Tutorial: criar uma Amazon VPC para uso com uma instância de banco de dados - Amazon Relational Database Service

Tutorial: criar uma Amazon VPC para uso com uma instância de banco de dados

Um cenário comum inclui uma instância de banco de dados em uma Amazon VPC, que compartilha dados com um servidor Web que está sendo executado na mesma VPC. Neste tutorial, você cria a VPC para esse cenário.

O diagrama a seguir mostra esse cenário. Para obter informações sobre outros cenários, consulte Cenários para acessar uma instância de banco de dados em uma VPC.


            Cenário de VPC única

Como sua instância de banco de dados só precisa estar disponível para o servidor Web, e não para a Internet pública, você cria uma VPC com sub-redes públicas e privadas. O servidor Web está hospedado na sub-rede pública, para que ele possa chegar à Internet pública. A instância de banco de dados está hospedada em uma sub-rede privada. O servidor Web pode se conectar à instância de banco de dados porque está hospedada na mesma VPC, mas a instância de banco de dados não está disponível para a Internet pública, proporcionando maior segurança.

Este tutorial descreve como configurar uma VPC para instâncias de banco de dados do Amazon RDS. Para obter mais informações sobre uma Amazon VPC, consulte o Guia de conceitos básicos da Amazon VPC e Manual do usuário da Amazon VPC.

nota

Para obter um tutorial que mostra como criar um servidor da Web para esse cenário de VPC, consulte Tutorial: crie um servidor da Web e uma instância de banco de dados do Amazon RDS.

Criar uma VPC com sub-redes públicas e privadas

Use o seguinte procedimento para criar uma VPC com sub-redes públicas e privadas.

Para criar uma VPC e sub-redes

  1. Se você não tiver um endereço IP elástico para associar a um gateway de conversão de endereços de rede (NAT), aloque um agora. Um gateway NAT é necessário para este tutorial. Se você tiver um endereço IP elástico disponível, vá para a próxima etapa.

    1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

    2. No canto superior direito do AWS Management Console, escolha a Região na qual alocar seu endereço IP elástico. A região do seu endereço IP elástico deve ser a mesma que a região onde você deseja criar sua VPC. Este exemplo usa a região Oeste dos EUA (Oregon).

    3. No painel de navegação, escolha Elastic IPs (IPs elásticos).

    4. Escolha Allocate Elastic IP address (Alocar endereço IP elástico).

    5. Se o console mostrar o campo Network Border Group (Grupo de borda de rede), mantenha o valor padrão para ele.

    6. Para Public IPv4 address pool (pool de endereços IPv4 públicos), escolha Amazon's pool of IPv4 addresses (Pool de endereços IPv4 da Amazon).

    7. Escolha Allocate.

      Observe o ID de alocação do novo endereço de IP elástico porque você precisará dessas informações ao criar sua VPC.

    Para obter informações sobre endereços de IP elástico, consulte Endereços IP elásticos no Manuala do usuário do Amazon EC2. Para obter mais informações sobre gateways NAT, consulte NAT gateways (Gateways NAT) no Manual do usuário da Amazon VPC.

  2. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  3. No canto superior direito do AWS Management Console, escolha a Região na qual deseja criar sua VPC. Este exemplo usa a região Oeste dos EUA (Oregon).

  4. No canto superior esquerdo, escolha VPC Dashboard (Painel da VPC). Para começar a criar uma VPC, escolha Launch VPC Wizard (Iniciar assistente da VPC).

  5. Na página Step 1: Select a VPC Configuration (Etapa 1: Selecionar uma configuração da VPC), escolha VPC with Public and Private Subnets (VPC com sub-redes públicas e privadas) e depois escolha Select (Selecionar).

  6. Na página Step 2: VPC with Public and Private Subnets (Etapa 2: VPC com sub-redes públicas e privadas), defina estes valores:

    • IPv4 CIDR block (Bloco CIDR IPv: 10.0.0.0/16

    • IPv6 CIDR block (Bloco CIDR IPv6): nenhum bloco CIDR IPv6

    • Nome da VPC: tutorial-vpc

    • Public subnet's IPv4 CIDR (CIDR IPv4 da sub-rede pública: 10.0.0.0/24

    • Zona de disponibilidade: us-west-2a

    • Public subnet name (Nome da sub-rede pública: Tutorial public

    • Private subnet's IPv4 CIDR (CIDR IPv4 da sub-rede privada: 10.0.1.0/24

    • Zona de disponibilidade: us-west-2b

    • Private subnet name (Nome da sub-rede privada: Tutorial private 1

    • Elastic IP Allocation ID: um endereço IP elástico a ser associado ao gateway NAT

    • Service endpoints (Endpoints de serviço): ignore este campo.

