# 部署集群
创建新 DAX 集群所需的配置不仅仅是 DynamoDB 所需的配置。这些配置特别针对网络设置,因为 DAX 是基于 [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 的。这使您能够完全控制自己的虚拟网络环境,包括资源放置、连接和安全。本节介绍创建集群期间所需设置的最佳实践。
有关选择集群节点的更多信息,请参阅[设置 DAX 集群的容量](dax-cluster-sizing.md)。
**Topics**
+ [配置网络](#dax-cluster-config-network)
+ [配置安全性](#dax-cluster-config-security)
+ [参数组](#dax-cluster-parameter-group)
+ [维护时段](#dax-cluster-maintenance-window)
## 配置网络
DAX 使用[子网组](DAX.concepts.cluster.md#DAX.concepts.cluster.security)来确定它可以在哪些可用区中运行节点,以及可以使用子网中的哪些 IP 地址。为了最大限度减少应用程序和 DAX 之间的延迟,您的应用程序服务器和 DAX 集群的子网及可用区应相同。
建议将 DAX 节点分布在多个可用区中。可以使用默认选项“自动分配”执行此操作。
有关设置 VPC 的最佳实践,请参阅《Amazon VPC 用户指南》**中的[开始使用 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html)。
## 配置安全性
本节讨论应为使用 DAX 的应用程序实施的安全措施。本节还简要讨论了 DAX 为数据加密提供的支持。
**IAM**
DAX 和 DynamoDB 具有单独的[访问控制](DAX.access-control.md)机制。DAX 需要 IAM 角色才能访问您的 DynamoDB 表。此角色应遵循最低权限原则,仅授予对特定表和 DynamoDB 操作(例如 [GetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetItem.html) 和 [PutItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_PutItem.html))的访问权限。有关 DAX 提供的访问控制机制的更多信息,请参阅 [DAX 访问控制](DAX.access-control.md)。
**加密**
创建 DAX 集群时,可以配置静态加密和传输中加密。此设置默认处于启用状态。建议保留默认加密设置,除非业务要求禁用默认设置。有关更多信息,请参阅 [DAX 静态加密](DAXEncryptionAtRest.md) 和 [DAX 传输加密](DAXEncryptionInTransit.md)。
## 参数组
DAX 在集群中的每个节点上应用一组名为[参数组](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_dax_ParameterGroup.html)的配置。可以在创建集群后更改此配置。
DAX 参数组包含项目缓存和查询缓存的 TTL 设置。默认 TTL 持续时间为 5 分钟。可以将 TTL 持续时间改写为任何大于或等于 1 毫秒的整数值。
在运行的 DAX 实例使用参数组时,无法修改参数组。可以在 DAX 集群停机期间更改参数组值。
## 维护时段
为了允许偶尔对节点进行软件升级和修补,可以为 DAX 集群配置每周[维护时段](DAX.concepts.cluster.md#DAX.concepts.maintenance-window)。在此时段中,DAX 会对节点执行滚动更新。在更新期间,拥有多个节点的集群不会失去集群的可用性,但是在节点返回之前,集群容量会减少。如果您的组织具有可预测的低使用率时间段,请考虑将维护时段手动设置为该时间。