教學：將 Amazon EC2 執行個體 Connect 到 Amazon RDS 資料庫

教學課程目標

本教學的目標是學習如何使用設定 Amazon EC2 執行個體和 Amazon RDS 資料庫之間的安全連線 AWS Management Console。

設定連線有不同的選項。在本教學課程中，我們將探討以下三個選項：

• 選項 1：使用EC2主控台自動將執行個體連線至資RDS料庫

  使用EC2主控台中的自動連線功能，自動設定EC2執行個體與RDS資料庫之間的連線，以允許EC2執行個體和RDS資料庫之間的流量。

• 選項 2：使用RDS主控台自動將執行個體連線至資RDS料庫

  使用RDS主控台中的自動連線功能，自動設定EC2執行個體與RDS資料庫之間的連線，以允許EC2執行個體和RDS資料庫之間的流量。

• 選項 3：建立安全群組，以手動方式將執行處理連線至RDS資料庫

  透過手動設定並指派安全群組，以重現選項 1 和選項 2 中自動連線功能自動建立的組態，設定EC2執行個體與RDS資料庫之間的連線。

Context

為什麼您想要設定EC2執行個體和RDS資料庫之間的連線，讓我們考慮下列情況：您的網站提供表單給使用者填寫。您需要在資料庫中擷取表單資料。您可以在設定為 Web 伺服器的EC2執行個體上託管您的網站，也可以擷取資料RDS庫中的表單資料。EC2實例和數據RDS庫需要相互連接，以便表單數據可以從EC2實例到數據RDS庫。本教學課程會說明如何設定該連線。請注意，這只是連接EC2執行個體和RDS資料庫的使用案例的其中一個範例。

架構

下圖展示了所建立的資源，以及完成本教學課程中的所有步驟後產生的架構組態。

此圖展示了您將建立的下列資源：

• 您將在相同的 AWS 區域、VPC和可用區域中建立EC2執行個體和RDS資料庫。

• 您將在公有子網路中建立EC2執行個體。

• 您將在私有子網路中建立RDS資料庫。

  當您使用RDS主控台建立RDS資料庫並自動連線EC2執行個體時，會自動選取資料庫的資料庫子網路群組和公用存取設定。VPC資RDS料庫會自動建立在與EC2執行個體相同VPC的私有子網路中。

• 網際網路使用者可以使用SSH或HTTP/HTTPS透過網際網路閘道連線至EC2執行個體。

• 網際網路使用者無法直接連線至RDS資料庫；只有EC2執行個體會連線至資RDS料庫。

• 當您使用自動連線功能允許EC2執行個體和RDS資料庫之間的流量時，系統會自動建立並新增下列安全群組：

  • 安全性群組 ec2-RDS-x已建立並新增至EC2執行個體。它有一個引用 rds-ec2-的出站規則x安全群組做為其目的地。這允許來自EC2實例的流量使用 rds-ec2-到達RDS數據庫x安全性群組。

  • 安全性群組 rds-ec2-x已建立並新增至資RDS料庫。它有一個引用 ec2-rds-的入站規則x安全群組做為其來源。這允許來自帶有 ec2-EC2 rds-執行個體的流量x安全組到達數RDS據庫。

  透過使用不同的安全性群組 (一個用於EC2執行個體，另一個用於RDS資料庫)，您可以更好地控制執行個體和資料庫的安全性。如果您要在執行個體和資料庫上使用相同的安全群組，然後修改安全群組以適應資料庫，則修改會同時影響執行個體和資料庫。換句話說，如果您使用一個安全群組，您可能會無意中修改資源 (執行個體或資料庫) 的安全性，因為您忘記了安全群組已連接至該資源。

  自動建立的安全群組也會遵守最低權限，因為其只允許透過建立特定於工作負載的安全群組對，在資料庫連接埠上進行此工作負載的相互連線。

考量事項

完成本教學課程中的任務後，請考量以下內容：

• 兩個主控台 - 在本教學課程中，您將使用下列兩個主控台：

  • Amazon EC2 主控台 — 您將使用EC2主控台啟動執行個體、自動將EC2執行個體連線到RDS資料庫，以及使用手動選項，透過建立安全群組來設定連線。

  • Amazon RDS 主控台 — 您將使用RDS主控台建立RDS資料庫，並自動將EC2執行個體連線到RDS資料庫。

• One VPC — 若要使用自動連線功能，您的EC2執行個體和RDS資料庫必須相同VPC。

  如果您要手動設定EC2執行個體與RDS資料庫之間的連線，您可以在其中一個執行個體啟動EC2執行個VPC體，而在另一個執行個體啟動RDS資料庫VPC；不過，您需要設定額外的路由和設VPC定。這是本教學課程中涵蓋的情況。

• One AWS 區域 — EC2 執行個體和RDS資料庫必須位於相同的區域。

• 兩個安全群組 — EC2 執行個體與RDS資料庫之間的連線是由兩個安全性群組設定的：EC2執行個體的安全性群組，以及資料庫的安全性群組。RDS

  當您使用EC2主控台或RDS主控台中的自動連線功能設定連線時 (本教學課程的選項 1 和選項 2)，安全性群組會自動建立並指派給EC2執行個體和RDS資料庫。

  如果您不使用自動連線功能，則需要手動建立並指派安全群組。您可以在本教學課程的選項 3 中執行此操作。

教學課程所需時間

30 分鐘

您可以一次性完成整個教學課程，也可以一次完成一個任務。

成本

完成此教學課程後，您可能會為所建立的 AWS 資源產生費用。

您可以在免費方案EC2下使用 Amazon，前提是您的 AWS 帳戶少於 12 個月，並且您可以根據免費方案要求設定資源。

如果您的EC2執行個體和資料RDS庫位於不同的可用區域，則會產生資料傳輸費用。為避免產生這些費用，EC2執行個體和RDS資料庫必須位於相同的可用區域中。如需資料傳輸費用的相關資訊，請參閱 Amazon EC2 隨需定價頁面上的資料傳輸。

若要避免在完成教學課程後產生費用，請務必刪除不再需要的資源。如需刪除資源的步驟，請參閱 工作 4 (選擇性)：清除。