    • Enable DNS hostnames (Habilitar nomes de host DNS: Yes

    • Locação de hardware: Default

  7. Escolha Create VPC (Criar VPC).

Criar sub-redes adicionais

Você deve ter duas sub-redes privadas ou duas sub-redes públicas disponíveis para criar um grupo de sub-redes de banco de dados para uma instância de banco de dados para usar em uma VPC. Como a instância de banco de dados deste tutorial é privada, adicione uma segunda sub-rede privada à VPC.

Para criar uma sub-rede adicional

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Para adicionar a segunda sub-rede privada à VPC, escolha VPC Dashboard (Painel da VPC), escolha Subnets (Sub-redes) e Create subnet (Criar sub-rede).

  3. Na página Create subnet (Criar sub-rede), defina esses valores:

    • ID da VPC: escolha a VPC criada na etapa anterior, por exemplo: vpc-identifier (tutorial-vpc)

    • Nome da sub-rede: Tutorial private 2

    • Zona de disponibilidade: us-west-2c

      nota

      Escolha uma Zona de disponibilidade que é diferente da que você escolheu para a primeira sub-rede privada.

    • IPv4 CIDR block (Bloco CIDR IPv: 10.0.2.0/24

  4. Escolha Create Subnet (Criar sub-rede).

  5. Para garantir que a segunda sub-rede privada criada use a mesma tabela de rotas que a primeira sub-rede privada, conclua as seguintes etapas:

    1. Selecione Painel VPC, Sub-redes e escolha a primeira sub-rede privada criada para a VPC, Tutorial private 1.

    2. Abaixo da lista de sub-redes, escolha a guia Route Table (Tabela de rotas), e observe o valor de Route Table (Tabela de rotas)—, por exemplo, rtb-98b613fd.

    3. Na lista de sub-redes, desmarque a primeira sub-rede privada.

    4. Na lista de sub-redes, selecione a segunda sub-rede privada, Tutorial private 2 e selecione a guia Tabela de rotas.

    5. Se a tabela de rotas atual não for a mesma que a tabela de rotas da primeira sub-rede privada, escolha Edit route table association (Editar associação da tabela de rotas). Em Route Table ID (ID da tabela de rotas), escolha a tabela de rotas que você anotou antes—, por exemplo: rtb-98b613fd. Em seguida, para salvar a seleção, escolha Save (Salvar).

Criar um grupo de segurança de VPC para um servidor Web público

Em seguida, você criará um security group para acesso público. Para se conectar a instâncias públicas na sua VPC, você adiciona regras de entrada ao seu security group de VPC que permite que o tráfego se conecte da Internet.

Para criar um security group de VPC

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Escolha VPC Dashboard (Painel da VPC), Security Groups (Grupos de segurança) e depois Create security group (Criar grupo de segurança).

  3. Na página Create security group (Criar grupo de segurança), defina esses valores:

    • Security group name (Nome do grupo de segurança: tutorial-securitygroup

    • Descrição: Tutorial Security Group

    • VPC: escolha a VPC criada anteriormente, por exemplo: vpc-identifier (tutorial-vpc)

  4. Adicione regras de entrada ao grupo de segurança.

    1. Determine o endereço IP a ser usado para se conectar a instâncias na sua VPC. Para determinar seu endereço IP público, em uma janela ou guia diferente do navegador, é possível usar o serviço em https://checkip.amazonaws.com. Exemplo de endereço IP: 203.0.113.25/32.

      Caso esteja se conectando por meio de um provedor de serviços de Internet (ISP) ou atrás de um firewall sem um endereço IP estático, você precisará descobrir o intervalo de endereços IP usados por computadores cliente.

