Uso de una instancia de base de datos en una VPC - Amazon Relational Database Service

Uso de una instancia de base de datos en una VPC

A menos que esté trabajando con una instancia de base de datos heredada, su instancia de base de datos se encuentra en una Virtual Private Cloud (VPC). Una VPC es una red virtual aislada lógicamente de otras redes virtuales en la nube de AWS. Amazon VPC le permite lanzar recursos de AWS, como una instancia de base de datos de Amazon RDS o una instancia de Amazon EC2, en una VPC. La VPC puede ser una VPC predeterminada que viene con la cuenta o una que se haya creado en ella. Todas las VPC están asociadas a la cuenta de AWS.

La VPC predeterminada tiene tres subredes que se pueden utilizar para aislar recursos dentro de la VPC. La VPC predeterminada también tiene una gateway de Internet que se puede utilizar para proporcionar acceso a los recursos situados dentro de la VPC desde fuera de la VPC.

Para obtener una lista de los escenarios relacionados con las instancias de bases de datos de Amazon RDS situadas dentro y fuera de una VPC, consulte Situaciones para el acceso a una instancia de base de datos situada en una VPC.

Para obtener información sobre cómo utilizar instancias de bases de datos situadas dentro de una VPC, consulte los siguientes temas:

En los siguientes tutoriales se explica cómo crear una VPC que se puede utilizar en un escenario de Amazon RDS habitual:

Uso de una instancia de base de datos en una VPC

A continuación se ofrecen algunos consejos para utilizar una instancia de base de datos en una VPC:

  • La VPC debe tener dos subredes como mínimo. Estas subredes deben estar en dos zonas de disponibilidad distintas de la Región de AWS en la que desea implementar la instancia de base de datos. Una subred es un segmento del rango de direcciones IP de una VPC que puede especificar y que le permite agrupar instancias según sus necesidades operativas y de seguridad.

    Para implementaciones Multi-AZ, si se define una subred para dos o más zonas de disponibilidad de una región de Región de AWS, Amazon RDS podrá crear una instancia en espera en otra zona de disponibilidad si fuera necesario. Debe hacerlo incluso para los despliegues Single-AZ, por si desea convertirlos en implementaciones Multi-AZ en algún momento.

    nota

    El grupo de subredes de base de datos para una zona local puede tener solo una subred.

  • Si desea que una instancia de base de datos de la VPC sea accesible públicamente, debe activar los atributos DNS hostnames y DNS resolution de la VPC.

  • La VPC debe tener un grupo de subredes de base de datos creado específicamente (para obtener más información, consulte la siguiente sección). Para crear un grupo de subredes de base de datos, especifique las subredes que ha creado. Amazon RDS elige una subred y una dirección IP dentro de esa subred para asociarla con la instancia de base de datos. La instancia de base de datos utiliza la zona de disponibilidad que contiene la subred.

  • La VPC debe tener un grupo de seguridad de VPC que permita el acceso a la instancia de base de datos.

  • Los bloques de CIDR de cada una de las subredes deben ser lo suficientemente grandes como para acomodar direcciones IP de repuesto para que Amazon RDS las use durante las actividades de mantenimiento, incluyendo la conmutación por error y el escalado de recursos de computación.

  • El atributo instance tenancy de una VPC puede definirse como default o dedicated. Todas las VPC predeterminadas tienen el atributo de tenencia de instancia definido como default, y una VPC predeterminada puede admitir cualquier clase de instancia de base de datos.

    Si opta por tener la instancia de base de datos en una VPC dedicada cuyo atributo de tenencia de instancia está establecido en dedicated, la clase de instancia de base de datos de la instancia debe ser uno de los tipos aprobados de instancia dedicada de Amazon EC2. Por ejemplo, la instancia dedicada m3.medium de EC2 corresponde a la clase de instancia de base de datos db.m3.medium. Para obtener información acerca de la tenencia de instancias en una VPC, consulte Instancias dedicadas en la Guía del usuario de Amazon Elastic Compute Cloud.

