Tutorial: conexión de una instancia de Amazon EC2 a una base de datos de Amazon RDS

Objetivo del tutorial

El objetivo de este tutorial es que aprenda a configurar una conexión segura entre una instancia de Amazon EC2 y una base de datos de Amazon RDS con la AWS Management Console.

Hay distintas opciones para configurar la conexión. En este tutorial, se exploran las siguientes tres opciones:

• Opción 1: conexión automática de la instancia de EC2 a la base de datos de RDS con la consola de EC2

  Utilice la característica de conexión automática de la consola de EC2 para configurar automáticamente la conexión entre la instancia de EC2 y la base de datos de RDS y así permitir el tráfico entre la instancia de EC2 y la base de datos de RDS.

• Opción 2: conexión automática de la instancia de EC2 a la base de datos de RDS con la consola de RDS

  Utilice la característica de conexión automática de la consola de RDS para configurar automáticamente la conexión entre la instancia de EC2 y la base de datos de RDS para permitir el tráfico entre la instancia de EC2 y la base de datos de RDS.

• Opción 3: conexión manual de la instancia de EC2 a la base de datos de RDS imitando la característica de conexión automática

  Para configurar la conexión entre la instancia de EC2 y la base de datos de RDS, configure y asigne los grupos de seguridad para que reproduzcan la configuración que se crea automáticamente mediante la característica de conexión automática de las opciones 1 y 2.

Context

Como contexto para explicar por qué querría configurar una conexión entre una instancia de EC2 y una base de datos de RDS, tengamos en cuenta el siguiente escenario: en su sitio web se presenta un formulario para que los usuarios lo rellenen. Debe capturar los datos del formulario en una base de datos. Puede alojar el sitio web en una instancia de EC2 que se haya configurado como servidor web y capturar los datos del formulario en una base de datos de RDS. La instancia de EC2 y la base de datos de RDS deben estar conectadas entre sí para que los datos del formulario puedan ir de la instancia de EC2 a la base de datos de RDS. En este tutorial, se explica cómo configurar esa conexión. Tenga en cuenta que este es solo un ejemplo de un caso de uso para conectar una instancia de EC2 a una base de datos de RDS.

Arquitectura

En el siguiente diagrama, se muestran los recursos que se crean y la configuración de la arquitectura que se genera al completar todos los pasos de este tutorial.

En el diagrama, se muestran los siguientes recursos que va a crear:

• Creará una instancia de EC2 y una base de datos de RDS en la misma Región de AWS, VPC y zona de disponibilidad.

• Creará la instancia de EC2 en una subred pública.

• Creará la base de datos de RDS en una subred privada.

  Cuando se utiliza la consola de RDS para crear la base de datos de RDS y conectar automáticamente la instancia de EC2, la VPC, el grupo de subredes de base de datos y la configuración de acceso público de la base de datos se seleccionan automáticamente. La base de datos de RDS se crea automáticamente en una subred privada dentro de la misma VPC que la instancia de EC2.

• Los usuarios de Internet pueden conectarse a la instancia de EC2 mediante SSH o HTTP/HTTPS a través de una puerta de enlace de Internet.

• Los usuarios de Internet no pueden conectarse directamente a la base de datos RDS; solo la instancia de EC2 se conecta a la base de datos de RDS.

• Cuando se utiliza la característica de conexión automática para permitir el tráfico entre la instancia de EC2 y la base de datos de RDS, se crean y agregan automáticamente los siguientes grupos de seguridad:

  • Se crea el grupo de seguridad ec2-rds-x y se agrega a la instancia de EC2. Tiene una regla de salida que hace referencia al grupo de seguridad rds-ec2-x como destino. Esto permite que el tráfico de la instancia de EC2 llegue a la base de datos de RDS con el grupo de seguridad rds-ec2-x.

  • Se crea el grupo de seguridad rds-ec2-x y se agrega a la base de datos de RDS. Tiene una regla de entrada que hace referencia al grupo de seguridad ec2-rds-x como destino. Esto permite que el tráfico de la instancia de EC2 con el grupo de seguridad ec2-rds-x llegue a la base de datos de RDS.

