em uma VPC, é necessário reservar pelo menos um endereço em cada sub-rede no grupo de sub-redes de banco de dados para uso pelo Amazon Aurora para ações de recuperação.

Ocultar uma instância de banco de dados em uma VPC da Internet

Um cenário comum do Amazon Aurora é ter uma VPC na qual existe uma instância do EC2 com um aplicativo Web voltado para o público e uma instância de banco de dados com um banco de dados não publicamente acessível. Por exemplo, é possível criar uma VPC que tenha uma sub-rede pública e uma sub-rede privada. As instâncias do Amazon EC2 que funcionam como servidores Web podem ser implantadas na sub-rede pública, e as instâncias de banco de dados são implantadas na sub-rede privada. Nessa implantação, apenas os servidores Web têm acesso às instâncias de banco de dados. Para uma ilustração desse cenário, consulte Uma instância de banco de dados em uma VPC acessada por uma instância do EC2 na mesma VPC.

Quando você executa uma instância de banco de dados dentro de uma VPC, a instância de banco de dados tem um endereço IP privado para tráfego dentro da VPC. Esse endereço IP privado não é acessível publicamente. É possível usar a opção de acesso público para designar se a instância de banco de dados também deve ter um endereço IP público além do endereço IP privado. Se a instância de banco de dados for designada como acessível publicamente, o endpoint DNS resolverá para o endereço IP privado de dentro da VPC da instância de banco de dados e para o endereço IP público de fora da VPC da instância de banco de dados. O acesso à instância de banco de dados é controlado pelo grupo de segurança que ela usa, e esse acesso público não será permitido se o grupo de segurança atribuído à instância de banco de dados não o permitir.

É possível modificar uma instância de banco de dados para ativar ou desativar a acessibilidade pública modificando o parâmetro Public access (Acesso público). Para obter mais informações, consulte a seção sobre modificação para o seu mecanismo de banco de dados.

A ilustração a seguir mostra a opção Public access (Acesso público) na seção Additional connectivity configuration (Configuração de conectividade adicional). Para definir a opção, abra a seção Additional connectivity configuration (Configuração de conectividade adicional) na seção Connectivity (Conectividade).

Para obter informações sobre como modificar uma instância de banco de dados para definir a opção de Public access (Acesso público), consulte Modificar uma instância de banco de dados em um cluster de banco de dados.

Criar uma instância de banco de dados em uma VPC

Os procedimentos a seguir ajudam você a criar uma instância de banco de dados em uma VPC. Se a sua conta tiver uma VPC padrão, você poderá começar com a etapa 3, pois o grupo de sub-redes de banco de dados já foi criado para você. Se a sua conta da AWS não tiver uma VPC padrão, ou se quiser criar uma VPC adicional, você poderá criar uma nova VPC.

nota

Se você deseja que sua instância de banco de dados na VPC seja publicamente acessível, atualize as informações de DNS da VPC, habilitando os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS). Para obter informações sobre como atualizar as informações de DNS para uma instância de VPC, consulte Atualização do suporte a DNS para sua VPC.

Siga estas etapas para criar uma instância de banco de dados em uma VPC:

Etapa 1: Criar uma VPC

Se a sua conta da AWS não tiver uma VPC padrão ou se quiser criar uma VPC adicional, siga as instruções para criar uma nova VPC. Consulte Criar uma VPC com sub-redes públicas e privadas ou Etapa 1: Criar uma VPC na documentação da Amazon VPC.

Etapa 2: Adicionar sub-redes à VPC

Depois de criar uma VPC, você precisa criar sub-redes em pelo menos duas zonas de disponibilidade. Você usará essas sub-redes ao criar um grupo de sub-redes de banco de dados. Se você tiver uma VPC padrão, uma sub-rede será criada automaticamente para você em cada zona de disponibilidade na Região da AWS.

Para obter instruções sobre como criar sub-redes em uma VPC, consulte Criar uma VPC com sub-redes públicas e privadas.