    Para obtener más información acerca de los tipos de instancia que puede haber en una instancia dedicada, consulte Instancias dedicadas de Amazon EC2 en la página de precios de EC2.

    nota

    Cuando establece el atributo de arrendamiento de instancia en dedicado para una instancia de base de datos de Amazon RDS, no garantiza que la instancia de base de datos se ejecute en un host dedicado.

  • Cuando se asigna un grupo de opciones a una instancia de base de datos, este está vinculado a la plataforma admitida en la que se encuentra la instancia de base de datos, VPC o EC2-Classic (sin VPC). Además, si una instancia de base de datos está en una VPC, el grupo de opciones asociado a la instancia de base de datos está vinculado a esa VPC. Esta vinculación significa que no se puede utilizar el grupo de opciones asignado a una instancia de base de datos si se intenta restaurar la instancia de base de datos en una VPC distinta o en otra plataforma.

  • Si restaura una instancia de base de datos en una VPC o una plataforma diferentes, deberá asignar el grupo de opciones predeterminado a la instancia de base de datos, asignar un grupo de opciones que esté vinculado a esa VPC o plataforma, o bien crear un grupo de opciones nuevo y asignarlo a la instancia de base de datos. Con las opciones persistentes o permanentes, como TDE de Oracle, debe crear un grupo de opciones nuevo que incluya la opción persistente o permanente cuando restaure una instancia de base de datos en una VPC diferente.

Uso de los grupos de subredes de base de datos

Las subredes son segmentos del rango de direcciones IP de una VPC que se definen para agrupar recursos de acuerdo con las necesidades operativas y de seguridad. Un grupo de subredes de base de datos es una colección de subredes (normalmente privadas) que se crean en una VPC y que después se asignan a las instancias de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear instancias de bases de datos utilizando la CLI o API. Si utiliza la consola, solo puede elegir la VPC y las subredes que desea utilizar.

Cada grupo de subredes de base de datos debe tener subredes como mínimo en dos zonas de disponibilidad de una Región de AWS determinada. Al crear una instancia de base de datos en una VPC, debe asegurarse de elegir un grupo de subredes de base de datos. Desde el grupo de subred de base de datos, Amazon RDS elige una subred y una dirección IP dentro de esa subred para asociarla con la instancia de base de datos. La instancia de base de datos utiliza la zona de disponibilidad que contiene la subred. Si falla la instancia de base de datos principal de un despliegue Multi-AZ, Amazon RDS puede promocionar la instancia en espera correspondiente y, posteriormente, crear una nueva instancia en espera utilizando una dirección IP de la subred de una de las otras zonas de disponibilidad.

Las subredes de un grupo de subredes de base de datos son públicas o privadas. Las subredes son públicas o privadas, en función de la configuración que establezca para sus listas de control de acceso a la red (ACL de red) y tablas de enrutamiento. Para que una instancia de base de datos sea accesible públicamente, todas las subredes del grupo de subredes de base de datos deben ser públicas. Si una subred asociada a una instancia de base de datos de acceso público cambia de pública a privada, puede afectar a la disponibilidad de la instancia.

Para crear un grupo de subredes de base de datos que admita el modo de pila doble, asegúrese de que cada subred que agregue al grupo de subredes de base de datos tenga un bloque de CIDR de Protocolo de Internet versión 6 (IPv6) asociado. Para obtener más información, consulte Direccionamiento IP de Amazon RDS y el tema sobre cómo migrar a IPv6 en la Guía del usuario de Amazon VPC.

nota

El grupo de subredes de base de datos para una zona local puede tener solo una subred.

Cuando Amazon RDS crea una instancia de base de datos en una VPC, asigna una interfaz de red a la instancia de base de datos utilizando una dirección IP elegida del grupo de subredes de base de datos. Sin embargo, le recomendamos que utilice el nombre del sistema de nombres de dominio (DNS) para conectarse a la instancia de base de datos, ya que la dirección IP subyacente cambia durante la conmutación por error.

nota

Para cada instancia de base de datos que ejecute en una VPC, asegúrese de reservar al menos una dirección en cada subred del grupo de subredes de base de datos para que la utilice Amazon RDS para las acciones de recuperación.

