Amazon Aurora
Aurora 用户指南

为 Amazon Aurora 设置环境

首次使用 Amazon Aurora 前,请完成以下任务:

注册 AWS

当您注册 Amazon RDS (AWS) 时,您的 AWS 账户会自动注册 AWS 中的所有服务,包括 Amazon RDS。您只需为使用的服务付费。

借助 Amazon RDS,您仅需为实际使用的资源付费。您创建的 Amazon RDS 数据库集群处于活动状态(不在沙盒中运行)。您需要为该集群支付标准 Amazon RDS 使用费,直到您终止该集群。有关 Amazon RDS 使用费率的更多信息,请参阅 Amazon RDS 产品页面。如果您是新的 AWS 客户,则可以开始免费使用 Amazon RDS;有关更多信息,请参阅 AWS 免费使用套餐

如果您已有一个 AWS 账户,请跳到下一个任务。如果您还没有 AWS 账户,请使用以下步骤创建。

如何创建 AWS 账户

  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

请记下您的 AWS 账号,因为在下一个任务中您会用到它。

创建 IAM 用户

AWS 中的服务 (例如 Amazon RDS) 要求您在访问时提供凭证,以便服务可以确定您是否有权限访问其资源。控制台要求您的密码。您可以为您的 AWS 账户创建访问密钥以访问命令行界面或 API。不过,我们不建议您使用 AWS 账户的证书访问 AWS,而建议您使用 AWS Identity and Access Management (IAM)。创建 IAM 用户,然后将该用户添加到具有管理权限的 IAM 组或授予此用户管理权限。然后您就可以使用特别的 URL 和 IAM 用户的凭证访问 AWS。

如果您已注册 AWS 但尚未为自己创建一个 IAM 用户,则可以使用 IAM 控制台自行创建。

自行创建管理员用户并将该用户添加到管理员组(控制台)

  1. 使用 AWS 账户电子邮件地址和密码,以 AWS 账户根用户 身份登录到 IAM 控制台 (https://console.aws.amazon.com/iam/)。

    注意

    强烈建议您遵守以下使用 Administrator IAM 用户的最佳实践,妥善保存根用户凭证。只在执行少数账户和服务管理任务时才作为根用户登录。

  2. 在导航窗格中,选择用户,然后选择添加用户

  3. 对于 User name (用户名),输入 Administrator

  4. 选中 AWS 管理控制台 访问 旁边的复选框。然后选择自定义密码,并在文本框中输入新密码。

  5. (可选)默认情况下,AWS 要求新用户在首次登录时创建新密码。您可以清除 User must create a new password at next sign-in (用户必须在下次登录时创建新密码) 旁边的复选框以允许新用户在登录后重置其密码。

  6. 选择下一步: 权限

  7. 设置权限下,选择将用户添加到组

  8. 选择创建组

  9. Create group (创建组) 对话框中,对于 Group name (组名称),输入 Administrators

  10. 选择 Filter policies (筛选策略),然后选择 AWS managed-job function (AWS 托管的工作职能) 以筛选表内容。

  11. 在策略列表中,选中 AdministratorAccess 的复选框。然后选择 Create group (创建组)

    注意

    您必须先激活 IAM 用户和角色对账单的访问权限,然后才能使用 AdministratorAccess 权限访问 AWS Billing and Cost Management 控制台。为此,请按照“向账单控制台委派访问权限”教程第 1 步中的说明进行操作。

  12. 返回到组列表中,选中您的新组所对应的复选框。如有必要,选择 Refresh 以在列表中查看该组。

  13. 选择下一步: 标签

  14. (可选)通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 IAM 用户指南 中的标记 IAM 实体

