Cenários para acessar uma instância de banco de dados em uma VPC - Amazon Relational Database Service

Cenários para acessar uma instância de banco de dados em uma VPC

O Amazon RDS oferece suporte aos seguintes cenários de acesso uma instância de banco de dados em uma VPC:

Uma instância de banco de dados em uma VPC acessada por uma instância do EC2 na mesma VPC

Um uso comum de uma instância de banco de dados em uma VPC é compartilhar dados com um servidor de aplicativos que está sendo executado em uma instância do EC2 na mesma VPC. Este é o cenário do usuário criado se você usar o AWS Elastic Beanstalk para criar uma instância do EC2 e uma instância de banco de dados na mesma VPC.

O diagrama a seguir mostra esse cenário.


					Cenário de uma VPC

A maneira mais simples de gerenciar o acesso entre instâncias do EC2 e instâncias de banco de dados na mesma VPC é fazer o seguinte:

  • Crie um grupo de segurança de VPC no qual as suas instâncias de banco de dados estarão. Esse grupo de segurança pode ser usado para restringir o acesso às instâncias de banco de dados. Por exemplo, você pode criar uma regra personalizada para esse grupo de segurança que permita o acesso TCP usando a porta que você atribuiu à instância de banco de dados quando a criou e um endereço IP para acessar a instância de banco de dados para desenvolvimento ou outros fins.

  • Crie um grupo de segurança da VPC em que as suas instâncias do EC2 (servidores Web e clientes) estarão. Esse grupo de segurança pode, se necessário, permitir o acesso à instância do EC2 pela Internet usando a tabela de roteamento da VPC. Por exemplo, você pode definir regras nesse grupo de segurança para permitir o acesso TCP à instância do EC2 pela porta 22.

  • Crie regras personalizadas no grupo de segurança para suas instâncias de banco de dados que permitam conexões do grupo de segurança que você criou para suas instâncias do EC2. Isso permitiria que qualquer membro de grupo de segurança acessasse as instâncias de banco de dados.

Para um tutorial que mostra como criar uma VPC com sub-redes públicas e privadas para esse cenário, consulte Tutorial: criar uma Amazon VPC para uso com uma instância de banco de dados.

Para criar uma regra em um grupo de segurança de VPC que permita conexões de outro grupo de segurança, faça o seguinte:

  1. Faça login no AWS Management Console e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc.

  2. No painel de navegação, selecione Security Groups (Grupos de segurança).

  3. Escolha ou crie um grupo de segurança ao qual você deseja conceder acesso para membros de outro grupo de segurança. Esse é o grupo de segurança usado para suas instâncias de banco de dados no cenário anterior. Vá para a guia Inbound Rules (Regras de entrada) e selecione Edit rules (Editar regras).

  4. Na página Edit inbound rules (Editar regras de entrada), selecione Add Rule (Adicionar regra).

  5. Em Tipo, escolha a entrada que corresponde à porta usada ao criar sua instância de banco de dados, como MYSQL/Aurora.

  6. Na caixa Origem, comece a digitar o ID do grupo de segurança para listar os grupos de segurança correspondentes. Escolha o grupo de segurança com membros que você deseja que tenham acesso aos recursos protegidos por esse grupo de segurança. Esse é o grupo de segurança usado para sua instância do EC2 no cenário anterior.

  7. Se necessário, repita as etapas para o protocolo TCP, criando uma regra com Todos os TCP como Tipo e seu grupo de segurança na caixa Origem. Se você pretende usar o protocolo UDP, crie uma regra com All UDP (Todos os UDP) como Type (Tipo) e seu grupo de segurança na caixa Source (Origem).

  8. Selecione Save routes (Salvar rotas) quando terminar.

A tela a seguir mostra uma regra de entrada com um grupo de segurança como origem.


					Adição de um grupo de segurança às regras de outro grupo de segurança

Uma instância de banco de dados em uma VPC acessada por uma instância do EC2 em uma VPC diferente

Quando sua instância de banco de dados está em uma VPC diferente da instância do EC2 que você está usando para acessá-la, você pode usar emparelhamento de VPC para acessar a instância de banco de dados.

O diagrama a seguir mostra esse cenário.


