View a markdown version of this page

Uso di un'istanza database in un VPC - Amazon Relational Database Service
Uso di un'istanza database in un VPCControllo della crittografiaUtilizzo di gruppi di sottoreti databaseSottoreti condiviseAssegnazione di indirizzi IPNascondere istanze database in un VPC da InternetCreazione di un'istanza database in un VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Uso di un'istanza database in un VPC

L'istanza database deve essere all'interno di un cloud privato virtuale (VPC). Un VPC è una rete virtuale logicamente isolata dalle altre reti virtuali nel cloud. AWS Amazon VPC ti consente di avviare AWS risorse, come un cluster di istanze Amazon RDS Amazon Aurora DB o un' EC2, in un VPC. Il VPC può essere un VPC predefinito fornito con l'account o uno creato da te. Tutti i VPC sono associati al tuo account. AWS

Il VPC predefinito ha tre sottoreti che è possibile usare per isolare le risorse all'interno del VPC. Il VPC predefinito ha anche un gateway Internet che può essere usato per fornire l'accesso alle risorse all'interno del VPC dall'esterno del VPC.

Per un elenco di scenari relativi alle istanze database Amazon RDS in un VPC e al suo esterno, consulta Scenari per accedere a un'istanza database in un VPC.

Nei seguenti tutorial puoi imparare a creare un VPC da usare per uno scenario Amazon RDS comune:

Uso di un'istanza database in un VPC

Ecco alcuni consigli per l'uso di un'istanza database in un VPC:

  • Il VPC deve avere almeno due sottoreti. Una sottorete è un segmento dell'intervallo di indirizzi IP di un VPC che è possibile specificare e utilizzare per raggruppare le istanze database in base alle esigenze operative e di sicurezza.

    Per le Multi-AZ distribuzioni, la definizione di una sottorete per due o più zone di disponibilità in una consente ad Regione AWS Amazon RDS di creare un nuovo standby in un'altra zona di disponibilità, se necessario. Assicurati di eseguire questa operazione anche per le Single-AZ distribuzioni, nel caso in cui prima o poi desideri convertirle in distribuzioni. Multi-AZ

    Nota

    Il gruppo di sottorete DB per un’area locale può avere solo una sottorete.

  • Se desideri che l'istanza database nel VPC sia accessibile a livello pubblico, verifica di aver attivato gli attributi VPC DNS hostnames (Nomi host DNS) e DNS resolution (Risoluzione DNS).

  • Il VPC deve includere un gruppo di sottoreti database creato da te. Puoi creare un gruppo di sottoreti di database, specificando le sottoreti create. Amazon RDS sceglie una sottorete e un indirizzo IP all'interno di quel gruppo di sottoreti da associare all'istanza database. L'istanza database utilizza la zona di disponibilità che contiene la sottorete.

  • Il VPC deve avere un gruppo di sicurezza VPC che consente l'accesso all'istanza database.

    Per ulteriori informazioni, consulta Scenari per accedere a un'istanza database in un VPC.

  • I blocchi CIDR in ciascuna delle sottoreti devono essere sufficientemente grandi da contenere gli indirizzi IP di riserva per Amazon RDS da utilizzare durante le attività di manutenzione, inclusi il failover e il dimensionamento delle risorse di calcolo. Ad esempio, un intervallo come 10.0.0. 0/24 e 10.0.1. 0/24 è in genere abbastanza grande.

  • Un VPC può avere un attributo di tenancy di istanza o predefinito o dedicato. Tutti i VPC predefiniti hanno l'attributo di tenancy di istanza impostato su predefinito e un VPC predefinito può supportare qualsiasi classe di istanza database.

    Se scegli di includere l'istanza database in un VPC dedicato in cui l'attributo di locazione dell'istanza è impostato su dedicato, la classe dell'istanza database dell'istanza database deve essere uno dei tipi di istanza dedicata Amazon EC2. Ad esempio, l'istanza dedicata EC2 r5.large corrisponde alla classe di istanza database db.r5.large. Per informazioni sulla tenancy di istanza in un VPC, consulta Istanze dedicate nella Guida per l'utente Amazon Elastic Compute Cloud.

    Per ulteriori informazioni sui tipi di istanze che possono essere in un’istanza dedicata, consulta Istanze dedicate Amazon EC2 nella pagina dei prezzi Amazon EC2.

    Nota

    Quando si imposta l'attributo di locazione dell'istanza su dedicato per un'istanza database, non è garantita l'esecuzione dell'istanza database su un host dedicato.

