Amazon Relational Database Service
Guía del usuario (Versión de API 2014-10-31)

Tutorial: Creación de una Amazon VPC para utilizarla con una instancia de base de datos

Un escenario común incluye una instancia de base de datos en una Amazon VPC, que comparte datos con un servidor web que se ejecuta en la misma VPC. En este tutorial se crea la VPC para este escenario.

En el siguiente diagrama se muestra este escenario. Para obtener información acerca de otros escenarios, consulte Escenarios para el acceso a una instancia de base de datos situada en una VPC.


            Escenario de grupos de seguridad de VPC y de EC2

Debido a que la instancia de base de datos solo necesita estar disponible para su servidor web y no para la red pública de Internet, debe crear una VPC con subredes tanto públicas como privadas. El servidor web está alojado en la subred pública, para que pueda obtener acceso a la red pública de Internet. La instancia de base de datos está alojada en una subred privada. El servidor web puede conectarse a la instancia de base de datos porque está alojado de la misma VPC, pero la instancia de base de datos no está disponible para la red pública de Internet, lo que proporciona mayor seguridad.

Creación de una VPC con subredes públicas y privadas

Utilice el siguiente procedimiento para crear una VPC con subredes públicas y privadas.

Para crear una VPC y las subredes

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En la esquina superior derecha de la Consola de administración de AWS, elija la región en la que desea crear la VPC. En este ejemplo se utiliza la región EE.UU. Oeste (Oregón).

  3. En la esquina superior izquierda, elija VPC Dashboard. Para comenzar a crear una VPC, elija Launch VPC Wizard (Lanzar asistente de VPC).

  4. En la página Step 1: Select a VPC Configuration, elija VPC with Public and Private Subnets y, a continuación, elija Select.

  5. En la página Step 2: VPC with Public and Private Subnets, establezca estos valores:

    • IPv4 CIDR block: 10.0.0.0/16

    • IPv6 CIDR block: No IPv6 CIDR Block

    • VPC name: tutorial-vpc

    • Public subnet's IPv4 CIDR: 10.0.0.0/24

    • Availability Zone: us-west-2a

    • Public subnet name: Tutorial public

    • Private subnet's IPv4 CIDR: 10.0.1.0/24

    • Availability Zone: us-west-2a

    • Private subnet name: Tutorial Private 1

    • Instance type: t2.small

      importante

      Si no ve el cuadro Instance type (Tipo de instancia) en la consola, elija Use a NAT instance instead (Usar una instancia NAT). Este enlace está a la derecha.

      nota

      Si no aparece el tipo de instancia t2.small, puede elegir un tipo de instancia diferente.

    • Key pair name: No key pair

    • Service endpoints: omita este campo.

    • Enable DNS hostnames: Yes

    • Hardware tenancy: Default

  6. Cuando haya terminado, elija Create VPC.

Creación de las subredes adicionales

Debe tener dos subredes privadas o dos subredes públicas disponibles para crear un grupo de subredes de base de datos para que lo utilice una instancia de base de datos en una VPC. Debido a que la instancia de base de datos de este tutorial es privada, debe añadir una segunda subred privada a la VPC.

Para crear una subred adicional

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. Para añadir la segunda subred privada a la VPC, elija VPC Dashboard (Panel VPC), seguido de Subnets (Subredes) y, por último, Create Subnet (Crear subred).

  3. En la página Create Subnet (Crear subred), defina estos valores:

    • Name tag: Tutorial private 2

    • VPC: elija la VPC que creó anteriormente, por ejemplo: vpc-identifier (10.0.0.0/16) | tutorial-vpc.

    • Availability Zone: us-west-2b

      nota

      Elija una zona de disponibilidad que sea distinta de la que eligió para la primera subred privada.

    • IPv4 CIDR block: 10.0.2.0/24

  4. Cuando haya terminado, elija Create (Crear). A continuación, seleccione Close (Cerrar) en la página de confirmación.

  5. Para asegurarse de que la segunda subred privada que ha creado utiliza la misma tabla de ruteo que la primera, elija VPC Dashboard, seguido de Subnets y, por último, elija la primera subred privada que se creó para la VPC, Tutorial private 1.

  6. Debajo de la lista de subredes, elija la pestaña Route Table (Tabla de enrutamiento) y anote el valor de Route Table (Tabla de enrutamiento), por ejemplo: rtb-98b613fd.

  7. En la lista de subredes, anule la selección de la primera subred privada.

  8. En la lista de subredes, elija la segunda subred privada Tutorial private 2 y elija la pestaña Route Table.

  9. Si la tabla de ruteo actual no es la misma que la tabla de ruteo de la primera subred privada, seleccione Edit route table association (Editar asociación de tabla de ruteo). En Route Table ID (ID de tabla de ruteo), elija la tabla de enrutamiento que anotó anteriormente, por ejemplo: rtb-98b613fd. A continuación, para guardar lo que ha seleccionado, elija Save (Guardar).

Creación de un grupo de seguridad de VPC para un servidor web público

A continuación, debe crear un grupo de seguridad para el acceso público. Para conectarse a instancias públicas en la VPC, añada reglas de entrada al grupo de seguridad de VPC que permitan el tráfico para las conexiones desde Internet.

Para crear un grupo de seguridad de VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. Elija VPC Dashboard (Panel VPC), seguido de Security Groups (Grupos de seguridad) y, por último, Create Security Group (Crear grupo de seguridad).

  3. En la página Create Security Group (Crear grupo de seguridad), establezca estos valores:

    • Security group name (Nombre de grupo de seguridad): tutorial-securitygroup

    • Description: Tutorial Security Group

    • VPC: elija la VPC que creó antes; por ejemplo: vpc-identifier (10.0.0.0/16) | tutorial-vpc.