Etapa 3: Criar um grupo de sub-redes de banco de dados

Um grupo de sub-redes de banco de dados é uma coleção de sub-redes (geralmente privadas) que você cria para uma VPC e designa às suas instâncias de banco de dados. Um grupo de sub-redes de banco de dados permite que você especifique uma VPC particular ao criar instâncias de banco de dados usando a CLI ou a API. Se você usar o console, poderá escolher somente a VPC e as sub-redes que deseja usar. Cada grupo de sub-redes de banco de dados deve ter pelo menos uma sub-rede em pelo menos duas zonas de disponibilidade na Região da AWS.

Para que uma instância de banco de dados seja acessível publicamente, as sub-redes no grupo de sub-redes de banco de dados devem ter um gateway da Internet. Para obter mais informações sobre gateways da Internet para sub-redes, acesse Gateways da Internet na documentação da Amazon VPC.

Ao criar uma instância de banco de dados na VPC, você deve selecionar um grupo de sub-redes de banco de dados. O Amazon Aurora escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar à sua instância de banco de dados. O Amazon Aurora cria e associa uma interface de rede elástica à sua instância de banco de dados com esse endereço IP. A instância de banco de dados usa a zona de disponibilidade que contém a sub-rede. Para implantações multi-AZ, a definição de uma sub-rede para duas ou mais zonas de disponibilidade em uma Região da AWS permite que o Amazon Aurora crie uma espera em outra zona de disponibilidade, caso haja necessidade. Você precisa fazer isso mesmo para implementações single-AZ, caso queira convertê-las em implementações multi-AZ em algum momento.

Nesta etapa, você criará um grupo de sub-redes de banco de dados e adicionará as sub-redes criadas à sua VPC.

Para criar um grupo de sub-redes de banco de dados

  1. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  2. No painel de navegação, escolha Subnet groups (Grupos de sub-redes).

  3. Escolha Create DB Subnet Group (Criar grupo de sub-redes de banco de dados).

  4. Em Name (Nome), digite o nome do grupo de sub-redes de banco de dados.

  5. Em Description (Descrição), digite uma descrição para o grupo de sub-redes de banco de dados.

  6. Em VPC, escolha a VPC criada anteriormente.

  7. Na seção Adicionar sub-redes, escolha as zonas de disponibilidade que incluem as sub-redes de Zonas de disponibilidade e escolha as sub-redes de Sub-redes.

    
							Botão Create DB Subnet Group (Criar grupo de sub-redes de banco de dados)
  8. Escolha Create (Criar OpsItem).

    Seu novo grupo aparece na lista de grupos de sub-redes de banco de dados no console do RDS. Você pode selecionar o grupo de sub-redes de banco de dados para obter detalhes, incluindo todas as sub-redes associadas a esse grupo, no painel de detalhes, na parte inferior da janela.

Etapa 4: Criar um grupo de segurança da VPC

Antes de criar sua instância de banco de dados, você deve criar um grupo de segurança da VPC para associar a essa instância. Para obter instruções sobre como criar um grupo de segurança para sua instância de banco de dados, consulte Criar um grupo de segurança da VPC para uma instância de banco de dados privada ou Grupos de segurança para sua VPC, na documentação da Amazon VPC.

Etapa 5: Criar uma instância de banco de dados na VPC

Nessa etapa, você cria uma instância de banco de dados e usa o nome da VPC, o grupo de sub-redes de banco de dados e o grupo de segurança de VPC que você criou nas etapas anteriores.

nota

Se quiser que sua instância de banco de dados na VPC seja publicamente acessível, você deverá habilitar os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS). Para obter informações sobre como atualizar as informações de DNS para uma instância de VPC, consulte Atualização do suporte a DNS para sua VPC.

Para obter detalhes sobre como criar uma instância de banco de dados, consulte Criar um cluster de bancos de dados Amazon Aurora .

Quando solicitado na seção Connectivity (Conectividade), insira o nome da VPC, o grupo de sub-redes de banco de dados e o grupo de segurança da VPC que você criou nas etapas anteriores.

nota

A atualização de VPCs atualmente não tem suporte para clusters Aurora.