				Uma instância de banco de dados em uma VPC acessada por uma instância do EC2 em uma VPC diferente

Uma conexão de emparelhamento VPC é uma conexão de redes entre duas VPCs que permite direcionar o tráfego entre elas usando endereços IP privados. Instâncias em qualquer VPC podem se comunicar umas com as outras como se estivessem na mesma rede. Você pode criar uma conexão de emparelhamento da VPC entre suas próprias VPCs, com uma VPC de outra conta da AWS ou com uma VPC em uma região diferente da AWS. Para saber mais sobre o emparelhamento de VPCs, consulte Emparelhamento de VPCs, no Manual do usuário do Amazon Virtual Private Cloud.

Uma instância de banco de dados em uma VPC acessada por uma aplicação cliente via Internet

Para acessar uma instância de banco de dados em uma VPC de um aplicativo cliente via Internet, configure uma VPC com uma sub-rede pública única e um gateway da Internet para permitir a comunicação pela Internet.

O diagrama a seguir mostra esse cenário.


					Uma instância de banco de dados em uma VPC acessada por um aplicativo cliente via Internet

Recomendamos a seguinte configuração:

  • Uma VPC de tamanho /16 (por exemplo, CIDR: 10.0.0.0/16). Esse tamanho fornece 65.536 endereços IP privados.

  • Uma sub-rede de tamanho /24 (por exemplo CIDR: 10.0.0.0/24). Esse tamanho fornece 256 endereços IP privados.

  • Uma instância de banco de dados do Amazon RDS que é associada à VPC e à sub-rede. O Amazon RDS atribui um endereço IP da sub-rede à sua instância de banco de dados.

  • Um gateway da Internet que conecta a VPC à Internet e a outros produtos da AWS.

  • Um grupo de segurança associado com a instância de banco de dados. As regras de entrada de grupo de segurança permitem que seu aplicativo de cliente acesse a sua instância de banco de dados.

Para obter mais informações sobre como criar uma instância de banco de dados em uma VPC, consulte Criar uma instância de banco de dados em uma VPC.

Uma instância de banco de dados em uma VPC acessada por uma rede privada

Se sua instância de Bancos de Dados não estiver acessível publicamente, você terá as seguintes opções para acessá-la a partir de uma rede privada:

O diagrama a seguir mostra um cenário com uma conexão AWS Site-to-Site VPN.


					Uma instância de banco de dados em uma VPC acessada por uma rede privada

Para obter mais informações, consulte Privacidade do tráfego entre redes.

Você pode estabelecer a comunicação entre uma instância de banco de dados do Amazon RDS que esteja em uma VPC e uma instância do EC2 que não esteja em uma Amazon VPC usando o ClassicLink. Quando você usa o ClassicLink, uma aplicação na instância do EC2 pode se conectar à instância de banco de dados usando o endpoint para a instância de banco de dados. O ClassicLink está disponível gratuitamente.

Importante

Se sua instância do EC2 foi criada após 2013, provavelmente ela estará em uma VPC.

O diagrama a seguir mostra esse cenário.


					Uma instância de banco de dados em uma VPC acessada por uma instância do EC2 fora de uma VPC

Usando o ClassicLink, você pode conectar uma instância do EC2 a um banco de dados logicamente isolado onde você define o intervalo de endereços IP e controla as listas de controle de acesso (ACLs) para gerenciar o tráfego da rede. Você não precisa usar endereços IP públicos ou o tunelamento para se comunicar com a instância de banco de dados na VPC. Esse arranjo fornece um maior throughput e menor conectividade de latência para comunicações entre instâncias.

Para habilitar ClassicLink entre uma instância de banco de dados em uma VPC e uma instância do EC2 que não esteja em uma VPC

  1. Faça login no AWS Management Console e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs).

  3. Escolha a VPC usada pela instância de banco de dados.

  4. Em Actions (Ações), escolha Enable ClassicLink (Habilitar ClassicLink). Na caixa de diálogo de confirmação, escolha Yes, Enable (Sim, habilitar).

  5. No console do EC2, escolha a instância do EC2 que você deseja conectar à instância de banco de dados no VPC.

  6. Em Actions (Ações), escolha ClassicLink e depois escolha Link to VPC (Vincular à VPC).

  7. Na página Link to VPC (Vincular à VPC), escolha o grupo de segurança que você deseja usar e, em seguida, escolha Link to VPC (Vincular à VPC).

nota

Os recursos do ClassicLink só podem ser vistos nos consoles para contas e regiões que oferecem suporte ao EC2-Classic. Para mais informações, consulte ClassicLink no Manual do usuário do Amazon EC2 para instâncias do Linux.