  • Quando un gruppo di opzioni è assegnato a un'istanza database, tale gruppo è associato al VPC dell'istanza database. Questo collegamento significa che non puoi utilizzare il gruppo di opzioni assegnato a un'istanza database se tenti di ripristinare l'istanza database in un diverso VPC.

  • Se ripristini un'istanza database in un VPC diverso, assicurati di assegnare il gruppo di opzioni predefinito all'istanza database, assegnare un gruppo di opzioni che sia collegato a quel VPC oppure creare un nuovo gruppo di opzioni e assegnarlo all'istanza database. Tieni presente che con le opzioni permanenti, come Oracle TDE, quando ripristini un'istanza database in un VPC diverso devi creare un nuovo gruppo di opzioni che includa l'opzione permanente.

Controllo della crittografia VPC

I controlli di crittografia VPC ti consentono di applicare la crittografia in transito per tutto il traffico di rete all'interno dei tuoi VPC. Utilizza il controllo della crittografia per soddisfare i requisiti di conformità normativa assicurando che solo l'hardware in grado di crittografare Nitro-based possa essere fornito nei VPC designati. Il controllo della crittografia rileva inoltre i problemi di compatibilità al momento della richiesta dell'API anziché durante il provisioning. I carichi di lavoro esistenti continuano a funzionare e vengono bloccate solo le nuove richieste incompatibili.

Imposta i controlli di crittografia VPC impostando la modalità di controllo VPC su:

  • disabilitato (impostazione predefinita)

  • monitor

  • forzato

Per verificare la modalità di controllo corrente per il tuo VPC, usa il comando Console di gestione AWS o DescribeVpcsCLI o API.

Se il tuo VPC applica la crittografia, puoi eseguire il provisioning solo di istanze DB di che supportano la crittografia in transito in quel VPC. Per ulteriori informazioni, consultare Tipi di classi di istanza database. Per informazioni sulle istanze Nitro, consulta Istanze costruite sul sistema AWS Nitro nella Guida per l'utente di Amazon EC2.

Nota

VpcEncryptionControlViolationException

Utilizzo di gruppi di sottoreti database

Le sottoreti sono segmenti di un intervallo di indirizzi IP di un VPC che si designa per raggruppare le risorse in base alle esigenze operative e di sicurezza. Un gruppo di sottoreti DB è una raccolta di sottoreti (generalmente private) creata in un VPC e che è possibile indicare per le istanze database. Utilizzando un gruppo di sottoreti DB, è possibile specificare un particolare VPC durante la creazione di cluster di DB utilizzando AWS CLI l'API o RDS. Se utilizzi la console, puoi scegliere il VPC e i gruppi di sottorete che desideri usare.

Ogni gruppo di sottoreti database deve avere almeno due zone di disponibilità in una determinata Regione AWS. Quando si crea un'istanza database in un VPC, è necessario selezionare anche un gruppo di sottoreti DB. Dal gruppo di sottoreti DB, Amazon RDS sceglie una sottorete e un indirizzo IP all'interno di essa da associare istanza database. Il database utilizza la zona di disponibilità che contiene la sottorete. RDS assegna sempre un indirizzo IP da una sottorete con spazio libero per gli indirizzi IP.

Se l'istanza DB principale di una Multi-AZ distribuzione fallisce, Amazon RDS può promuovere lo standby corrispondente e successivamente creare un nuovo standby utilizzando un indirizzo IP della sottorete in una delle altre zone di disponibilità.

Le sottoreti di un gruppo di sottoreti DB sono pubbliche o private. Le sottoreti sono pubbliche o private, a seconda della configurazione impostata per gli elenchi di controllo dell'accesso alla rete (ACL) e le tabelle di routing. Affinché un'istanza database possa essere accessibile a livello pubblico, tutte le sottoreti nel gruppo di sottoreti database devono essere pubbliche. Se una sottorete associata a un'istanza database accessibile pubblicamente cambia da pubblica a privata, ciò può avere ripercussioni sulla disponibilità dell'istanza database.

Per creare un gruppo di sottoreti DB che supporti la modalità dual-stack, assicurati che a ogni sottorete aggiunta al gruppo sia associata un blocco CIDR Internet Protocol versione 6 (IPv6). Per ulteriori informazioni, consulta Assegnazione di indirizzi IP in Amazon RDS e Migrazione a IPv6 nella Guida per l'utente di Amazon VPC.

Nota

Il gruppo di sottorete DB per un’area locale può avere solo una sottorete.