  Al usar grupos de seguridad independientes (uno para la instancia de EC2 y otro para la base de datos de RDS), tiene un mejor control de la seguridad de la instancia y la base de datos. Si tuviera que utilizar el mismo grupo de seguridad tanto en la instancia como en la base de datos y, a continuación, modificar el grupo de seguridad para adaptarlo, por ejemplo, solo a la base de datos, la modificación afectaría tanto a la instancia como a la base de datos. En otras palabras, si tuviera que utilizar un grupo de seguridad, podría modificar involuntariamente la seguridad de un recurso (ya sea la instancia o la base de datos) si se olvidara de que el grupo de seguridad ya estaba adjunto a él.

  Los grupos de seguridad que se crean automáticamente también respetan el privilegio mínimo, ya que solo permiten la conexión mutua para esta carga de trabajo en el puerto de la base de datos mediante la creación de un par de grupos de seguridad específico para la carga de trabajo.

Consideraciones

Tenga en cuenta lo siguiente al completar las tareas de este tutorial:

• Dos consolas: en este tutorial, utilizará las dos consolas siguientes:

  • Consola de Amazon EC2: utilizará la consola de EC2 para iniciar instancias, conectar automáticamente una instancia de EC2 a una base de datos de RDS y para la opción de configuración manual de la conexión mediante la creación de grupos de seguridad.

  • Consola de Amazon RDS: utilizará la consola de RDS para crear una base de datos de RDS y conectar automáticamente una instancia de EC2 a una base de datos de RDS.

• Una VPC: para poder usar la característica de conexión automática, la instancia de EC2 y la base de datos de RDS deben estar en la misma VPC.

  Si tuviera que configurar manualmente la conexión entre la instancia de EC2 y la base de datos de RDS, podría iniciar la instancia de EC2 en una VPC y la base de datos de RDS en otra VPC; sin embargo, tendría que definir el enrutamiento y la configuración de la VPC adicionales. No se aborda este escenario en este tutorial.

• Una Región de AWS: la instancia de EC2 y la base de datos de RDS deben estar en la misma región.

• Dos grupos de seguridad: la conectividad entre la instancia de EC2 y la base de datos de RDS se configura mediante dos grupos de seguridad (un grupo de seguridad para la instancia de EC2 y un grupo de seguridad para la base de datos de RDS).

  Cuando se utiliza la característica de conexión automática de la consola de EC2 o de la consola de RDS para configurar la conectividad (opciones 1 y 2 de este tutorial), los grupos de seguridad se crean y asignan automáticamente a la instancia de EC2 y a la base de datos de RDS.

  Si no usa la característica de conexión automática, tendrá que crear y asignar los grupos de seguridad de forma manual. Puede hacerlo en la opción 3 de este tutorial.

Tiempo para completar el tutorial

30 minutos

Puede completar todo el tutorial de una vez o puede completarlo por tareas.

Costos

Al completar este tutorial, puede incurrir en costos por los recursos de AWS que cree.

Puede usar Amazon EC2 con el nivel gratuito siempre que su cuenta de AWS tenga menos de 12 meses de antigüedad y configure los recursos de acuerdo con los requisitos del nivel gratuito.

Incurrirá en gastos por transferencia de datos si la instancia de EC2 y la base de datos de RDS se encuentran en distintas zonas de disponibilidad. Para evitar incurrir en estos cargos, la instancia de EC2 y la base de datos de RDS deben estar en la misma zona de disponibilidad. Para obtener más información sobre las tarifas de transferencia de datos, consulte la sección Transferencia de datos en la página Precios de las instancias bajo demanda de Amazon EC2.

Para evitar incurrir en gastos después de completar el tutorial, asegúrese de eliminar los recursos si ya no los necesita. Para ver los pasos para eliminar los recursos, consulte Limpieza.