Trabalhar com uma instância de banco de dados em uma VPC - Amazon Relational Database Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Trabalhar com uma instância de banco de dados em uma VPC

A menos que você esteja trabalhando com uma instância de banco de dados legada, instância de banco de dados está em uma nuvem privada virtual (VPC). Uma VPC é uma rede virtual isolada logicamente de outras redes virtuais na Nuvem AWS. A Amazon VPC permite que você execute recursos da AWS, como uma instância de banco de dados do Amazon RDS ou uma instância do Amazon EC2, em uma VPC. A VPC pode ser uma VPC padrão que vem com sua conta ou aquele que você criou. Todas as VPCs estão associadas à sua conta da AWS.

Sua VPC padrão possui três sub-redes que você pode usar para isolar recursos dentro da VPC. A VPC padrão também possui um gateway da Internet que pode ser usado para fornecer acesso a recursos na VPC de fora da VPC.

Para obter uma lista de cenários envolvendo instâncias de banco de dados do Amazon RDS em uma VPC e fora de uma VPC, consulte Cenários para acessar uma instância de banco de dados em uma VPC.

Para um tutorial que mostra como criar uma VPC que você pode usar com um cenário comum do Amazon RDS, consulte Tutorial: criar uma Amazon VPC para uso com uma instância de banco de dados.

Para aprender a trabalhar com instâncias de banco de dados dentro de uma VPC, consulte o seguinte:

Trabalhar com uma instância de banco de dados em uma VPC

Veja a seguir algumas dicas sobre como trabalhar com uma instância de banco de dados em uma VPC:

  • A VPC deve ter pelo menos duas sub-redes. Essas sub-redes devem estar em duas zonas de disponibilidade diferentes na região da AWS onde você deseja implantar a instância de banco de dados. Uma sub-rede é um segmento do intervalo de endereços IP de uma VPC que você pode especificar e que permite agrupar instâncias com base nas suas necessidades de segurança e operacionais.

    nota

    O grupo de sub-redes de banco de dados para uma região local pode ter somente uma sub-rede.

  • Se quiser que sua instância de banco de dados na VPC seja publicamente acessível, você deverá habilitar os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS).

  • Sua VPC deve ter um grupo de sub-redes de banco de dados que você criou (para obter mais informações, consulte a próxima seção). Crie um grupo de sub-redes de banco de dados especificando as sub-redes criadas. O Amazon RDS usa esse grupo de sub-redes de banco de dados e sua zona de disponibilidade preferencial para escolher uma sub-rede e um endereço IP dentro dessa sub-rede para atribuir à sua instância de banco de dados.

  • Sua VPC deve ter um grupo de segurança de VPC que permita o acesso à instância de banco de dados.

  • Os blocos CIDR em cada uma das suas sub-redes devem ser suficientemente grandes para acomodar endereços IP sobressalentes para o Amazon RDS usar durante atividades de manutenção, incluindo failover e escalabilidade de computação.

  • Uma VPC pode ter um atributo instance tenancy (locação da instância) com o valor default (padrão) ou dedicated (dedicado). Todas as VPC padrão têm o atributo instance tenancy definido como default, e uma VPC padrão pode oferecer suporte a qualquer classe de instância de banco de dados.

    Se você optar por ter sua instância de banco de dados em uma VPC dedicada em que o atributo instance tenancy esteja definido como dedicated, a classe da sua instância de banco de dados deverá ser um dos tipos aprovados de instância dedicada do Amazon EC2. Por exemplo, a instância dedicada m3.medium do EC2 corresponde à classe de instância de banco de dados db.m3.medium. Para obter informações sobre a locação de instâncias em uma VPC, consulte Instâncias dedicadas no Guia do usuário do Amazon Elastic Compute Cloud.

    Para obter mais informações sobre os tipos de instância que podem estar em uma instância dedicada, consulte Instâncias dedicadas do Amazon EC2, na página de definição de preços do EC2.

    nota

    Quando você define o atributo de locação de instâncias como dedicado para uma instância de banco de dados do Amazon RDS, ele não garante que essa instância será executada em um host dedicado.