      Atenção

      Se usar 0.0.0.0/0, você permitirá que todos os endereços IP acessem suas instâncias públicas. Essa abordagem é aceitável por um período curto em um ambiente de teste, mas não é seguro em ambientes de produção. Em produção, você autorizará somente um endereço IP específico ou um intervalo de endereços para acessar suas instâncias de banco de dados.

    2. Na seção Regras de entrada, escolha Adicionar regra.

    3. Defina os seguintes valores para a sua nova regra de entrada, para permitir o acesso Secure Shell (SSH) à sua instância do EC2. Se você fizer isso, poderá se conectar à sua instância do EC2 para instalar o servidor Web e outros utilitários e para fazer upload de conteúdo no seu servidor Web.

      • Digite: SSH

      • Origem: o endereço IP ou o intervalo da etapa A, por exemplo: 203.0.113.25/32.

    4. Escolha Add rule (Adicionar regra).

    5. Defina os seguintes valores para a sua nova regra de entrada a fim de permitir o acesso HTTP ao servidor web.

      • Digite: HTTP

      • Source (Origem: 0.0.0.0/0

  5. Para criar o grupo de segurança, escolha Criar grupo de segurança.

    Anote o ID do grupo de segurança porque você precisa dele posteriormente neste tutorial.

Criar um grupo de segurança da VPC para uma instância de banco de dados privada

Para manter sua instância de banco de dados particular, crie um segundo grupo de segurança para acesso privado. Para se conectar a instâncias privadas na sua VPC, você adiciona regras de entrada ao seu security group de VPC que permitem o tráfego somente a partir do seu servidor Web.

Para criar um security group de VPC

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Escolha VPC Dashboard (Painel da VPC), Security Groups (Grupos de segurança) e depois Create security group (Criar grupo de segurança).

  3. Na página Create security group (Criar grupo de segurança), defina esses valores:

    • Security group name (Nome do grupo de segurança: tutorial-db-securitygroup

    • Descrição: Tutorial DB Instance Security Group

    • VPC: escolha a VPC criada anteriormente, por exemplo: vpc-identifier (tutorial-vpc)

  4. Adicione regras de entrada ao grupo de segurança.

    1. Na seção Regras de entrada, escolha Adicionar regra.

    2. Defina os seguintes valores para sua nova regra de entrada, para permitir o tráfego MySQL na porta 3306 da sua instância do EC2. Se você fizer isso, poderá se conectar do seu servidor Web à sua instância de banco de dados para armazenar e recuperar dados do seu aplicativo Web para o seu banco de dados.

      • Digite: MySQL/Aurora

      • Source (Origem): o identificador do grupo de segurança tutorial-securitygroup criado anteriormente neste tutorial, por exemplo: sg-9edd5cfb.

  5. Para criar o grupo de segurança, escolha Criar grupo de segurança.

Criar um grupo de sub-redes de banco de dados

Um grupo de sub-redes de banco de dados é uma coleção de sub-redes que você cria em uma VPC e designa para suas instâncias de bancos de dados. Um grupo de sub-rede de banco de dados permite que você especifique uma VPC particular ao criar instâncias de banco de dados.

Para criar um grupo de sub-redes de banco de dados

  1. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

    nota

    Certifique-se de se conectar ao console do Amazon RDS, não ao console da Amazon VPC.

  2. No painel de navegação, escolha Subnet groups (Grupos de sub-redes).

  3. Escolha Create DB Subnet Group (Criar grupo de sub-redes de banco de dados).

  4. Na página Create DB subnet group (Criar grupo de sub-redes de banco de dados), defina esses valores em Subnet group details (Detalhes do grupo de sub-redes):

    • Nome: tutorial-db-subnet-group

    • Descrição: Tutorial DB Subnet Group

    • VPC: tutorial-vpc (vpc-identifier)

  5. Na seção Adicionar sub-redes, escolha Zonas de disponibilidade e Sub-redes.

    Para este tutorial, escolha us-west-2b e us-west-2c para as Zonas de disponibilidade. Depois, em Subnets (Sub-redes), escolha as sub-redes para o bloco CIDR IPv4 10.0.1.0/24 e 10.0.2.0/24

    nota

    Se tiver habilitado uma zona local, você poderá escolher um grupo de zonas de disponibilidade na página Create DB subnet group (Criar grupo de sub-redes de banco de dados). Nesse caso, escolha o Availability Zone group (Grupo de zonas de disponibilidade), Availability Zones (Zonas de disponibilidade) e Subnets (Sub-redes).