  4. Para crear el grupo de seguridad, elija Create (Crear). A continuación, seleccione Close (Cerrar) en la página de confirmación.

    Anote el ID del grupo de seguridad, ya que lo necesitará más tarde en este tutorial.

Para añadir reglas de entrada al grupo de seguridad

  1. Determine la dirección IP que usará para conectarse a las instancias de la VPC. Puede usar el servicio disponible en https://checkip.amazonaws.com para determinar su dirección IP pública. Un ejemplo de dirección IP es 203.0.113.25/32.

    Si se conecta a través de un proveedor de Internet (ISP) o protegido por un firewall sin una dirección IP estática, deberá identificar el rango de direcciones IP utilizadas por los equipos cliente.

    aviso

    Si utiliza 0.0.0.0/0, permitirá que todas las direcciones IP tengan acceso a las instancias públicas. Este método es aceptable para un periodo de tiempo corto en un entorno de prueba, pero no es seguro en entornos de producción. En entornos de producción, solo debe permitir el acceso a las instancias desde una dirección IP o un rango de direcciones específico.

  2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  3. Elija VPC Dashboard, seguido de Security Groups y, por último, el grupo de seguridad tutorial-securitygroup que creó en el procedimiento anterior.

  4. Bajo la lista de grupos de seguridad, seleccione la pestaña Inbound Rules (Reglas de entrada) y, luego, seleccione Edit (Editar).

  5. En la página Edit inbound rules (Editar reglas de entrada), seleccione Add Rule (Añadir regla).

  6. Establezca los siguientes valores para la regla de entrada nueva con objeto de permitir el acceso Secure Shell (SSH) a la instancia de EC2. Si lo hace, puede conectarse a la instancia de EC2 para instalar el servidor web y otras utilidades, y para cargar contenido para el servidor web.

    • Type: SSH

    • Source: la dirección IP o el rango de direcciones del Paso 1, por ejemplo 203.0.113.25/32.

  7. Seleccione Add rule.

  8. Establezca los siguientes valores para la regla de entrada nueva con objeto de permitir el acceso HTTP al servidor web.

    • Type: HTTP

    • Source: 0.0.0.0/0.

  9. Para guardar la configuración, elija Save rules (Guardar reglas). A continuación, seleccione Close (Cerrar) en la página de confirmación.

Creación de un grupo de seguridad de VPC para una instancia privada de base de datos

Para que una instancia de base de datos sea privada, cree un segundo grupo de seguridad para el acceso privado. Para conectarse a instancias privadas en la VPC, añada reglas de entrada al grupo de seguridad de VPC que permitan el tráfico desde su servidor web únicamente.

Para crear un grupo de seguridad de VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. Elija VPC Dashboard (Panel VPC), seguido de Security Groups (Grupos de seguridad) y, por último, Create Security Group (Crear grupo de seguridad).

  3. En la página Create Security Group (Crear grupo de seguridad), establezca estos valores:

    • Security group name (Nombre de grupo de seguridad): tutorial-db-securitygroup

    • Description: Tutorial DB Instance Security Group

    • VPC: elija la VPC que creó antes; por ejemplo: vpc-identifier (10.0.0.0/16) | tutorial-vpc.

  4. Para crear el grupo de seguridad, elija Create (Crear). A continuación, seleccione Close (Cerrar) en la página de confirmación.

Para añadir reglas de entrada al grupo de seguridad

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. Elija VPC Dashboard, seguido de Security Groups y, por último, el grupo de seguridad tutorial-db-securitygroup que creó en el procedimiento anterior.

  3. Bajo la lista de grupos de seguridad, seleccione la pestaña Inbound Rules (Reglas de entrada) y, luego, seleccione Edit (Editar).

  4. En la página Edit inbound rules (Editar reglas de entrada), seleccione Add Rule (Añadir regla).

  5. Establezca los siguientes valores para la regla de entrada nueva con objeto de permitir el tráfico de MySQL en el puerto 3306 desde la instancia de EC2. Si lo hace, podrá conectarse desde su servidor web a la instancia de base de datos para almacenar y recuperar datos en la base de datos desde la aplicación web.

    • Type: MySQL/Aurora

    • Source: el identificador del grupo de seguridad tutorial-securitygroup que creó anteriormente en este tutorial; por ejemplo: sg-9edd5cfb.

  6. Para guardar la configuración, elija Save rules (Guardar reglas). A continuación, seleccione Close (Cerrar) en la página de confirmación.

Creación de un grupo de subredes de base de datos

Un grupo de subredes de base de datos es una colección de subredes que se crean en una VPC y que después se asignan a las instancias de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear instancias de bases de datos.

Para crear un grupo de subredes de base de datos

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Subnet groups.

  3. Elija Create DB Subnet Group.

  4. En la página Create DB subnet group (Crear grupo de subredes de base de datos), establezca estos valores en Subnet group details (Detalles del grupo de subredes):

    • Name: tutorial-db-subnet-group

    • Description: Tutorial DB Subnet Group

    • VPC: tutorial-vpc (vpc-identifier)

  5. En la sección Add subnets (Añadir subredes), elija Add all the subnets related to this VPC (Añadir todas las subredes relacionadas con esta VPC).

  6. Seleccione Create.

    El nuevo grupo de subredes de base de datos aparece en la lista de grupos de subredes de base de datos de la consola de RDS. Puede hacer clic en el grupo de subredes de base de datos para ver los detalles, incluidas todas las subredes asociadas al grupo, en el panel de detalles de la parte inferior de la ventana.