Quando Amazon RDS crea un'istanza database in un VPC, assegna un'interfaccia di rete all'istanza database usando un indirizzo IP dal gruppo di sottoreti del database. Tuttavia, consigliamo vivamente di usare il nome del sistema dei nomi di dominio (DNS) per collegare l'istanza database, perché l'indirizzo IP sottostante varia durante un failover.

Nota

Per ogni istanza database in esecuzione in un VPC, assicurati di riservare almeno un indirizzo in ogni sottorete nel gruppo di sottoreti DB per l'utilizzo da parte di Amazon RDS per le operazioni di ripristino.

Sottoreti condivise

Puoi creare un'istanza database in un VPC condiviso.

Alcune considerazioni da tenere presente durante l'utilizzo di VPC condivisi:

  • È possibile spostare un'istanza database da una sottorete VPC condivisa a una sottorete VPC non condivisa e viceversa.

  • I membri di un VPC condiviso devono creare un gruppo di sicurezza nel VPC per consentire loro di creare un'istanza database.

  • I proprietari e i membri di un VPC condiviso possono accedere al database utilizzando le query SQL. Tuttavia, solo il creatore di una risorsa può effettuare chiamate API sulla risorsa.

Assegnazione di indirizzi IP in Amazon RDS

Gli indirizzi IP permettono alle risorse nel VPC di comunicare tra loro e con le risorse su Internet. Amazon RDS supporta entrambi i protocolli di indirizzamento, IPv4 e IPv6. Per impostazione di default, Amazon RDS e Amazon VPC utilizzano il protocollo di indirizzamento IPv4. Non puoi disattivare questo comportamento. Quando crei un VPC, assicurati di specificare un blocco CIDR IPv4 (un intervallo di indirizzi IPv4 privati). Puoi scegliere di assegnare un blocco CIDR IPv6 al VPC e alle sottoreti e di assegnare gli indirizzi IPv6 di tale blocco a instanze database presenti nella sottorete.

Il supporto del protocollo IPv6 espande il numero di indirizzi IP supportati. L’utilizzo del protocollo IPv6 consente di disporre di un numero sufficiente di indirizzi per adeguarsi alla futura espansione di Internet. Le risorse RDS nuove ed esistenti possono utilizzare indirizzi IPv4 e IPv6 all'interno del VPC. La configurazione, la protezione e la traduzione del traffico di rete tra i due protocolli utilizzati in diverse parti di un’applicazione può causare sovraccarico operativo. Puoi standardizzare il protocollo IPv6 per le risorse Amazon RDS per semplificare la configurazione di rete.

Indirizzi IPv4

Quando crei un VPC, devi specificare un intervallo di indirizzi IPv4 per il VPC sotto forma di un blocco (CIDR), ad esempio 10.0.0.0/16. Un gruppo di sottoreti DB definisce l'intervallo di indirizzi IP in questo blocco CIDR che può essere usato da istanze database. Questi indirizzi IP possono essere privati o pubblici.

Un indirizzo IPv4 privato è un indirizzo IP non raggiungibile tramite Internet. Puoi utilizzare indirizzi IPv4 privati per la comunicazione tra istanze database e altre risorse, ad esempio istanze Amazon EC2, nello stesso VPC. Ogni istanza database dispone di un indirizzo IP privato per la comunicazione nel VPC.

Un indirizzo IP pubblico è un indirizzo IPv4 raggiungibile tramite Internet. Puoi utilizzare gli indirizzi pubblici per la comunicazione tra istanze database e risorse su Internet, ad esempio un client SQL. Puoi controllare se instanze database ricevono un indirizzo IP pubblico.

Amazon RDS utilizza indirizzi Public Elastic IPv4 dal pool di indirizzi IPv4 pubblico di EC2 per istanze di database accessibili al pubblico. Questi indirizzi IP sono visibili nel tuo AWS account quando usi la describe-addresses CLI, l'API o visualizzi la sezione Elastic IP (EIP) nel. Console di gestione AWS Ogni indirizzo RDS-managed IP è contrassegnato da un service_managed attributo impostato su. "rds"

Sebbene questi IP siano visibili nel tuo account, rimangono completamente gestiti da Amazon RDS e non possono essere modificati o rilasciati. Amazon RDS rilascia nuovamente gli IP nel pool di indirizzi IPv4 pubblico quando non sono più in uso.

