Tutorial: criar uma Amazon VPC para uso com uma instância de banco de dados - Amazon Relational Database Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tutorial: criar uma Amazon VPC para uso com uma instância de banco de dados

Um cenário comum inclui uma instância de banco de dados em uma Amazon VPC, que compartilha dados com um servidor Web que está sendo executado na mesma VPC. Neste tutorial, você cria a VPC para esse cenário.

O diagrama a seguir mostra esse cenário. Para obter informações sobre outros cenários, consulte Cenários para acessar uma instância de banco de dados em uma VPC.


            Cenário de VPC única

Como sua instância de banco de dados só precisa estar disponível para o servidor Web, e não para a Internet pública, você cria uma VPC com sub-redes públicas e privadas. O servidor Web está hospedado na sub-rede pública, para que ele possa chegar à Internet pública. A instância de banco de dados está hospedada em uma sub-rede privada. O servidor Web pode se conectar à instância de banco de dados porque está hospedada na mesma VPC, mas a instância de banco de dados não está disponível para a Internet pública, proporcionando maior segurança.

Este tutorial descreve como configurar uma VPC para instâncias de banco de dados do Amazon RDS. Para obter mais informações sobre a Amazon VPC, consulte Guia de conceitos básicos do Amazon VPC e Guia do usuário da Amazon VPC.

nota

Para obter um tutorial que mostra como criar um servidor da Web para esse cenário de VPC, consulte Tutorial: crie um servidor da Web e uma instância de banco de dados do Amazon RDS.

Criar uma VPC com sub-redes públicas e privadas

Use o seguinte procedimento para criar uma VPC com sub-redes públicas e privadas.

Para criar uma VPC e sub-redes

  1. Se você não tiver um endereço IP elástico para associar a um gateway de conversão de endereços de rede (NAT), aloque um agora. Um gateway NAT é necessário para este tutorial. Se você tiver um endereço IP elástico disponível, vá para a próxima etapa.

    1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

    2. No painel de navegação, escolha Elastic IPs (IPs elásticos).

    3. Escolha Allocate Elastic IP address (Alocar endereço IP elástico).

    4. Em Public IPv4 address pool (Grupo de endereços IPv4 público), escolha uma das seguintes opções:

      • Amazon's pool of IPv4 addresses (Grupo de endereços IPv4 da Amazon) — Se você deseja que um endereço IPv4 seja alocado a partir do grupo de endereços IPv4 da Amazon.

      • My pool of public IPv4 addresses (Meu grupo de endereços IPv4 públicos) — Se você deseja alocar um endereço IPv4 a partir de um grupo de endereços IP que trouxe para sua conta da AWS. Essa opção será desabilitada se você não tiver nenhum pool de endereços IP.

      • Customer owned pool of IPv4 addresses (Grupo de endereços IPv4 de propriedade do cliente) — se você quiser alocar um endereço IPv4 de um grupo criado a partir de sua rede no local para uso com um Outpost da AWS. Essa opção será desativada se você não tiver um Outpost da AWS.

    5. Escolha Allocate.

    Para obter informações sobre endereços Elastic IP, consulte Elastic IP Addresses (Endereços Elastic IP) no Guia do usário do Amazon EC2 . Para obter mais informações sobre gateways NAT, consulte NAT gateways (Gateways NAT) no Guia do usuário da Amazon VPC.

  2. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  3. No canto superior direito do Console de gerenciamento da AWS, escolha a região na qual deseja criar sua VPC. Esse exemplo usa a região Oeste dos EUA (Oregon).

  4. No canto superior esquerdo, escolha VPC Dashboard (Painel da VPC). Para começar a criar uma VPC, escolha Launch VPC Wizard (Iniciar assistente da VPC).

  5. Na página Step 1: Select a VPC Configuration (Etapa 1: Selecionar uma configuração da VPC), escolha VPC with Public and Private Subnets (VPC com sub-redes públicas e privadas) e depois escolha Select (Selecionar).

  6. Na página Step 2: VPC with Public and Private Subnets (Etapa 2: VPC com sub-redes públicas e privadas), defina estes valores:

    • IPv4 CIDR block (Bloco CIDR IPv4): 10.0.0.0/16

    • IPv6 CIDR block (Bloco CIDR IPv6): nenhum bloco CIDR IPv6

    • VPC name (Nome da VPC): tutorial-vpc

    • Public subnet's IPv4 CIDR (CIDR IPv4 da sub-rede pública): 10.0.0.0/24

    • Availability Zone (Zona de disponibilidade): us-west-2a

    • Public subnet name (Nome da sub-rede pública): Tutorial public

    • Private subnet's IPv4 CIDR (CIDR IPv4 da sub-rede privada): 10.0.1.0/24

    • Availability Zone (Zona de disponibilidade): us-west-2a

    • Private subnet name (Nome da sub-rede privada): Tutorial private 1

    • Elastic IP Allocation ID: um endereço IP elástico a ser associado ao gateway NAT

    • Key pair name (Nome do par de chaves): No key pair

    • Service endpoints (Endpoints de serviço): ignore este campo.