  • Quando um grupo de opções é atribuído a uma instância de banco de dados, ele também é vinculado à plataforma com suporte na qual a instância de banco de dados se encontra, VPC ou EC2-Classic (não VPC). Além disso, se uma instância de banco de dados estiver em uma VPC, o grupo de opções associado à instância de banco de dados estará vinculado a essa VPC. Esse vínculo significa que você não pode usar o grupo de opções atribuído a uma instância de banco de dados se tentar restaurar essa instância de banco de dados em uma VPC diferente ou para uma plataforma diferente.

  • Se você restaurar uma instância de banco de dados em uma VPC diferente ou em uma plataforma diferente, ou se atribuir o grupo de opções padrão à instância de banco de dados, atribua um grupo de opções que esteja vinculado a essa VPC ou plataforma ou crie um novo grupo de opções e atribua-o à instância de banco de dados. Com opções persistentes ou permanentes, como o Oracle TDE, você deve criar um novo grupo de opções que inclua a opção persistente ou permanente ao restaurar uma instância de banco de dados em uma VPC diferente.

Trabalhar com grupos de sub-redes de banco de dados

Sub-redes são segmentos do intervalo de endereços IP de uma VPC que você designa para agrupar seus recursos com base em necessidades de segurança e operacionais. Um grupo de sub-redes de banco de dados é uma coleção de sub-redes (geralmente privadas) que você cria em uma VPC e designa para suas instâncias de banco de dados. Um grupo de sub-redes de banco de dados permite que você especifique uma VPC particular ao criar instâncias de banco de dados usando a CLI ou a API; se você usar o console, basta escolher a VPC e as sub-redes que deseja usar.

Cada grupo de sub-redes de banco de dados deve ter sub-redes em pelo menos duas zonas de disponibilidade em uma determinada região da AWS. Ao criar uma instância de banco de dados na VPC, escolha um grupo de sub-redes de banco de dados. O Amazon RDS usa esse grupo de sub-redes de banco de dados e sua zona de disponibilidade preferencial para escolher uma sub-rede e um endereço IP dentro dessa sub-rede para associar à instância de banco de dados. Se a instância de banco de dados primária de uma implantação Multi-AZ falhar, o Amazon RDS poderá promover a espera correspondente e, posteriormente, criar uma nova espera usando um endereço IP da sub-rede em uma das outras zonas de disponibilidade.

As sub-redes em um grupo de sub-redes de banco de dados são públicas ou privadas. Elas não podem ser uma mistura de sub-redes públicas e privadas. As sub-redes são públicas ou privadas, dependendo da configuração definida para as listas de controle de acesso à rede (ACLs de rede) e tabelas de roteamento.

nota

O grupo de sub-redes de banco de dados para uma região local pode ter somente uma sub-rede.

Quando o Amazon RDS cria uma instância de banco de dados em uma VPC, ele atribui uma interface de rede à sua instância de banco de dados usando um endereço IP do seu grupo de sub-redes de banco de dados. No entanto, recomendamos que você use o nome DNS para se conectar à sua instância de banco de dados, pois o endereço IP subjacente muda durante o failover.

nota

Para cada instância de banco de dados executada em uma VPC, é necessário reservar pelo menos um endereço em cada sub-rede no grupo de sub-redes de banco de dados para uso pelo Amazon RDS para ações de recuperação.

Ocultar uma instância de banco de dados em uma VPC da Internet

Um cenário comum do Amazon RDS é ter uma VPC na qual existe uma instância do EC2 com um aplicativo Web voltado para o público e uma instância de banco de dados com um banco de dados não publicamente acessível. Por exemplo, você pode criar uma VPC que tenha uma sub-rede pública e uma sub-rede privada. As instâncias do Amazon EC2 que funcionam como servidores Web podem ser implantadas na sub-rede pública, e as instâncias de banco de dados são implantadas na sub-rede privada. Nessa implantação, apenas os servidores Web têm acesso às instâncias de banco de dados. Para uma ilustração desse cenário, consulte Uma instância de banco de dados em uma VPC acessada por uma instância do EC2 na mesma VPC.