CloudTrail registra le chiamate API relative all'EIP di RDS, ad esempio. AllocateAddress Queste chiamate API vengono richiamate dal Service Principal. rds.amazonaws.com

Nota

Gli IP assegnati da Amazon RDS non vengono conteggiati ai fini dei limiti EIP del tuo account.

Per un tutorial che mostra come creare un VPC solo con indirizzi IPv4 privati da usare con uno scenario Amazon RDS comune, consulta Tutorial: Creazione di un Amazon VPC da utilizzare con un'istanza database (solo IPv4).

Indirizzi IPv6

Puoi anche scegliere di associare un blocco CIDR IPv6 al VPC e alle sottoreti e di assegnare gli indirizzi IPv6 del blocco alle risorse presenti nel VPC. Ogni indirizzo IPv6 è univoco a livello globale.

Il blocco CIDR IPv6 per il VPC è assegnato automaticamente dal pool di indirizzi IPv6 di Amazon. Non è possibile scegliere l'intervallo in modo autonomo.

Quando ti connetti a un indirizzo IPv6, assicurati che siano soddisfatte le seguenti condizioni:

  • Il client è configurato in modo che sia consentito il traffico tra client e database su IPv6.

  • I gruppi di sicurezza RDS utilizzati dall'istanza database sono configurati correttamente in modo che sia consentito il traffico tra client e database su IPv6.

  • Lo stack del sistema operativo client consente il traffico sull'indirizzo IPv6 e i driver e le librerie del sistema operativo sono configurati per scegliere l'endpoint dell'istanza database di default corretto (IPv4 o IPv6).

Per ulteriori informazioni su IPv6, consulta l'argomento relativo all'assegnazione di indirizzi IP nella Guida per l'utente di Amazon VPC.

Dual-stack modalità

Un di istanze DB viene eseguito in modalità dual-stack quando può comunicare tramite entrambi i protocolli di indirizzamento IPv4 e IPv6. Le risorse possono quindi comunicare con il di istanze DB utilizzando IPv4, IPv6 o entrambi i protocolli. Le istanze DB private in modalità dual-stack dispongono di endpoint IPv6 che RDS limita al solo accesso VPC, garantendo che gli endpoint IPv6 rimangano privati. Le istanze DB pubbliche in modalità dual-stack forniscono endpoint IPv4 e IPv6 a cui è possibile accedere da Internet.

Per un tutorial che mostra come creare un VPC con indirizzi IPv4 e IP6 da usare con uno scenario Amazon RDS comune, consulta Tutorial: Creazione di un VPC per l'utilizzo con un'istanza database (modalità dual-stack).

Dual-stack modalità e sottoreti DB

Per utilizzare la modalità dual-stack, assicurati che ogni sottorete nel gruppo di sottoreti database associato a istanze database sia associata a un blocco CIDR IPv6. Per soddisfare questo requisito, puoi creare un nuovo gruppo di sottoreti database o modificare un gruppo di sottoreti database esistente. Quando istanze database sono in modalità dual-stack, i client possono connettersi normalmente. Assicurati che i firewall di sicurezza client e i gruppi di sicurezza delle istanze database RDS siano configurati in modo accurato per consentire il traffico su IPv6. Per connettersi, i client utilizzano l'endpoint dell'istanza database. Le applicazioni client possono specificare il protocollo preferito per la connessione a un database. In modalità dual-stack, l'istanza database rileva il protocollo di rete preferito dal client (IPv4 o IPv6) e utilizza tale protocollo per la connessione.

Se un gruppo di sottoreti database smette di supportare la modalità dual-stack a causa dell'eliminazione della sottorete o dell'annullamento dell'associazione con il blocco CIDR, si può verificare una situazione di stato di rete incompatibile per le istanze database associate al gruppo di sottoreti database. Inoltre, non puoi utilizzare il gruppo di sottoreti database quando crei una nuova istanza database in modalità dual-stack.

Per determinare se un gruppo di sottorete DB supporta la modalità dual-stack utilizzando la Console di gestione AWS, visualizza il Tipo di rete nella pagina dei dettagli del gruppo di sottorete DB. Per determinare se un sottogruppo di database supporta la modalità dual-stack utilizzando, esegui il comando describe-db-subnet-groups e visualizza nell' AWS CLI output. SupportedNetworkTypes

Le repliche di lettura vengono trattate come istanze database indipendenti e possono avere un tipo di rete diverso dall'istanza database principale. Se si modifica il tipo di rete dell'istanza database principale di una replica di lettura, tale modifica non interessa la replica di lettura. Quando si ripristina un'istanza database, è possibile ripristinarla su qualsiasi tipo di rete supportato.