  6. Escolha Create (Criar).

    Seu novo grupo aparece na lista de grupos de sub-redes de banco de dados no console do RDS. Você pode clicar no grupo de sub-redes de banco de dados para ver detalhes, incluindo todas as sub-redes associadas a esse grupo, no painel de detalhes, na parte inferior da janela.

nota

Se você criou essa VPC para concluir Tutorial: crie um servidor da Web e uma instância de banco de dados do Amazon RDS, crie a instância de banco de dados seguindo as instruções em Criar uma instância de banco de dados .

Como excluir a VPC

Depois de criar a VPC e outros recursos para este tutorial, você poderá excluí-los se deixarem de ser necessários.

nota

Se você adicionou recursos na Amazon VPC que criou para este tutorial, como instâncias do Amazon EC2 ou instâncias de banco de dados do Amazon RDS, talvez seja necessário excluir esses recursos antes que possa excluir a VPC. Para obter mais informações, consulte Como excluir a sua VPC no Manual do usuário da Amazon VPC.

Para excluir uma VPC e recursos relacionados

  1. Exclua o grupo de sub-redes de banco de dados.

    1. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

    2. No painel de navegação, escolha Subnet groups (Grupos de sub-redes).

    3. Selecione o grupo de sub-rede de banco de dados que deseja excluir, como, por exemplo, tutorial-db-subnet-group.

    4. Escolha Delete (Excluir) e, em seguida, Delete (Excluir) na janela de confirmação.

  2. Anote o ID da VPC.

    1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

    2. Escolha VPC Dashboard (Painel da VPC) e, em seguida, VPCs.

    3. Na lista, identifique a VPC que criou, como, por exemplo, tutorial-vpc.

    4. Anote o ID da VPC da VPC que você criou. Você precisará do ID da VPC nas etapas subsequentes.

  3. Exclua os grupos de segurança.

    1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

    2. Escolha VPC Dashboard (Painel da VPC) e, em seguida, Security Groups (Grupos de segurança).

    3. Selecione o grupo de segurança para a instância de banco de dados do Amazon RDS, como, por exemplo, tutorial-db-securitygroup.

    4. Em Actions (Ações), escolha Delete security groups (Excluir grupos de segurança) e, depois, Delete (Excluir) na página de confirmação.

    5. Na página Security Groups (Grupos de segurança), selecione o grupo de segurança para a instância do Amazon EC2, como, por exemplo, tutorial-securitygroup.

    6. Em Actions (Ações), escolha Delete security groups (Excluir grupos de segurança) e, depois, Delete (Excluir) na página de confirmação.

  4. Exclua o gateway NAT.

    1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

    2. Escolha VPC Dashboard (Painel da VPC) e, em seguida, NAT Gateways (Gateways NAT).

    3. Selecione o gateway NAT da VPC que você criou. Use o ID da VPC para identificar o gateway NAT correto.

    4. Em Actions (Ações), selecione Delete NAT gateway (Excluir gateway NAT).

    5. Na página de confirmação, insira delete e, em seguida, escolha Delete (Excluir).

  5. Exclua a VPC.

    1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

    2. Escolha VPC Dashboard (Painel da VPC) e, em seguida, VPCs.

    3. Selecione a VPC que deseja excluir, como, por exemplo, tutorial-vpc.

    4. Em Actions (Ações), selecione Delete VPC (Excluir VPC).

      A página de confirmação mostra outros recursos associados à VPC que também serão excluídos, incluindo as sub-redes associadas a ela.

    5. Na página de confirmação, insira delete e, em seguida, escolha Delete (Excluir).

  6. Libere os endereços IP elásticos.

    1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

    2. Escolha EC2 Dashboard (Painel do EC2) e, em seguida, Elastic IPs (IPs elásticos).

    3. Selecione o endereço IP elástico que deseja liberar.

    4. Em Actions (Ações), escolha Release Elastic IP addresses (Liberar endereços IP elásticos).

    5. Na página de confirmação, escolha Release (Liberar).