Direccionamiento IP de Amazon RDS

Las direcciones IP permiten que los recursos de la VPC se comuniquen entre sí y con otros recursos a través de Internet. Amazon RDS admiten tanto los protocolos de direcciones de Protocolo de Internet versión 4 (IPv4) como IPv6. De forma predeterminada, Amazon RDS y Amazon VPC utilizan el protocolo de direccionamiento IPv4. No puede desactivar este comportamiento. Al crear una VPC, debe especificar un bloque de CIDR IPv4 (un intervalo de direcciones IPv4 privadas). De manera opcional, puede asignar un bloque de CIDR IPv6 a su VPC y sus subredes y asignar direcciones IPv6 de dicho bloque a instancias de base de datos de su subred.

La compatibilidad con el protocolo IPv6 amplía el número de direcciones IP admitidas. Al utilizar el protocolo IPv6, se asegura de tener suficientes direcciones disponibles para el futuro crecimiento de Internet. Los recursos de RDS nuevos y existentes pueden utilizar direcciones IPv4 e IPv6 dentro de su Amazon VPC. Configurar, proteger y traducir el tráfico de red entre los dos protocolos utilizados en diferentes partes de una aplicación puede provocar sobrecarga operativa. Puede estandarizar el protocolo IPv6 para los recursos de Amazon RDS para simplificar la configuración de la red.

Direcciones IPv4

Al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC como bloque de CIDR como 10.0.0.0/16. Un grupo de subredes de base de datos define el rango de direcciones IP de este bloque de CIDR que puede utilizar una instancia de base de datos. Esta dirección IP puede ser privada o pública.

Una dirección IPv4 privada es una dirección IP a la que no se puede obtener acceso desde Internet. Las direcciones IPv4 privadas se usan para la comunicación entre la instancia de la base de datos y otros recursos, como instancias de Amazon EC2, en la misma VPC. Cada instancia de base de datos tiene una dirección IP privada para comunicar en la VPC.

Una dirección IP pública es una dirección IPv4 a la que se puede tener acceso desde Internet. Las direcciones públicas se usan para la comunicación entre la instancia de la base de datos y los recursos en internet, como un cliente SQL. Debe controlar si una instancia de base de datos recibe una dirección IP pública.

Para ver un tutorial que muestra cómo crear una VPC con solo direcciones IPv4 privadas que puede utilizar con un escenario habitual de Amazon RDS, consulte Tutorial: Creación de una Amazon VPC para utilizarla con una instancia de base de datos(solo IPv4).

Direcciones IPv6

De manera opcional, puede asociar un bloque de CIDR IPv6 a su VPC y sus subredes y asignar direcciones IPv6 desde dicho bloque a los recursos de su VPC. Cada dirección IPv6 es única a nivel global.

El bloque de CIDR IPv6 de su VPC se asigna automáticamente de entre el grupo de direcciones IPv6 de Amazon. Usted no puede elegir el rango.

Al conectarse a una dirección IPv6, asegúrese de que se cumplan las siguientes condiciones:

  • El cliente se ha configurado de manera que se permita el tráfico de la base de datos a través de IPv6.

  • Los grupos de seguridad de RDS utilizados por la instancia de base de datos están configurados correctamente para permitir el tráfico de cliente a la base de datos a través de IPv6.

  • La pila del sistema operativo de cliente permite el tráfico en la dirección IPv6. Además, los controladores y bibliotecas del sistema operativo están configurados para elegir el punto de conexión de la instancia de base de datos predeterminado correcto (IPv4 o IPv6).

Para obtener más información sobre IPv6, consulte el tema sobre direccionamiento IP en la Guía del usuario de Amazon VPC.

Modo de pila doble

Cuando un clúster de puede comunicarse tanto por los protocolos de direcciones IPv4 como IPv6, se ejecuta en modo de pila doble. Por lo tanto, los recursos pueden comunicarse con el clúster de de base de datos a través de IPv4, IPv6 o ambos. RDS deshabilita el acceso a Internet Gateway para los puntos de conexión IPv6 de instancias de base de datos privadas en modo de pila doble para garantizar que los puntos de conexión IPv6 sean privados y solo se pueda acceder a ellos desde la VPC.