Utilizzo di istanze database in modalità dual-stack

Quando crei o modifichi un'istanza database, puoi specificare la modalità dual-stack per consentire alle risorse di comunicare con l'istanza su IPv4, IPv6 o entrambi.

Quando si utilizza Console di gestione AWS per creare o modificare un'istanza DB, è possibile specificare la modalità dual-stack nella sezione Tipo di rete. L'immagine seguente mostra la sezione Network type (Tipo di rete) nella console.

Quando utilizzi la AWS CLI per creare o modificare un di istanze DB, imposta l'--network-typeopzione per DUAL utilizzare la modalità dual-stack. Quando usi l'API RDS per creare o modificare un'istanza database, per utilizzare la modalità dual-stack imposta il parametro NetworkType su DUAL. Quando modifichi il tipo di rete di un'istanza database, è possibile che si verifichi un periodo di inattività. Se la modalità dual-stack non è supportata dalla versione del motore del database o dal gruppo di sottoreti database in uso, viene restituito l'errore NetworkTypeNotSupported.

Per ulteriori informazioni sulla creazione di un'istanza database, consulta Creazione di un'istanza database Amazon RDS. Per ulteriori informazioni sulla modifica di un'istanza database, consulta Modifica di un'istanza database Amazon RDS.

Per determinare se un'istanza database è in modalità dual-stack utilizzando la console, visualizza l'opzione Network type (Tipo di rete) nella scheda Connectivity & security (Connettività e sicurezza) per l'istanza database in questione.

A tale scopo, devi modificare il tipo di rete dell'istanza database. La modifica potrebbe comportare tempi di inattività.

Ti consigliamo di modificare il tipo di rete delle istanze database Amazon RDS durante una finestra di manutenzione. L'impostazione predefinita del tipo di rete delle nuove istanze sulla modalità dual stack non è al momento supportata. È possibile impostare il tipo di rete manualmente utilizzando il comando modify-db-instance .

Prima di modificare un'istanza database per utilizzare la modalità dual-stack, assicurati che il gruppo di sottoreti DB supporti la modalità dual-stack. Se il gruppo di sottoreti DB associato all'istanza database non supporta la modalità dual-stack, specifica un gruppo di sottoreti database diverso che supporta tale modalità quando modifichi l'istanza database. La modifica del gruppo di sottoreti di database di un'istanza database può causare tempi di inattività.

Se si modifica il gruppo di sottoreti di database di un'istanza database prima di modificare l'istanza database per l'utilizzo della modalità Dual stack, assicurati che il gruppo di sottoreti di database sia valido per l'istanza database prima e dopo la modifica.

Per le istanze RDS per PostgreSQL, RDS per MySQL, RDS per Oracle e RDS per MariaDB, si consiglia di eseguire il comando modify-db-instance con il solo parametro impostato su Single-AZ per modificare la rete in modalità dual-stack. --network-type DUAL L’aggiunta di altri parametri al parametro --network-type nella stessa chiamata API potrebbe causare tempi di inattività. Per modificare più parametri, assicurati che la modifica del tipo di rete sia stata completata correttamente prima di inviare un'altra richiesta modify-db-instance con altri parametri.

Le modifiche al tipo di rete per le istanze DB RDS per PostgreSQL, RDS per MySQL, RDS per Oracle e RDS per Multi-AZ MariaDB causano un breve periodo di inattività e attivano un failover se si utilizza il parametro solo o se si combinano i parametri in un comando modify-db-instance. --network-type

Le modifiche al tipo di rete su RDS per SQL Server Single-AZ o istanze Multi-AZ DB causano tempi di inattività se si utilizza solo il --network-type parametro o se si combinano i parametri in un modify-db-instance comando. Le modifiche al tipo di rete causano il failover in un'istanza di SQL Server. Multi-AZ

Se non riesci a connetterti all'istanza database dopo la modifica, assicurati che i firewall di sicurezza e le tabelle di routing client e database siano configurati in modo accurato per consentire il traffico verso il database sulla rete selezionata (IPv4 o IPv6). Potrebbe anche essere necessario modificare i parametri del sistema operativo, le librerie o i driver per connettersi mediante un indirizzo IPv6.