  15. 选择 Next: Review (下一步: 审核) 以查看要添加到新用户的组成员资格的列表。如果您已准备好继续,请选择 Create user

您可使用此相同的流程创建更多的组和用户,并允许您的用户访问 AWS 账户资源。要了解有关使用策略限制用户对特定 AWS 资源的权限的信息,请参阅访问管理示例策略

要以该新 IAM 用户的身份登录,请从 AWS 控制台退出,然后使用以下 URL,其中 your_aws_account_id 是您的不带连字符的 AWS 账户(例如,如果您的 AWS 账户是 1234-5678-9012,则您的 AWS 账户 ID 是 123456789012):

https://your_aws_account_id.signin.aws.amazon.com/console/

输入您刚创建的 IAM 用户名和密码。登录后,导航栏显示 your_user_name @ your_aws_account_id

如果您不希望您的登录页面 URL 包含 AWS 账户 ID,可以创建账户别名。从 IAM 控制面板上,选择 Customize (自定义),然后输入别名,如您的公司名称。要在创建账户别名后登录,请使用以下 URL:

https://your_account_alias.signin.aws.amazon.com/console/

要为您的账户验证 IAM 用户的登录链接,请打开 IAM 控制台并在控制面板的 AWS Account Alias 下进行检查。

确定要求

Aurora 的基本构建基块是数据库集群。一个或多个数据库实例可以属于一个数据库集群。数据库集群提供了称为集群终端节点的网络地址。每次您的应用程序需要访问在数据库集群中创建的数据库时,它们将连接到该数据库集群公开的集群终端节点。在创建数据库集群时指定的信息控制各种配置元素,如内存、数据库引擎和版本、网络配置、安全性以及维护时段。

在创建安全组和数据库集群之前,您必须知道数据库集群和网络需求。例如,必须知道以下情况:

  • 应用程序或服务的内存和处理器要求是什么? 在确定用于创建数据库集群的数据库实例类时,将会使用这些设置。有关数据库实例类的规范,请参阅 选择数据库实例类

  • 您的数据库集群位于 Virtual Private Cloud (VPC) 中。必须配置安全组规则以连接到数据库集群。下面的列表说明了每个 VPC 选项的规则:

    • 默认 VPC — 如果您的 AWS 账户在该区域中具有一个默认 VPC,将配置该 VPC 以支持数据库集群。如果您在创建数据库集群时指定默认 VPC:

      • 您必须创建一个 VPC 安全组,以授权建立从应用程序或服务到具有该数据库的 Aurora 数据库集群的连接。请注意,您必须使用 Amazon EC2 API 或 VPC 控制台中的安全组选项创建 VPC 安全组。有关信息,请参阅 步骤 4:创建 VPC 安全组

      • 您必须指定默认数据库子网组。如果这是您在区域中创建的第一个数据库集群,Amazon RDS 将在创建数据库集群时创建默认数据库子网组。

    • 用户定义的 VPC — 如果您希望在创建数据库集群时指定用户定义的 VPC:

      • 您必须创建一个 VPC 安全组,以授权建立从应用程序或服务到具有该数据库的 Aurora 数据库集群的连接。请注意,您必须使用 Amazon EC2 API 或 VPC 控制台中的安全组选项创建 VPC 安全组。有关信息,请参阅步骤 4:创建 VPC 安全组

      • 该 VPC 必须满足特定要求才能托管数据库集群,例如,至少具有两个子网,每个子网位于单独的可用区中。有关信息,请参阅 Amazon Virtual Private Cloud VPC 和 Amazon Aurora

      • 您必须指定一个数据库子网组,以定义数据库集群可以使用该 VPC 中的哪些子网。有关信息,请参阅 在 VPC 中使用数据库实例 中的“数据库子网组”部分。

  • 是否需要故障转移支持? 在 Aurora 上,多可用区部署创建一个主实例和一些 Aurora 副本。您可以将主实例和 Aurora 副本配置为位于不同的可用区以提供故障转移支持。我们建议将多可用区部署用于生产工作负载以保持高可用性。对于开发和测试用途,您可以使用非多可用区部署。有关更多信息,请参阅Aurora 的高可用性