Para ver un tutorial donde se muestra cómo crear una VPC con las direcciones IPv4 y IPv6 que puede utilizar en un escenario habitual de Amazon RDS, consulte Tutorial: Creación de una nube virtual privada (VPC) para utilizarla con una instancia de base de datos (modo de pila doble).

Modo de pila doble y grupos de subredes de base de datos

Para utilizar el modo de pila doble, asegúrese de que cada subred del grupo de subredes de base de datos que asocie a la instancia de base de datos tenga un bloque de CIDR de IPv6 asociado. Puede crear un nuevo grupo de subredes de base de datos o modificar un grupo existente de subredes de base de datos para cumplir este requisito. Cuando una instancia de base de datos esté en modo de pila doble, los clientes podrán conectarse como siempre. Asegúrese de que los firewalls de seguridad del cliente y los grupos de seguridad de instancias de base de datos RDS estén configurados correctamente para permitir el tráfico a través de IPv6. Para conectarse, los clientes utilizan el punto de conexión de la instancia de base de datos . Las aplicaciones de cliente pueden especificar qué protocolo prefieren al conectarse a una base de datos. En modo de pila doble, la instancia de base de datos detecta el protocolo de red preferido del cliente (IPv4 o IPv6) y utiliza ese protocolo para la conexión.

Si un grupo de subredes de base de datos deja de admitir el modo de pila doble debido a la eliminación de subred o a la disociación de CIDR, existe el riesgo de que se produzca un estado de red incompatible para las instancias de base de datos asociadas al grupo de subredes de base de datos. Además, no puede utilizar el grupo de subredes de base de datos al crear una instancia nueva de base de datos en modo de pila doble.

Para determinar si un grupo de subredes de base de datos admite el modo de pila doble mediante laAWS Management Console, consulte el tipo de red en la página de detalles del grupo de subredes de base de datos. Para determinar si un grupo de subredes de base de datos admite el modo de pila doble mediante laAWS CLI, llame al comando describe-db-subnet-groups y la vista SupportedNetworkTypes en la salida.

Las réplicas de lectura se tratan como instancias de base de datos independientes y pueden tener un tipo de red diferente al de la instancia de base de datos principal. Si cambia el tipo de red de la instancia de base de datos principal de una réplica de lectura, la réplica de lectura no se verá afectada. Al restaurar una instancia de base de datos, puede restaurarla a cualquier tipo de red compatible.

Utilización de instancias de base de datos en modo de pila doble

Al crear o modificar una instancia de base de datos, puede especificar que el modo de pila doble permita que los recursos se comuniquen con su instancia de base de datos a través de IPv4, IPv6 o ambos.

Al utilizar la AWS Management Console para crear o modificar una instancia de base de datos, puede especificar el modo de pila doble en la sección Tipo de red. En la imagen siguiente se muestra la sección Tipo de red en la AWS Management Console.


							La sección Network type (Tipo de red) de la consola con el Dual-stack mode (Modo de pila doble) seleccionado

Si utiliza AWS CLI para crear o modificar una instancia, establezca la opción --network-type como DUAL para utilizar el modo de pila doble. Si utiliza la API de RDS para crear o modificar una instancia de base de datos, establezca el parámetro NetworkType en DUAL para utilizar el modo de pila doble. Al modificar el tipo de red de una instancia de base de datos, puede haber un tiempo de inactividad. Si el modo de pila doble no es compatible con la versión del motor de base de datos o el grupo de subredes de base de datos especificados, se devuelve el error NetworkTypeNotSupported.

Para obtener más información acerca de la creación de una instancia de base de datos, consulte Creación de una instancia de base de datos de Amazon RDS. Para obtener más información acerca de la modificación de una instancia de base de datos, consulte Modificación de una instancia de base de datos de Amazon RDS.

Para determinar si una instancia de base de datos está en modo de pila doble mediante la AWS Management Console, consulte el Tipo de red en la pestaña Conectividad y seguridad de la instancia de base de datos.

