Amazon Relational Database Service
Guía del usuario (Versión de API 2014-10-31)

Escenarios para el acceso a una instancia de base de datos situada en una VPC

Amazon RDS admite los siguientes escenarios para obtener acceso a una instancia de base de datos:

Acceso a una instancia de base de datos situada en una VPC desde una instancia EC2 de la misma VPC

Un uso común de una instancia de base de datos en una VPC es compartir datos con un servidor de aplicaciones que se ejecuta en una instancia EC2 de la misma VPC. Este es el escenario de usuario que se crea cuando se utiliza AWS Elastic Beanstalk para crear una instancia EC2 y una instancia de base de datos en la misma VPC.

En el siguiente diagrama se muestra este escenario.


					Escenario de grupos de seguridad de VPC y de EC2

La forma más sencilla de administrar el acceso entre instancias EC2 e instancias de bases de datos de la misma VPC es hacer lo siguiente:

  • Cree el grupo de seguridad de VPC al que pertenecerán las instancias de bases de datos. Este grupo de seguridad se puede utilizar para restringir el acceso a las instancias de bases de datos. Por ejemplo, puede crear una regla personalizada para este grupo de seguridad que permita el acceso mediante TCP utilizando el puerto que asignó a la instancia de base de datos cuando la creó, y una dirección IP que se utilizará para obtener acceso a la instancia de base de datos para fines de desarrollo u otros propósitos.

  • Cree el grupo de seguridad de VPC al que pertenecerán las instancias EC2 (clientes y servidores web). Si es necesario, este grupo de seguridad puede permitir el acceso a la instancia EC2 desde Internet a través de la tabla de enrutamiento de la VPC. Por ejemplo, puede establecer reglas en este grupo de seguridad para permitir el acceso mediante TCP a la instancia EC2 a través del puerto 22.

  • Cree reglas personalizadas en el grupo de seguridad para las instancias de bases de datos que permitan las conexiones desde el grupo de seguridad que creó para las instancias EC2. Esto permitiría a cualquier miembro del grupo de seguridad obtener acceso a las instancias de bases de datos.

Para ver un tutorial que muestra cómo crear una VPC con subredes públicas y privadas para este escenario, consulte Tutorial: Creación de una Amazon VPC para utilizarla con una instancia de base de datos.

Para crear una regla en un grupo de seguridad de VPC que permita establecer conexiones desde otro grupo de seguridad, haga lo siguiente:

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione o cree el grupo de seguridad al que desea que puedan tener acceso los miembros de otro grupo de seguridad. En el escenario anterior, este es el grupo de seguridad que utiliza para las instancias de base de datos. Elija la pestaña Inbound Rules (Reglas de entrada) y, a continuación, elija Edit rule (Editar regla).

  4. En la página Edit inbound rules (Editar reglas de entrada), seleccione Add Rule (Añadir regla).

  5. En Type (Tipo), seleccione una de las opciones All ICMP (Todos los ICMP). En el campo Source, comience a escribir el ID del grupo de seguridad; se mostrará una lista de grupos de seguridad. Seleccione el grupo de seguridad cuyos miembros desea que tengan acceso a los recursos protegidos por este grupo de seguridad. En el escenario anterior, este es el grupo de seguridad que utiliza para su instancia EC2.

  6. Repita los pasos para el protocolo TCP creando una regla con All TCP en el campo Type y con el grupo de seguridad en el campo Source. Si va a utilizar el protocolo UDP, cree una regla con All UDP en el campo Type y con el grupo de seguridad en el campo Source.

  7. Cree una regla TCP personalizada que permita el acceso a través del puerto que ha usado al crear la instancia de base de datos, como, por ejemplo, el puerto 3306 para MySQL. En el campo Source (Origen), introduzca el grupo de seguridad o la dirección IP que utilizará.

  8. Cuando haya terminado, elija Save (Guardar).


					Adición de un grupo de seguridad a las reglas de otro grupo de seguridad

Acceso a una instancia de base de datos situada en una VPC desde una instancia EC2 de otra VPC

Cuando una instancia de base de datos está en una VPC que no coincide con la de la instancia EC2 que se está utilizando para obtener acceso a ella, puede usar la interconexión con VPC para obtener acceso a la instancia de base de datos.

En el siguiente diagrama se muestra este escenario.