Quando si modifica un'istanza DB per utilizzare la modalità dual-stack, non può esserci una modifica in sospeso da una distribuzione a una Single-AZ distribuzione o da una Multi-AZ distribuzione a una distribuzione. Multi-AZ Single-AZ

Per modificare un di istanze IPv4-only DB per utilizzare la modalità dual-stack

  1. Modificare un gruppo di sottoreti database per supportare la modalità dual-stack o creare un gruppo di sottoreti database che supporti la modalità dual-stack:

    1. Associazione di un blocco CIDR IPv6 al VPC.

      Per ulteriori informazioni, consulta Come aggiungere un blocco CIDR IPv6 al VPC nella Guida per l'utente di Amazon VPC.

    2. Allegare il blocco CIDR IPv6 a tutte le sottoreti del gruppo di sottoreti database.

      Per ulteriori informazioni, consulta Come aggiungere un blocco CIDR IPv6 alla sottorete nella Guida per l'utente di Amazon VPC.

    3. Verificare che il gruppo di sottoreti database supporti la modalità dual-stack.

      Se utilizzi il Console di gestione AWS, seleziona il gruppo di sottoreti DB e assicurati che il valore Supported network types sia Dual, IPv4.

      Se utilizzi il AWS CLI, esegui il comando describe-db-subnet-groups e assicurati che il valore per l'istanza DB sia. SupportedNetworkType Dual, IPv4

  2. Modifica il gruppo di sicurezza associato all'istanza database per consentire le connessioni IPv6 al database o creare un nuovo gruppo di sicurezza che consenta le connessioni IPv6.

    Per le istruzioni, vedere Regole del gruppo di sicurezza nella Guida per l'utente di Amazon VPC.

  3. Modifica l'istanza database in modo che supporti la modalità dual-stack. A tale scopo, imposta il tipo di rete su mode. Dual-stack

    In caso di utilizzo della console, accertati che le impostazioni seguenti siano corrette:

    • Tipo di rete: Dual-stack modalità

      Sezione relativa al tipo di rete nella console con Dual-stack la modalità selezionata.

    • DB subnet group (Gruppo di sottoreti DB): gruppo di sottoreti database configurato in un passaggio precedente

    • Security group (Gruppo di sicurezza): gruppo di sicurezza di default configurato in un passaggio precedente

    Se utilizzi la AWS CLI, assicurati che le seguenti impostazioni siano corrette:

    • --network-typedual

    • --db-subnet-group-name: gruppo di sottoreti database configurato in un passaggio precedente

    • --vpc-security-group-ids: gruppo di sicurezza VPC configurato in un passaggio precedente

    Esempio: 

    aws rds modify-db-instance --db-instance-identifier my-instance --network-type "DUAL"

  4. Verifica che l'istanza database supporti la modalità dual-stack.

    Se utilizzi la console, scegli la scheda Connectivity & security (Connettività e sicurezza) per l'istanza database. In quella scheda, assicurati che il valore del tipo di rete sia Dual-stackmode.

    Se utilizzi il AWS CLI, esegui il comando describe-db-instances e assicurati che il NetworkType valore per l'istanza DB sia. dual

    Esegui il comando dig sull'endpoint dell'istanza database per individuare l'indirizzo IPv6 associato.

    dig db-instance-endpoint AAAA

    Utilizza l'endpoint dell'istanza database, non l'indirizzo IPv6, per connetterti all'istanza database.

Disponibilità di regioni e versioni

Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla disponibilità di versioni e regioni con la modalità dual-stack, consulta Regioni e motori database supportati per la modalità dual-stack in Amazon RDS.

Limitazioni per istanze database di rete dual-stack

Le seguenti limitazioni si applicano alle istanze database di rete dual-stack:

  • Le istanze database non possono utilizzare esclusivamente il protocollo IPv6. Possono utilizzare esclusivamente il protocollo IPv4 oppure i protocolli IPv4 e IPv6 (modalità dual-stack).

  • Amazon RDS non supporta le sottoreti IPv6 native.

  • Per RDS per SQL Server, le istanze database in modalità dual-stack che utilizzano gli endpoint del listener del gruppo di disponibilità Always On usano solo indirizzi IPv4.

  • Non è possibile utilizzare il proxy RDS con istanze database in modalità dual-stack.

  • Non è possibile utilizzare la modalità dual-stack con RDS su istanze DB. AWS Outposts

  • Non è possibile utilizzare la modalità dual-stack con istanze database in una zona locale.