Modificación de instancias de base de datos solo IPv4 para utilizar el modo de pila doble

Puede modificar instancias de base de datos solo IPv4 para utilizar el modo de pila doble. Para ello, cambie el tipo de red de la instancia de base de datos. La modificación podría dar lugar a un tiempo de inactividad.

Antes de modificar una instancia de base de datos para utilizar el modo de pila doble, asegúrese de que su grupo de subredes de base de datos admite el modo de pila doble. Si el grupo de subredes de base de datos asociado a la instancia de base de datos no admite el modo de pila doble, especifique otro grupo de subredes de base de datos que lo admita cuando modifique la instancia de base de datos. Si modifica el grupo de subredes de base de datos de una instancia de base de datos antes de cambiar la instancia de base de datos para utilizar el modo de pila doble, asegúrese de que el grupo de subredes de base de datos sea válido para la instancia de base de datos antes y después del cambio.

Si no puede conectarse a la instancia de base de datos después del cambio, asegúrese de que los firewalls de seguridad de la base de datos y del cliente y las tablas de enrutamiento se hayan configurado correctamente para permitir el tráfico cruzado a la base de datos de la red seleccionada (IPv4 o IPv6). Es posible que también tenga que modificar los parámetros, las bibliotecas o los controladores del sistema operativo para conectarse mediante una dirección IPv6.

Las siguientes limitaciones se aplican a la modificación de una instancia de base de datos para utilizar el modo de pila doble:

  • No se puede acceder públicamente a las instancias de base de datos en modo de pila doble.

  • Las instancias de base de datos no pueden tener un punto de conexión solo IPv6.

  • No puede haber un cambio pendiente de una implementación Multi-AZ única a una implementación Multi-AZ o de una implementación Multi-AZ a una implementación Multi-AZ única.

Para modificar una instancia de base de datos solo IPv4 para utilizar el modo de pila doble

  1. Modifique un grupo de subredes de base de datos para admitir el modo de pila doble o cree un grupo de subredes de base de datos que admita el modo de doble pila:

    1. Asocie un bloque de CIDR IPv6 a su VPC.

      Para obtener más información, consulte el tema sobre cómo asociar un bloque de CIDR IPv6 a su VPC en la Guía del usuario de Amazon VPC.

    2. Adjunte el bloque de CIDR IPv6 a todas las subredes de su grupo de subredes de base de datos.

      Para obtener más información, consulte el tema sobre cómo asociar un bloque de CIDR IPv6 a su subred en la Guía del usuario de Amazon VPC.

    3. Confirme que el grupo de subredes de base de datos admita el modo de pila doble.

      Si utiliza la AWS Management Console, seleccione el grupo de subredes de base de datos y asegúrese de que el valor Supported network types (Tipos de redes compatibles) sea Dual, IPv4 (Doble, IPv4).

      Si utiliza la AWS CLI, llame al comando describe-db-subnet-groups y asegúrese de que el valor SupportedNetworkType de la instancia de base de datos sea Dual, IPv4.

  2. Modifique el grupo de seguridad asociado a la instancia de base de datos para permitir conexiones IPv6 a la base de datos o cree un nuevo grupo de seguridad que permita conexiones IPv6.

    Para obtener instrucciones, consulte el tema sobre cómo crear un grupo de seguridad en la Guía del usuario de Amazon VPC.

  3. Modifique la instancia de base de datos para admitir el modo de doble pila y establezca el Network type (Tipo de red) en Dual-stack mode (Modo de pila doble).