				Acceso a una instancia de base de datos situada en una VPC desde una instancia EC2 de otra VPC

Una interconexión de VPC es una conexión de redes entre dos VPC que permite direccionar el tráfico entre ellas mediante direcciones IP privadas. Las instancias de ambas VPC se pueden comunicar entre sí como si estuvieran en la misma red. Puede crear una interconexión de VPC entre sus propias VPC, con una VPC de otra cuenta de AWS o con una VPC de otra región de AWS. Para obtener más información sobre las interconexiones de VPC, consulte Interconexión con VPC en la Guía de usuario de Amazon Virtual Private Cloud.

Es posible la comunicación entre una instancia de base de datos de Amazon RDS que se encuentra en una VPC y una instancia EC2 que no está en una Amazon VPC utilizando ClassicLink. Cuando se utiliza ClassicLink, una aplicación de la instancia EC2 puede conectarse a la instancia de base de datos utilizando el punto de enlace de la instancia de base de datos. ClassicLink está disponible sin ningún costo adicional.

En el siguiente diagrama se muestra este escenario.


					Acceso a una instancia de base de datos situada en una VPC desde una instancia EC2 que no está en una VPC

ClassicLink permite conectar una instancia EC2 a una base de datos lógicamente aislada en la que se define el rango de direcciones IP y se controlan las listas de control de acceso (ACL) para administrar el tráfico de red. No es necesario utilizar direcciones IP públicas ni túneles para comunicarse con la instancia de base de datos de la VPC. Esta disposición proporciona un mayor desempeño y una menor latencia de conectividad para las comunicaciones entre instancias.

Para activar ClassicLink entre una instancia de base de datos de una VPC y una instancia EC2 que no esté en una VPC

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

  2. En el panel de navegación, elija Your VPCs.

  3. Elija la VPC utilizada por la instancia de base de datos.

  4. En Actions, elija Enable ClassicLink. En el cuadro de diálogo de confirmación, elija Yes, Enable (Sí, habilitar).

  5. En la consola EC2, seleccione la instancia EC2 que desea conectar a la instancia de base de datos de la VPC.

  6. En Actions, elija ClassicLink y, a continuación, elija Link to VPC.

  7. En la página Link to VPC, elija el grupo de seguridad que desea utilizar y, a continuación, seleccione Link to VPC.

nota

Las características de ClassicLink solo están visibles en las consolas de las cuentas y regiones que admiten EC2-Classic. Para obtener más información, consulte ClassicLink en la Guía del usuario de Amazon EC2 para instancias de Linux.

Acceso a una instancia de base de datos situada en una VPC desde una aplicación cliente a través de Internet

Para acceder a una instancia de base de datos situada en una VPC desde una aplicación cliente a través de Internet, configure una VPC con una única subred pública y una gateway de Internet para permitir la comunicación a través de Internet.

En el siguiente diagrama se muestra este escenario.


					Acceso a una instancia de base de datos situada en una VPC desde una aplicación cliente a través de Internet

Recomendamos la siguiente configuración:

  • Una VPC de tamaño /16 (por ejemplo, CIDR: 10.0.0.0/16). Este tamaño proporciona 65 536 direcciones IP privadas.

  • Una subred de tamaño /24 (por ejemplo, CIDR: 10.0.0.0/24). Este tamaño proporciona 256 direcciones IP privadas.

  • Una instancia de base de datos de Amazon RDS asociada a la VPC y a la subred. Amazon RDS asigna una dirección IP de la subred a la instancia de base de datos.

  • Una gateway de Internet que conecte la VPC a Internet y a otros productos de AWS.

  • Un grupo de seguridad asociado a la instancia de base de datos. Las reglas de entrada del grupo de seguridad permiten a la aplicación cliente obtener acceso a la instancia de base de datos.

Para obtener información acerca de la creación de una instancia de base de datos en una VPC, consulte Creación de una instancia de base de datos en una VPC.

Acceso a una instancia de base de datos que no está en una VPC desde una instancia EC2 situada en una VPC

En caso de que tenga una instancia EC2 en una VPC y una instancia de base de datos de RDS que no esté en una VPC, puede conectarlas a través de la red pública de Internet.

En el siguiente diagrama se muestra este escenario.


					Acceso a una instancia de base de datos no situada en una VPC desde una instancia EC2 situada en una VPC

nota

ClassicLink, tal como se describe en Acceso a una instancia de base de datos situada en una VPC desde una instancia EC2 que no está en una VPC, no está disponible para este escenario.

