從 Amazon 外部連接到 Amazon DocumentDB 集群 VPC

Amazon DocumentDB（與 MongoDB 兼容性）集群部署在 Amazon Virtual Private Cloud（Amazon）中。VPC它們可以通過 Amazon EC2 實例或在同一 Amazon 中部署的其他 AWS 服務直接訪問VPC。此外，Amazon DocumentDB 也可以透VPC過對等互連，由相同或其他區域中不同區域VPCs中不同的EC2執行個體 AWS 區域 或其他 AWS 服務存取。

但是，假設您的使用案例需要您 (或您的應用程式) 從叢集外部存取 Amazon DocumentDB 資源。VPC在這種情況下，您可以使用SSH通道 (也稱為連接埠轉送) 來存取 Amazon DocumentDB 資源。

深入討論SSH隧道已超出本主題的範圍。如需有關SSH隧道的詳細資訊，請參閱下列內容：

• SSH隧道

• SSH端口轉發示例，特別是本地轉發部分

要創建SSH隧道，您需要一個 Amazon EC2 實例在與 Amazon DocumentDB 集群相VPC同的亞馬遜中運行。您可以在叢集中使用現有的EC2執行個體，也可VPC以建立一個執行個體。如需詳細資訊，請參閱適用您作業系統的主題：

• 開始使用 Amazon EC2 Linux 執行個體

• 開始使用 Amazon EC2 視窗執行個體

您通常可以使用下列命令連線至EC2執行個體。

ssh -i "ec2Access.pem" ubuntu@ec2-34-229-221-164.compute-1.amazonaws.com

如果是這樣，您可以在本機電腦上執行下列命令，以設定sample-cluster.node.us-east-1.docdb.amazonaws.com通往 Amazon DocumentDB 叢集的通SSH道。-L 旗標用於轉送本機連接埠。使用SSH通道時，我們建議您使用叢集端點連接到叢集，並且不要嘗試以複本集模式 (即在連接字串replicaSet=rs0中指定) 進行連線，因為這會導致錯誤。

ssh -i "ec2Access.pem" -L 27017:sample-cluster.node.us-east-1.docdb.amazonaws.com:27017 ubuntu@ec2-34-229-221-164.compute-1.amazonaws.com -N 

建立SSH通道之後，您發出的任何命令localhost:27017都會轉送到在 Amazon 中sample-cluster執行的 Amazon DocumentDB 叢集。VPC如果您的 Amazon DocumentDB 叢集上已啟用傳輸層安全性 (TLS)，您需要從中下載 Amazon DocumentDB 的公開金鑰。https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem 下列作業會下載此檔案：

wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem

注意

TLS根據預設，新的 Amazon DocumentDB 叢集已啟用。不過，您可以停用它。如需詳細資訊，請參閱管理 Amazon DocumentDB 叢集設定 TLS。

若要從 Amazon 外部連接到您的 Amazon DocumentDB 叢集VPC，請使用下列命令。

mongo --sslAllowInvalidHostnames --ssl --sslCAFile global-bundle.pem --username <yourUsername> --password <yourPassword>