    Si utiliza la AWS Management Console, asegúrese de que la siguiente configuración sea correcta:

    • Network type (Tipo de red)Dual-stack mode (Modo de pila doble)

      
											La sección Network type (Tipo de red) de la consola con el Dual-stack mode (Modo de pila doble) seleccionado
    • Subnet group (Grupo de subredes): el grupo de subredes de base de datos que configuró en un paso anterior

    • Security group (Grupo de seguridad): la seguridad que configuró en el paso anterior

    Si utiliza la AWS CLI, asegúrese de que la siguiente configuración sea correcta:

    • --network-typedual

    • --db-subnet-group-name: el grupo de subredes de base de datos que configuró en un paso anterior

    • --vpc-security-group-ids: el grupo de seguridad de base de datos que configuró en un paso anterior

  4. Confirme que la instancia de base de datos admita el modo de pila doble.

    Si utiliza la AWS Management Console, vaya a la pestaña Connectivity & security (Conectividad y seguridad) para la instancia de base de datos y asegúrese de que el valor Network type (Tipo de red) esté en Dual-stack mode (Modo de pila doble).

    Si utiliza la AWS CLI, llame al comando describe-db-instances y asegúrese de que el valor NetworkType de la instancia de base de datos sea dual.

    Ejecute el comando dig en el punto de conexión de la instancia de base de datos para identificar la dirección IPv6 que tiene asociada.

    dig db-instance-endpoint AAAA

    Utilice el punto de conexión de la instancia de base de datos (no la dirección IPv6) para conectarse a la instancia de base de datos.

Disponibilidad de las instancias de base de datos de red de doble pila

Las siguientes versiones del motor de base de datos admiten instancias de base de datos de red de doble pila:

  • Versiones de RDS for MariaDB:

    • Versión 10.5.7 y versiones posteriores a la 10.5

    • Versión 10.4.8 y versiones posteriores a la 10.4

    • Versión 10.3.20 y posteriores a la 10.3

    • Versión 10.2.21 y posteriores a la 10.2

  • Versiones de RDS for MySQL:

    • Versión 8.0.21 y posteriores a la 8.0

    • Versión 5.7.31 y posteriores a la 5.7

  • Todas las versiones de RDS for Oracle

  • Versiones de RDS for PostgreSQL:

    • Todas las versiones 14

    • Versión 13.3 y versiones posteriores a la 13

    • Versión 12.7 y posteriores a la 12

    • Versión 11.12 y posteriores a la 11

    • Versión 10.17 y posteriores a la 10

  • Versiones de RDS for SQL Server:

    • Versiones 15.00.4043.16.v1 y posteriores a la 15

    • Versiones 14.00.3294.2.v1 y posteriores a la 14

    • Versiones 13.00.5820.21.v1 y posteriores a la 13

Limitaciones de las instancias de base de datos de red de pila doble

Las siguientes limitaciones se aplican a las instancias de base de datos de red de pila doble:

  • Los clústeres de de base de datos no pueden utilizar el protocolo IPv6 exclusivamente. Pueden utilizar IPv4 exclusivamente o utilizar el protocolo IPv4 y IPv6 (modo de pila doble).

  • Amazon RDS no admite subredes IPv6 nativas.

  • Los clústeres de de base de datos que utilizan el modo de doble pila deben ser de tipo privado. No son accesibles públicamente.

  • El modo de pila doble no es compatible en las Regiones de AWS de China (Pekín) y China (Ningxia).

  • El modo de pila doble no admite clases de instancias de bases de datos db.m3 y db.r3.

  • Para RDS for SQL Server, las instancias de base de datos en modo de pila doble que utilizan puntos de conexión de escucha de grupos de disponibilidad Always On AGs solo presentan direcciones IPv4.

  • No puede utilizar RDS Proxy con instancias de base de datos en modo de pila doble.

  • No puede utilizar el modo de pila doble con RDS en instancias de base de datos de AWS Outposts.

  • No puede utilizar el modo de pila doble con instancias de base de datos en una zona local.

Cómo ocultar una instancia de base de datos en una VPC desde Internet.

Un escenario común de Amazon RDS consiste en tener una VPC en la que hay una instancia EC2 con una aplicación web abierta al público y una instancia de base de datos con una base de datos que no está accesible públicamente. Por ejemplo, puede crear una VPC que tenga una subred pública y una subred privada. Las instancias de Amazon EC2 que funcionan como servidores web se pueden implementar en la subred pública y las instancias de bases de datos se implementan en la subred privada. En una implementación de este tipo, solo los servidores web tienen acceso a las instancias de bases de datos. Para ver una ilustración de este escenario, consulte Acceso a una instancia de base de datos situada en una VPC desde una instancia EC2 de la misma VPC.