Para conectar una instancia de base de datos y una instancia EC2 a través de la red pública de Internet, haga lo siguiente:

  • Asegúrese de que la instancia EC2 esté en una subred pública de la VPC.

  • Asegúrese de que la instancia de base de datos de RDS esté marcada como accesible públicamente.

  • Tenga en cuenta lo siguiente acerca de las ACL de red. Una ACL de red es como un firewall para toda la subred. Por lo tanto, todas las instancias de esa subred están sujetas a las reglas de la ACL de red. De forma predeterminada, las ACL de red permiten todo el tráfico y, por regla general, no es necesario preocuparse por ellas, a menos que se desee añadir reglas concretas como una capa de seguridad adicional. Por otro lado, un grupo de seguridad está asociado a instancias específicas, y es necesario preocuparse por las reglas del grupo de seguridad.

  • Añada las reglas de entrada necesarias al grupo de seguridad de base de datos para la instancia de base de datos de RDS.

    Una regla de entrada especifica un puerto de red y un rango de CIDR/IP. Por ejemplo, puede añadir una regla de entrada que permita que el puerto 3306 se conecte a una instancia de base de datos MySQL en RDS y el rango CIDR/IP 203.0.113.25/32. Para obtener más información, consulte Autorización del acceso de red a un grupo de seguridad de base de datos desde un intervalo de direcciones IP.

nota

Si desea mover una instancia de base de datos existente a una VPC, puede hacerlo fácilmente con la Consola de administración de AWS. Para obtener más información, consulte Traslado de una instancia de base de datos que no está en una VPC a una VPC.

Acceso a una instancia de base de datos que no está en una VPC desde una instancia EC2 que no está en una VPC

Cuando ni la instancia de base de datos ni la aplicación de una instancia EC2 están en una VPC, puede acceder a la instancia de base de datos utilizando su punto de enlace y su puerto.

En el siguiente diagrama se muestra este escenario.


					Acceso a una instancia de base de datos que no está en una VPC desde una instancia EC2 que no está en una VPC

Debe crear un grupo de seguridad de base de datos para la instancia que permita el acceso desde el puerto especificado al crear la instancia de base de datos. Por ejemplo, puede utilizar una cadena de conexión similar a la siguiente con sqlplus para obtener acceso a una base de datos Oracle:

PROMPT>sqlplus 'mydbusr@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=<endpoint>) (PORT=<port number>))(CONNECT_DATA=(SID=<database name>)))'

Para obtener más información, consulte la documentación siguiente.

nota

Si desea mover una instancia de base de datos existente a una VPC, puede hacerlo fácilmente con la Consola de administración de AWS. Para obtener más información, consulte Traslado de una instancia de base de datos que no está en una VPC a una VPC.

Acceso a una instancia de base de datos que no está en una VPC desde una aplicación cliente a través de Internet

Los clientes nuevos de Amazon RDS solo pueden crear una instancia de base de datos en una VPC. Sin embargo, es posible que necesite conectarse a una instancia de base de datos de Amazon RDS existente que no esté en una VPC desde una aplicación cliente a través de Internet.

En el siguiente diagrama se muestra este escenario.


				Acceso a una instancia de base de datos que no está en una VPC desde una aplicación cliente a través de Internet

En este escenario, debe asegurarse de que el grupo de seguridad de base de datos de la instancia de base de datos de RDS incluya las reglas de entrada necesarias para que se conecte la aplicación cliente. Una regla de entrada especifica un puerto de red y un rango de CIDR/IP. Por ejemplo, puede añadir una regla de entrada que permita que el puerto 3306 se conecte a una instancia de base de datos MySQL en RDS y el rango CIDR/IP 203.0.113.25/32. Para obtener más información, consulte Autorización del acceso de red a un grupo de seguridad de base de datos desde un intervalo de direcciones IP.

aviso

Si desea obtener acceso a una instancia de base de datos protegida por un firewall, hable con el administrador de red para determinar las direcciones IP que debe usar.

nota

Si desea mover una instancia de base de datos existente a una VPC, puede hacerlo fácilmente con la Consola de administración de AWS. Para obtener más información, consulte Traslado de una instancia de base de datos que no está en una VPC a una VPC.