    • Enable DNS hostnames (Habilitar nomes de host DNS): Yes

    • Hardware tenancy (Locação de hardware): Default

  7. Escolha Create VPC (Criar VPC).

Criar sub-redes adicionais

Você deve ter duas sub-redes privadas ou duas sub-redes públicas disponíveis para criar um grupo de sub-redes de banco de dados para uma instância de banco de dados para usar em uma VPC. Como a instância de banco de dados deste tutorial é privada, adicione uma segunda sub-rede privada à VPC.

Para criar uma sub-rede adicional

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Para adicionar a segunda sub-rede privada à VPC, escolha VPC Dashboard (Painel da VPC), escolha Subnets (Sub-redes) e Create subnet (Criar sub-rede).

  3. Na página Create subnet (Criar sub-rede), defina esses valores:

    • ID da VPC: escolha a VPC criada na etapa anterior, por exemplo: vpc-identifier (tutorial-vpc)

    • Nome da sub-rede: Tutorial private 2

    • Availability Zone (Zona de disponibilidade): us-west-2b

      nota

      Escolha uma Zona de disponibilidade que é diferente da que você escolheu para a primeira sub-rede privada.

    • IPv4 CIDR block (Bloco CIDR IPv4): 10.0.2.0/24

  4. Escolha Create Subnet (Criar sub-rede). Em seguida, escolha Close (Fechar) na página de confirmação.

  5. Para garantir que a segunda sub-rede privada criada use a mesma tabela de rotas que a primeira sub-rede privada, conclua as seguintes etapas:

    1. Selecione Painel VPC, Sub-redes e escolha a primeira sub-rede privada criada para a VPC, Tutorial private 1.

    2. Abaixo da lista de sub-redes, escolha a guia Route Table (Tabela de rotas), e observe o valor de Route Table (Tabela de rotas)—, por exemplo, rtb-98b613fd.

    3. Na lista de sub-redes, desmarque a primeira sub-rede privada.

    4. Na lista de sub-redes, selecione a segunda sub-rede privada, Tutorial private 2 e selecione a guia Tabela de rotas.

    5. Se a tabela de rotas atual não for a mesma que a tabela de rotas da primeira sub-rede privada, escolha Edit route table association (Editar associação da tabela de rotas). Em Route Table ID (ID da tabela de rotas), escolha a tabela de rotas que você anotou antes—, por exemplo: rtb-98b613fd. Em seguida, para salvar a seleção, escolha Save (Salvar).

Criar um grupo de segurança de VPC para um servidor Web público

Em seguida, você criará um security group para acesso público. Para se conectar a instâncias públicas na sua VPC, você adiciona regras de entrada ao seu security group de VPC que permite que o tráfego se conecte da Internet.

Para criar um security group de VPC

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Escolha VPC Dashboard (Painel da VPC), Security Groups (Grupos de segurança) e depois Create security group (Criar grupo de segurança).

  3. Na página Create security group (Criar grupo de segurança), defina esses valores:

    • Security group name (Nome do grupo de segurança): tutorial-securitygroup

    • Description (Descrição): Tutorial Security Group

    • VPC: escolha a VPC criada anteriormente, por exemplo: vpc-identifier (tutorial-vpc)

  4. Adicione regras de entrada ao grupo de segurança.

    1. Determine o endereço IP a ser usado para se conectar a instâncias na sua VPC. Para determinar seu endereço IP público, em uma janela ou guia diferente do navegador, é possível usar o serviço em https://checkip.amazonaws.com. Exemplo de endereço IP: 203.0.113.25/32.

      Caso esteja se conectando por meio de um provedor de serviços de Internet (ISP) ou atrás de um firewall sem um endereço IP estático, você precisará descobrir o intervalo de endereços IP usados por computadores cliente.

      Atenção

      Se usar 0.0.0.0/0, você permitirá que todos os endereços IP acessem suas instâncias públicas. Essa abordagem é aceitável por um período curto em um ambiente de teste, mas não é seguro em ambientes de produção. Em produção, você autorizará somente um endereço IP específico ou um intervalo de endereços para acessar suas instâncias de banco de dados.