  • 您的 AWS 账户是否具有相应策略来授予执行 Amazon RDS 操作所需的权限? 如要使用 IAM 证书连接到 AWS,您的 IAM 账户必须拥有 IAM 政策来授予执行 Amazon RDS 操作所需的权限。有关更多信息,请参阅 Amazon Aurora 中的 Identity and Access Management

  • 您的数据库将要侦听哪个 TCP/IP 端口? 有些公司的防火墙可能会阻止与您的数据库引擎的默认端口进行连接。如果您的公司防火墙阻止使用默认端口,请为新数据库集群选择其他端口。请注意,在创建侦听指定端口的数据库集群后,您可以修改该数据库集群以更改端口。

  • 您希望您的数据库位于哪个区域内? 通过让数据库紧邻应用程序或 Web 服务,可以减小网络延迟。

在了解创建安全组和数据库集群所需的信息后,请继续执行下一步。

创建安全组以提供 VPC 中的数据库集群的访问权限

您的数据库集群很可能是在 VPC 中创建的。安全组提供了 VPC 中的数据库集群的访问权限。它们充当关联的数据库集群的防火墙,以在集群级别控制入站和出站流量。默认情况下,将创建具有防火墙和默认安全组的数据库集群以禁止访问数据库集群。因此,您必须在安全组中添加规则以允许连接到数据库集群。使用在上一步中确定的网络和配置信息创建规则以允许访问数据库集群。

您需要创建的安全组是 VPC 安全组,除非您的旧数据库集群没有位于需要数据库安全组 的 VPC 中。如果您在 2013 年 3 月以后创建 AWS 账户,最好使用默认 VPC 并在该 VPC 中创建数据库集群。VPC 中的数据库集群要求在 VPC 安全组中添加规则以允许访问该集群。

例如,如果您的应用程序将访问 VPC 中的数据库集群上的数据库,您必须添加自定义 TCP 规则以指定该应用程序用于访问数据库的端口范围和 IP 地址。如果具有位于 Amazon EC2 集群上的应用程序,您可以使用为 Amazon EC2 集群设置的 VPC 或 EC2 安全组。

创建 VPC 安全组

  1. 登录 AWS 管理控制台 并通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc

  2. 在 AWS 管理控制台 右上角,选择要创建 VPC 安全组和数据库集群的区域。该区域的 Amazon VPC 资源列表应显示至少有一个 VPC 和多个子网。如果没有显示,则说明您在该区域中没有默认 VPC。

  3. 在导航窗格中,选择 Security Groups

  4. 选择 Create Security Group

  5. Create Security Group 窗口中,键入安全组的 Name tagGroup nameDescription。选择要在其中创建数据库集群的 VPC。选择 Yes, Create

  6. 所创建的 VPC 安全组应仍处于选中状态。控制台窗口底部的详细信息窗格显示了安全组的详细信息以及用于使用入站和出站规则的选项卡。选择入站规则选项卡。

  7. Inbound Rules 选项卡上,选择 Edit。从类型列表中选择自定义 TCP 规则。在端口范围文本框中键入用于数据库集群的端口值,然后键入从中访问集群的 IP 地址范围(CIDR 值),或在文本框中选择安全组名称。

  8. 如果需要添加更多 IP 地址或不同端口范围,请选择再添加一条规则

  9. 如果需要,您可以使用出站规则选项卡为出站流量添加规则。

  10. 在完成后,在每个具有更改的选项卡上选择保存

    在创建数据库实例时,您将使用刚创建的 VPC 安全组作为数据库集群的安全组。

    最后是有关 VPC 子网的简短说明:如果您使用默认 VPC,则已为您创建横跨所有 VPC 子网的默认子网组。在创建数据库集群时,您可以选择默认 VPC 并为数据库子网组选择默认

    在完成所需的设置后,您可以使用这些设置和创建的安全组启动数据库集群。有关创建数据库集群的信息,请参阅下表中的相关文档:

    在设置后,您可以创建测试 Amazon Aurora 数据库集群。有关说明,请参阅创建数据库集群并连接到 Aurora MySQL 数据库集群上的数据库