Nascondere istanze database in un VPC da Internet

Uno scenario Amazon RDS comune è quello di avere un VPC in cui disponi di un’istanza Amazon EC2 con un’applicazione web pubblica e un’istanza database con un database che non è pubblicamente accessibile. Puoi ad esempio creare un VPC che ha una sottorete pubblica e una sottorete privata. Le istanze EC2 che fungono da server web possono essere implementate nella sottorete pubblica. L'implementazione di istanze database viene invece eseguita nella sottorete privata. In tale implementazione, solo i server Web hanno accesso alle istanze database. Per un'illustrazione di questo scenario, consulta Un’istanza di database in un VPC a cui accede un’istanza EC2 nello stesso VPC.

Quando si avvia un'istanza database all'interno di un VPC, l'istanza database dispone di un indirizzo IP privato per il traffico all'interno del VPC. Questo indirizzo IP privato non è accessibile pubblicamente. Puoi utilizzare l'opzione Public access (Accesso pubblico) per indicare se l'istanza database dispone anche di un indirizzo IP pubblico oltre all'indirizzo IP privato. Se l'istanza database è definito come accessibile pubblicamente, il relativo endpoint DNS utilizza l'indirizzo IP privato dall'interno del VPC. Utilizza invece l'indirizzo IP pubblico dall'esterno del VPC. L'accesso all'istanza database è in ultima analisi controllato dal gruppo di sicurezza in uso. Questo accesso pubblico non è consentito se il gruppo di sicurezza assegnato all'istanza database non include regole in entrata che lo consentono. Per un'istanza database che deve essere accessibile pubblicamente, le sottoreti nel relativo gruppo di sottoreti DB devono disporre di un gateway Internet. Per ulteriori informazioni, consulta Impossibile connettersi all'istanza database di Amazon RDS

Puoi modificare un'istanza database per attivare o disattivare l'accessibilità pubblica modificando l'opzione Public access (Accesso pubblico). Nella figura seguente viene illustrata l'opzione Public access (Accesso pubblico) nella sezione Additional connectivity configuration (Configurazioni di connettività aggiuntiva) . Per impostare l'opzione, apri la sezione Additional connectivity configuration (Configurazioni di connettività aggiuntiva) nella sezione Connectivity (Connettività) .

Imposta l’opzione Accesso pubblico del database nella sezione Configurazione di connettività aggiuntiva su No.

Per informazioni sulla modifica di un’istanza database per impostare l’opzione Public access (Accesso pubblico), consulta Modifica di un'istanza database Amazon RDS.

Creazione di un'istanza database in un VPC

Le procedure seguenti aiutano a creare un'istanza database in un VPC. Per utilizzare il VPC predefinito, puoi iniziare con il passaggio 2 e utilizzare il VPC e il gruppo di sottoreti DB creati automaticamente. Se desideri creare un VPC aggiuntivo, puoi creare un nuovo VPC.

Nota

Se desideri che l'istanza database nel VPC sia pubblicamente accessibile, devi aggiornare le informazioni DNS per il VPC attivando gli attributi VPC DNS hostnames (Nomi host DNS) e DNS resolution (Risoluzione DNS). Per informazioni sull'aggiornamento delle informazioni DNS per un'istanza VPC, consulta Aggiornamento del supporto DNS per il VPC.

Segui questa procedura per creare un'istanza database in un VPC:

Fase 1. Creazione di un VPC

Crea un VPC con sottoreti in almeno due zone di disponibilità. Usi queste sottoreti quando crei un gruppo di sottoreti database. Se disponi di un VPC di default, viene creata automaticamente una sottorete in ciascuna zona di disponibilità nella Regione AWS.

Per ulteriori informazioni, consulta Creazione di un VPC con sottoreti pubbliche e private oppure Creazione di un VPC nella Guida per l'utente di Amazon VPC..

Fase 2: creazione di un gruppo di sottoreti database

Un gruppo di sottoreti DB è una raccolta di sottoreti (generalmente private) creata per un VPC e che è possibile definire per le istanze database. Un gruppo di sottoreti DB consente di specificare un particolare VPC quando si creano cluster di DB utilizzando AWS CLI l'API o RDS. Se utilizzi la console, puoi scegliere il VPC e le sottoreti che desideri usare. Ogni gruppo di sottoreti database deve avere almeno una sottorete in almeno due zone di disponibilità nella Regione AWS. Come best practice, ogni gruppo di sottoreti database deve disporre di almeno una sottorete per ogni zona di disponibilità nella Regione AWS.