Cuando lanza una instancia de base de datos dentro de una VPC, la instancia de base de datos tiene una dirección IP privada para el tráfico dentro de la VPC. Esta dirección IP privada no es accesible públicamente. Puede utilizar la opción Public access (Acceso público) para designar si la instancia de base de datos también tiene una dirección IP pública además de la dirección IP privada. Si la instancia de base de datos se designa como de acceso público, su punto de enlace DNS se resuelve en la dirección IP privada desde dentro de la VPC de la instancia de base de datos y en la dirección IP pública desde fuera de la VPC de la instancia de base de datos. El acceso a la instancia de base de datos se controla en última instancia mediante el grupo de seguridad que utiliza. El acceso público no está permitido si el grupo de seguridad asignado a la instancia de base de datos no lo permite.

Es posible modificar una instancia de base de datos para activar o desactivar la accesibilidad pública modificando la opción Public access (Acceso público). Para obtener más información, consulte la sección de modificación correspondiente a su motor de base de datos.

En la ilustración siguiente se muestra la opción Public access (Acceso público) en la sección Additional connectivity configuration (Configuración de conectividad adicional). Para definir la opción, abra la sección Additional connectivity configuration (Configuración de conectividad adicional) en la sección Connectivity (Conectividad).

Para obtener información sobre cómo modificar una instancia de base de datos para establecer la opción Public access (Acceso público), consulte Modificación de una instancia de base de datos de Amazon RDS.

Creación de una instancia de base de datos en una VPC

Los siguientes procedimientos le ayudan a crear una instancia de base de datos en una VPC. Si su cuenta tiene una VPC predeterminada, puede comenzar por el paso 3, ya que la VPC y el grupo de subredes de base de datos ya se han creado automáticamente. Si su cuenta de AWS no tiene una VPC predeterminada, o si desea crear una VPC adicional, puede crear una VPC nueva.

Si no sabe si tiene una VPC predeterminada, consulte Describe cómo determinar si se está utilizando la plataforma EC2-VPC o EC2-Classic..

nota

Si desea que una instancia de base de datos de la VPC sea accesible públicamente, debe actualizar la información de DNS para la VPC activando los atributos DNS hostnames y DNS resolution de la VPC. Para obtener información acerca de cómo actualizar la información de DNS para una instancia de VPC, consulte Actualización de la compatibilidad de DNS para su VPC.

Siga estos pasos para crear una instancia de base de datos en una VPC:

Paso 1: Crear una VPC

Si su cuenta de AWS no tiene una VPC predeterminada o si desea crear una VPC adicional, siga las instrucciones para crear una VPC nueva. Consulte Creación de una VPC con subredes públicas y privadas o Paso 1: Crear una VPC en la documentación de Amazon VPC.

Paso 2: agregar subredes a la VPC

Una vez que haya creado una VPC, deberá crear subredes como mínimo en dos zonas de disponibilidad. Utilizará estas subredes cuando cree un grupo de subredes de base de datos. Si tiene una VPC predeterminada, se crea automáticamente una subred en cada zona de disponibilidad de la Región de AWS.

Para obtener instrucciones sobre cómo crear subredes en una VPC, consulte Creación de una VPC con subredes públicas y privadas.

Paso 3: crear un grupo de subredes de base de datos

Un grupo de subredes de base de datos es una colección de subredes (normalmente privadas) que se crean para una VPC y que después se asignan a las instancias de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear instancias de bases de datos utilizando la CLI o API. Si utiliza la consola, solo puede elegir la VPC y las subredes que desea utilizar. Cada grupo de subredes de base de datos debe tener como mínimo una subred en al menos dos zonas de disponibilidad de la Región de AWS.