    2. Na seção Regras de entrada, escolha Adicionar regra.

    3. Defina os seguintes valores para a sua nova regra de entrada, para permitir o acesso Secure Shell (SSH) à sua instância do EC2. Se você fizer isso, poderá se conectar à sua instância do EC2 para instalar o servidor Web e outros utilitários e para fazer upload de conteúdo no seu servidor Web.

      • Digite: SSH

      • Origem: o endereço IP ou o intervalo da etapa A, por exemplo: 203.0.113.25/32.

    4. Escolha Add rule (Adicionar regra).

    5. Defina os seguintes valores para a sua nova regra de entrada a fim de permitir o acesso HTTP ao servidor web.

      • Digite: HTTP

      • Source (Origem): 0.0.0.0/0.

  5. Para criar o grupo de segurança, escolha Criar grupo de segurança.

    Anote o ID do grupo de segurança porque você precisa dele posteriormente neste tutorial.

Criar um grupo de segurança da VPC para uma instância de banco de dados privada

Para manter sua instância de banco de dados particular, crie um segundo grupo de segurança para acesso privado. Para se conectar a instâncias privadas na sua VPC, você adiciona regras de entrada ao seu security group de VPC que permitem o tráfego somente a partir do seu servidor Web.

Para criar um security group de VPC

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Escolha VPC Dashboard (Painel da VPC), Security Groups (Grupos de segurança) e depois Create security group (Criar grupo de segurança).

  3. Na página Create security group (Criar grupo de segurança), defina esses valores:

    • Security group name (Nome do grupo de segurança): tutorial-db-securitygroup

    • Description (Descrição): Tutorial DB Instance Security Group

    • VPC: escolha a VPC criada anteriormente, por exemplo: vpc-identifier (tutorial-vpc)

  4. Adicione regras de entrada ao grupo de segurança.

    1. Na seção Regras de entrada, escolha Adicionar regra.

    2. Defina os seguintes valores para sua nova regra de entrada, para permitir o tráfego MySQL na porta 3306 da sua instância do EC2. Se você fizer isso, poderá se conectar do seu servidor Web à sua instância de banco de dados para armazenar e recuperar dados do seu aplicativo Web para o seu banco de dados.

      • Digite: MySQL/Aurora

      • Source (Origem): o identificador do grupo de segurança tutorial-securitygroup criado anteriormente neste tutorial, por exemplo: sg-9edd5cfb.

  5. Para criar o grupo de segurança, escolha Criar grupo de segurança.

Criar um grupo de sub-redes de banco de dados

Um grupo de sub-redes de banco de dados é uma coleção de sub-redes que você cria em uma VPC e designa para suas instâncias de bancos de dados. Um grupo de sub-rede de banco de dados permite que você especifique uma VPC particular ao criar instâncias de banco de dados.

Para criar um grupo de sub-redes de banco de dados

  1. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

    nota

    Certifique-se de se conectar ao console do Amazon RDS, não ao console da Amazon VPC.

  2. No painel de navegação, escolha Subnet groups (Grupos de sub-redes).

  3. Escolha Create DB Subnet Group (Criar grupo de sub-redes de banco de dados).

  4. Na página Create DB subnet group (Criar grupo de sub-redes de banco de dados), defina esses valores em Subnet group details (Detalhes do grupo de sub-redes):

    • Name (Nome): tutorial-db-subnet-group

    • Description (Descrição): Tutorial DB Subnet Group

    • VPC: tutorial-vpc (vpc-identifier)

  5. Na seção Adicionar sub-redes, escolha Zonas de disponibilidade e Sub-redes.

    Para este tutorial, escolha us-west-2a e us-west-2b para as Zonas de disponibilidade. Depois, em Subnets (Sub-redes), escolha as sub-redes para o bloco CIDR IPv4 10.0.0.0/24, 10.0.1.0/24 e 10.0.2.0/24.

    nota

    Se tiver habilitado uma zona local, você poderá escolher um grupo de zonas de disponibilidade na página Create DB subnet group (Criar grupo de sub-redes de banco de dados). Nesse caso, escolha o Availability Zone group (Grupo de zonas de disponibilidade), Availability Zones (Zonas de disponibilidade) e Subnets (Sub-redes).

  6. Escolha Criar.

    Seu novo grupo aparece na lista de grupos de sub-redes de banco de dados no console do RDS. Você pode clicar no grupo de sub-redes de banco de dados para ver detalhes, incluindo todas as sub-redes associadas a esse grupo, no painel de detalhes, na parte inferior da janela.

nota

Se você criou essa VPC para concluir Tutorial: crie um servidor da Web e uma instância de banco de dados do Amazon RDS, crie a instância de banco de dados seguindo as instruções em Criar uma instância de banco de dados .