Per le Multi-AZ distribuzioni, la definizione di una sottorete per tutte le zone di disponibilità in una consente ad Regione AWS Amazon RDS di creare una nuova replica in standby in un'altra zona di disponibilità, se necessario. Puoi seguire questa procedura consigliata anche per le Single-AZ distribuzioni, perché potresti convertirle Multi-AZ in distribuzioni in future.

Per un'istanza database che deve essere accessibile pubblicamente, le sottoreti nel gruppo di sottoreti database devono disporre di un gateway Internet. Per ulteriori informazioni sui gateway Internet, consulta Eseguire la connessione a Internet utilizzando un gateway Internet nella Guida per l'utente di Amazon VPC.

Nota

Il gruppo di sottorete DB per un’area locale può avere solo una sottorete.

Quando crei un'istanza database in un VPC, puoi selezionare un gruppo di sottoreti DB. Amazon RDS sceglie una sottorete e un indirizzo IP al suo interno da associare all'istanza database. Se non esistono gruppi di sottoreti DB, Amazon RDS crea un gruppo di sottoreti predefinito quando crei un'istanza database. Amazon RDS crea e associa un'interfaccia di rete elastica all'istanza database con tale indirizzo IP. L'istanza database utilizza la zona di disponibilità contenente la sottorete.

Per le Multi-AZ distribuzioni, la definizione di una sottorete per due o più zone di disponibilità in una consente ad Regione AWS Amazon RDS di creare un nuovo standby in un'altra zona di disponibilità in caso di necessità. È necessario eseguire questa operazione anche per le Single-AZ distribuzioni, nel caso in cui prima o poi si desideri convertirle in distribuzioni. Multi-AZ

In questo passaggio, si crea un gruppo di sottoreti database e si aggiungono le sottoreti create per il VPC.

Creare un gruppo di sottoreti database

  1. Aprire la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel pannello di navigazione selezionare Subnet groups (Gruppi di sottoreti).

  3. Scegli Create DB Subnet Group (Crea gruppo di sottoreti del database).

  4. Per Name (Nome), digita il nome del gruppo di sottoreti database.

  5. Per Description Descrizione), digita una descrizione per il gruppo di sottoreti database.

  6. In VPC, scegli il VPC predefinito o il VPC creato in precedenza.

  7. Nella sezione Aggiungi sottoreti, scegliere le zone di disponibilità che includono le sottoreti da Zone di disponibilità, quindi scegliere le sottoreti da Sottoreti.

    Creazione di un gruppo di sottoreti del database.
    Nota

    Se è stata abilitata una zona locale, è possibile scegliere un gruppo zone di disponibilità nella pagina Create DB subnet group (Crea gruppo di sottorete DB). In questo caso, scegliere Availability Zone group (Gruppo zona di disponibilità), Availability Zones (Zone di disponibilità) e Subnet (Sottorete).

  8. Scegliere Create (Crea).

    Il nuovo gruppo di sottoreti database viene visualizzato nell'elenco dei gruppi di sottoreti database sulla console RDS. Puoi scegliere il gruppo di sottoreti database per visualizzare i dettagli, comprese tutte le sottoreti associate al gruppo, nel riquadro dei dettagli nella parte inferiore della finestra.

Fase 3: creazione di un gruppo di sicurezza VPC

Prima di creare un'istanza database, devi creare un gruppo di sicurezza VPC da associare tale istanza database. Se non crei un gruppo di sicurezza VPC, puoi utilizzare il gruppo di sicurezza predefinito quando crei un'istanza database. Per istruzioni su come creare un gruppo di sicurezza per l'istanza database, consulta Creazione di un gruppo di sicurezza VPC per un'istanza database privata oppure Controlla il traffico verso le risorse utilizzando gruppi di sicurezza nella Guida per l'utente di Amazon VPC.

Passaggio 4: creazione di un'istanza database nel VPC

In questo passaggio, si crea un'istanza database e si utilizza il nome VPC, il gruppo di sottoreti DB e il gruppo di sicurezza VPC creato nel passaggio precedente.

Nota

Se desideri che l'istanza database nel VPC sia pubblicamente accessibile, devi abilitare gli attributi VPC DNS hostnames (Nomi host DNS) e DNS resolution (Risoluzione DNS). Per ulteriori informazioni, consulta Attributi DNS per il VPC nella Guida per l'utente di Amazon VPC.

Per informazioni dettagliate su come creare un'istanza database, consulta Creazione di un'istanza database Amazon RDS.

Quando richiesto nella sezione Connectivity (Connettività), inserisci il nome VPC, il gruppo di sottoreti DB e il gruppo di sicurezza VPC.