Como práctica recomendada, cada grupo de subredes de base de datos debería tener al menos una subred por cada una de las zonas de disponibilidad en la Región de AWS. Para las implementaciones Multi-AZ, si se define una subred para todas las zonas de disponibilidad de una Región de AWS, Amazon RDS podría crear una réplica en espera en otra zona de disponibilidad si fuera necesario. Puede seguir esta práctica recomendada incluso para las implementaciones Single-AZ, ya que quizá las convierta en implementaciones Multi-AZ en un futuro.

Para que una instancia de base de datos sea accesible públicamente, las subredes del grupo de subredes de base de datos deben tener una gateway de Internet. Para obtener más información acerca de las gateways de Internet para las subredes, consulte Gateways de Internet en la documentación de Amazon VPC.

nota

El grupo de subredes de base de datos para una zona local puede tener solo una subred.

Cuando crea una instancia de base de datos en una VPC, debe asegurarse de elegir un grupo de subredes de base de datos. Amazon RDS elige una subred y una dirección IP dentro de esa subred para asociarla con la instancia de base de datos. Amazon RDS crea y asocia una interfaz de red elástica a su instancia de base de datos con esa dirección IP. La instancia de base de datos utiliza la zona de disponibilidad que contiene la subred. Para las implementaciones Multi-AZ, si se define una subred para dos o más zonas de disponibilidad de una Región de AWS, Amazon RDS podría crear una instancia en espera en otra zona de disponibilidad si fuera necesario. Debe hacerlo incluso para los despliegues Single-AZ, por si desea convertirlos en implementaciones Multi-AZ en algún momento.

En este paso, debe crear un grupo de subredes de base de datos y debe agregar las subredes que creó para la VPC.

Para crear un grupo de subredes de base de datos

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Subnet groups.

  3. Elija Create DB Subnet Group.

  4. En Name, escriba el nombre del grupo de subredes de base de datos.

  5. En Description, escriba la descripción del grupo de opciones de base de datos.

  6. En VPC, elija la VPC que ha creado.

  7. En la sección Agregar subredes, elija las zonas de disponibilidad que incluyen las subredes en Zonas de disponibilidad, y, a continuación, elija las subredes en Subredes.

    
							Botón de la pantalla Create DB Subnet Group (crear grupo de subred de base de datos)
    nota

    Si ha habilitado una zona local, puede elegir un grupo de zonas de disponibilidad en la página Create DB subnet group (Crear grupo de subredes de base de datos). En este caso, elija Availability Zone group (Grupo de zonas de disponibilidad), Availability Zones (Zonas de disponibilidad)y Subnets (Subredes).

  8. Seleccione Create (Crear OpsItem).

    El nuevo grupo de subredes de base de datos aparece en la lista de grupos de subredes de base de datos de la consola de RDS. Puede elegir el grupo de subredes de base de datos para ver los detalles, incluidas todas las subredes asociadas al grupo, en el panel de detalles de la parte inferior de la ventana.

Paso 4: crear un grupo de seguridad de VPC

Antes de crear la instancia de base de datos, debe crear un grupo de seguridad de VPC para asociarlo a la instancia de base de datos. Para obtener instrucciones acerca de cómo crear un grupo de seguridad para la instancia de base de datos, consulte Creación de un grupo de seguridad de VPC para una instancia privada de base de datos o Grupos de seguridad de su VPC en la documentación de Amazon VPC.

Paso 5: crear la instancia de base de datos en la VPC

En este paso, se crea una instancia de base de datos y se utiliza el nombre de la VPC, el grupo de subredes de base de datos y el grupo de seguridad de VPC creados en los pasos anteriores.

nota

Si desea que una instancia de base de datos de la VPC sea accesible públicamente, debe activar los atributos DNS hostnames y DNS resolution de la VPC. Para obtener información sobre cómo actualizar la información de DNS para una instancia de VPC, consulte Actualización de la compatibilidad de DNS para su VPC.

Para obtener más información sobre cómo crear una instancia de base de datos, consulte Creación de una instancia de base de datos de Amazon RDS.

Cuando la sección Connectivity (Conectividad) se lo pida, ingrese el nombre de la VPC, el grupo de subredes de base de datos y el grupo de seguridad de la VPC que creó en los pasos anteriores.