Quando você executa uma instância de banco de dados dentro de uma VPC, a instância de banco de dados tem um endereço IP privado para tráfego dentro da VPC. Esse endereço IP privado não é acessível publicamente. É possível usar a opção de acesso público para designar se a instância de banco de dados também deve ter um endereço IP público além do endereço IP privado. Se a instância de banco de dados for designada como acessível publicamente, o endpoint DNS resolverá para o endereço IP privado de dentro da VPC da instância de banco de dados e para o endereço IP público de fora da VPC da instância de banco de dados. O acesso à instância de banco de dados é controlado pelo grupo de segurança que ela usa, e esse acesso público não será permitido se o grupo de segurança atribuído à instância de banco de dados não o permitir.

É possível modificar uma instância de banco de dados para ativar ou desativar a acessibilidade pública modificando o parâmetro Public access (Acesso público). Para obter mais informações, consulte a seção sobre modificação para o seu mecanismo de banco de dados.

A ilustração a seguir mostra a opção Public access (Acesso público) na seção Additional connectivity configuration (Configuração de conectividade adicional). Para definir a opção, abra a seção Additional connectivity configuration (Configuração de conectividade adicional) na seção Connectivity (Conectividade).

Para obter informações sobre como modificar uma instância de banco de dados para definir a opção de Public access (Acesso público), consulte Modificar uma instância de banco de dados do Amazon RDS.

nota

Se sua instância de banco de dados não estiver acessível publicamente, também será possível usar uma conexão VPN site a site da AWS ou uma conexão do AWS Direct Connect para acessá-la de uma rede privada. Para obter mais informações, consulte Privacidade do tráfego entre redes.

Criar uma instância de banco de dados em uma VPC

Os procedimentos a seguir ajudam você a criar uma instância de banco de dados em uma VPC. Se a sua conta tiver uma VPC padrão, você poderá começar com a etapa 3, pois o grupo de sub-redes de banco de dados já foi criado para você. Se a sua conta da AWS não tiver uma VPC padrão, ou se quiser criar uma VPC adicional, você poderá criar uma nova VPC.

Se você não sabe se tem uma VPC padrão, consulte Determinar se você está usando a plataforma EC2-VPC ou EC2-Classic.

nota

Se você deseja que sua instância de banco de dados na VPC seja publicamente acessível, atualize as informações de DNS da VPC, habilitando os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS). Para obter informações sobre como atualizar as informações de DNS para uma instância de VPC, consulte Atualização do suporte a DNS para sua VPC.

Siga estas etapas para criar uma instância de banco de dados em uma VPC:

Etapa 1: Criar uma VPC

Se a sua conta da AWS não tiver uma VPC padrão ou se quiser criar uma VPC adicional, siga as instruções para criar uma nova VPC. Consulte Criar uma VPC com sub-redes públicas e privadas ou Etapa 1: Criar uma VPC na documentação da Amazon VPC.

Etapa 2: Adicionar sub-redes à VPC

Depois de criar uma VPC, você precisa criar sub-redes em pelo menos duas zonas de disponibilidade. Você usará essas sub-redes ao criar um grupo de sub-redes de banco de dados. Se você tiver uma VPC padrão, uma sub-rede será criada automaticamente para você em cada zona de disponibilidade na região da AWS.

Para obter instruções sobre como criar sub-redes em uma VPC, consulte Criar uma VPC com sub-redes públicas e privadas.

Etapa 3: Criar um grupo de sub-redes de banco de dados

Um grupo de sub-redes de banco de dados é uma coleção de sub-redes (geralmente privadas) que você cria para uma VPC e designa às suas instâncias de banco de dados. Um grupo de sub-redes de banco de dados permite que você especifique uma VPC particular ao criar instâncias de banco de dados usando a CLI ou a API. Se você usar o console, poderá escolher somente a VPC e as sub-redes que deseja usar. Cada grupo de sub-redes de banco de dados deve ter pelo menos uma sub-rede em pelo menos duas zonas de disponibilidade na região da AWS.

Como melhor prática, cada grupo de sub-redes de banco de dados deve ter no mínimo uma sub-rede para cada zona de disponibilidade de uma região da AWS. Para implantações Multi-AZ, definir uma sub-rede para todas as zonas de disponibilidade em uma região da AWS permite que o Amazon RDS crie uma nova réplica em espera em outra zona de disponibilidade, se necessário. Você pode seguir essa melhor prática mesmo para implantações Single-AZ, pois poderá convertê-las em implantações Multi-AZ no futuro.

Para que uma instância de banco de dados seja acessível publicamente, as sub-redes no grupo de sub-redes de banco de dados devem ter um gateway da Internet. Para obter mais informações sobre gateways da Internet para sub-redes, acesse Gateways da Internet na documentação da Amazon VPC.

nota

O grupo de sub-redes de banco de dados para uma região local pode ter somente uma sub-rede.

Ao criar uma instância de banco de dados em uma VPC, é necessário escolher um grupo de sub-redes de banco de dados. O Amazon RDS usa esse grupo de sub-redes de banco de dados e sua zona de disponibilidade preferida para escolher uma sub-rede e um endereço IP nessa sub-rede. O Amazon RDS cria e associa uma interface de rede elástica à instância de banco de dados com esse endereço IP. Para implantações Multi-AZ, a definição de uma sub-rede para duas ou mais zonas de disponibilidade em uma região da AWS permite que o Amazon RDS crie uma nova espera em outra zona de disponibilidade, se necessário. Você precisa fazer isso mesmo para implementações Single-AZ, caso queira convertê-las em implementações Multi-AZ em algum momento.

Nesta etapa, você criará um grupo de sub-redes de banco de dados e adicionará as sub-redes criadas à sua VPC.

Para criar um grupo de sub-redes de banco de dados

  1. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  2. No painel de navegação, escolha Subnet groups (Grupos de sub-redes).

  3. Escolha Create DB Subnet Group (Criar grupo de sub-redes de banco de dados).

  4. Em Name (Nome), digite o nome do grupo de sub-redes de banco de dados.

  5. Em Description (Descrição), digite uma descrição para o grupo de sub-redes de banco de dados.

  6. Em VPC, escolha a VPC criada anteriormente.

  7. Na seção Adicionar sub-redes, escolha as zonas de disponibilidade que incluem as sub-redes de Zonas de disponibilidade e escolha as sub-redes de Sub-redes.

    
							Botão Create DB Subnet Group (Criar grupo de sub-redes de banco de dados)
    nota

    Se tiver habilitado uma zona local, você poderá escolher um grupo de zonas de disponibilidade na página Create DB subnet group (Criar grupo de sub-redes de banco de dados). Nesse caso, escolha o Availability Zone group (Grupo de zonas de disponibilidade), Availability Zones (Zonas de disponibilidade) e Subnets (Sub-redes).

  8. Escolha Criar.

    Seu novo grupo aparece na lista de grupos de sub-redes de banco de dados no console do RDS. Você pode selecionar o grupo de sub-redes de banco de dados para obter detalhes, incluindo todas as sub-redes associadas a esse grupo, no painel de detalhes, na parte inferior da janela.

Etapa 4: Criar um grupo de segurança da VPC

Antes de criar sua instância de banco de dados, você deve criar um grupo de segurança da VPC para associar a essa instância. Para obter instruções sobre como criar um grupo de segurança para sua instância de banco de dados, consulte Criar um grupo de segurança da VPC para uma instância de banco de dados privada ou Grupos de segurança para sua VPC, na documentação da Amazon VPC.

Etapa 5: Criar uma instância de banco de dados na VPC

Nessa etapa, você cria uma instância de banco de dados e usa o nome da VPC, o grupo de sub-redes de banco de dados e o grupo de segurança de VPC que você criou nas etapas anteriores.

nota

Se quiser que sua instância de banco de dados na VPC seja publicamente acessível, você deverá habilitar os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS). Para obter informações sobre como atualizar as informações de DNS para uma instância de VPC, consulte Atualização do suporte a DNS para sua VPC.

Para obter detalhes sobre como criar uma instância de banco de dados, consulte Criar uma instância de banco de dados do Amazon RDS.

Quando solicitado na seção Network & Security (Rede e segurança), insira o nome da VPC, o grupo de sub-redes de banco de dados e o grupo de segurança da VPC que você criou nas etapas anteriores.