Uso de una instancia de base de datos en una VPC

Su instancia de base de datos debe estar dentro de la nube privada virtual (VPC). Una VPC es una red virtual aislada lógicamente de otras redes virtuales en la nube de AWS. Amazon VPC le permite lanzar recursos de AWS, como una instanciaAmazon Aurora o una instancia de Amazon EC2, en una VPC. La VPC puede ser una VPC predeterminada que viene con la cuenta o una que se haya creado en ella. Todas las VPC están asociadas a la cuenta de AWS.

La VPC predeterminada tiene tres subredes que se pueden utilizar para aislar recursos dentro de la VPC. La VPC predeterminada también tiene una gateway de Internet que se puede utilizar para proporcionar acceso a los recursos situados dentro de la VPC desde fuera de la VPC.

Para obtener una lista de los escenarios relacionados con las instancias de bases de datos de Amazon RDS dentro y fuera de una VPC, consulte Escenarios de acceso a una instancia de base de datos en una VPC.

En los siguientes tutoriales se explica cómo crear una VPC que se puede utilizar en un escenario de Amazon RDS habitual:

• Tutorial: Creación de una VPC para utilizarla con una instancia de base de datos (solo IPv4)

• Tutorial: Creación de una VPC para utilizarla con una instancia de base de datos (modo de pila doble)

Uso de una instancia de base de datos en una VPC

A continuación se ofrecen algunos consejos para utilizar una instancia de base de datos en una VPC:

• La VPC debe tener dos subredes como mínimo. Estas subredes deben estar en dos zonas de disponibilidad distintas de la Región de AWS en la que desea implementar la instancia de base de datos. Una subred es un segmento del rango de direcciones IP de una VPC que puede especificar y que le permite agrupar instancias de base de datos según sus necesidades operativas y de seguridad.

  Para implementaciones Multi-AZ, si se define una subred para dos o más zonas de disponibilidad de una región de Región de AWS, Amazon RDS podrá crear una instancia en espera en otra zona de disponibilidad si fuera necesario. Asegúrese de hacerlo incluso para las implementaciones Single-AZ, por si desea convertirlas en implementaciones Multi-AZ en algún momento.

  nota

  El grupo de subredes de base de datos para una zona local puede tener solo una subred.

• Si desea que una instancia de base de datos de la VPC sea accesible públicamente, debe activar los atributos DNS hostnames y DNS resolution.

• La VPC debe tener un grupo de subredes de base de datos que haya creado. Para crear un grupo de subredes de base de datos, especifique las subredes que ha creado. Amazon RDS elige una subred y una dirección IP dentro de ese grupo de subredes para asociarlas con su instancia de base de datos. La instancia de base de datos utiliza la zona de disponibilidad que contiene la subred.

• La VPC debe tener un grupo de seguridad de VPC que permita el acceso a la instancia de base de datos.

  Para obtener más información, consulte Escenarios de acceso a una instancia de base de datos en una VPC.

• Los bloques de CIDR de cada una de las subredes deben ser lo suficientemente grandes como para acomodar direcciones IP de repuesto para que Amazon RDS las use durante las actividades de mantenimiento, incluyendo la conmutación por error y el escalado de recursos de computación. Por ejemplo, un rango como 10.0.0/24 y 10.0.2.0/24 suele ser lo suficientemente grande.

• El atributo instance tenancy de una VPC puede definirse como default o dedicated. Todas las VPC predeterminadas tienen el atributo de tenencia de instancia definido como default, y una VPC predeterminada puede admitir cualquier clase de instancia de base de datos.

  Si opta por tener la instancia de base de datos en una VPC dedicada cuyo atributo de tenencia de instancia está establecido en dedicado, la clase de instancia de base de datos de la instancia debe ser uno de los tipos aprobados de instancia dedicada de Amazon EC2. Por ejemplo, la instancia dedicada r5.large de EC2 corresponde a la clase de instancia de base de datos r5.large. Para obtener información acerca de la tenencia de instancias en una VPC, consulte Instancias dedicadas en la Guía del usuario de Amazon Elastic Compute Cloud.

  Para obtener más información acerca de los tipos de instancia que puede haber en una instancia dedicada, consulte Instancias dedicadas de Amazon EC2 en la página de precios de EC2.

  nota

  Cuando establece el atributo de tenencia de instancia en dedicado para una instancia de base de datos, no garantiza que la instancia de base de datos se ejecute en un host dedicado.

• Cuando se asigna un grupo de opciones a una instancia de base de datos, se asocia a la VPC de la instancia de base de datos. Esta vinculación significa que no se puede utilizar el grupo de opciones asignado a una instancia de base de datos si se intenta restaurar la instancia de base de datos en una VPC distinta.

• Si restaura una instancia de base de datos en una VPC diferente, asegúrese de asignar el grupo de opciones predeterminado a la instancia de base de datos, asignar un grupo de opciones que esté vinculado a esa VPC, o crear un grupo de opciones nuevo y asignarlo a la instancia de base de datos. Con las opciones persistentes o permanentes, como TDE de Oracle, debe crear un grupo de opciones nuevo que incluya la opción persistente o permanente cuando restaure una instancia de base de datos en una VPC diferente.

Uso de los grupos de subredes de base de datos

Las subredes son segmentos del rango de direcciones IP de una VPC que se definen para agrupar recursos de acuerdo con las necesidades operativas y de seguridad. Un grupo de subredes de base de datos es una colección de subredes (normalmente privadas) que se crean en una VPC y que después se asignan a las instancias de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear instancias de bases de datos utilizando la AWS CLI o la API de RDS. Si utiliza la consola, solo puede elegir la VPC y los grupos de subredes que desea utilizar.

Cada grupo de subredes de base de datos debe tener subredes como mínimo en dos zonas de disponibilidad de una Región de AWS determinada. Cuando crea una instancia de base de datos en una VPC, debe elegir un grupo de subredes de base de datos. Desde el grupo de subred de base de datos, Amazon RDS elige una subred y una dirección IP dentro de esa subred para asociarla con la de base de datos. La base de datos utiliza la zona de disponibilidad que contiene la subred.

Si falla la instancia de base de datos principal de una implementación multi-AZ, Amazon RDS puede promocionar la instancia en espera correspondiente y, posteriormente, crear una nueva instancia en espera utilizando una dirección IP de la subred de una de las otras zonas de disponibilidad.

Las subredes de un grupo de subredes de base de datos son públicas o privadas. Las subredes son públicas o privadas, en función de la configuración que establezca para sus listas de control de acceso a la red (ACL de red) y tablas de enrutamiento. Para que una instancia de base de datos sea accesible públicamente, todas las subredes del grupo de subredes de base de datos deben ser públicas. Si una subred asociada a una instancia de base de datos de acceso público cambia de pública a privada, eso puede afectar a la disponibilidad de la instancia.

Para crear un grupo de subredes de base de datos que admita el modo de pila doble, asegúrese de que cada subred que agregue al grupo de subredes de base de datos tenga un bloque de CIDR de protocolo de Internet versión 6 (IPv6) asociado. Para obtener más información, consulte Direccionamiento IP de Amazon RDS y el tema sobre cómo migrar a IPv6 en la Guía del usuario de Amazon VPC.

nota

El grupo de subredes de base de datos para una zona local puede tener solo una subred.

Cuando Amazon RDS crea una instancia de base de datos en una VPC, asigna una interfaz de red a la instancia de base de datos utilizando una dirección IP del grupo de subredes de base de datos. Sin embargo, le recomendamos que utilice el nombre del sistema de nombres de dominio (DNS) para conectarse a la instancia de base de datos. Se recomienda hacerlo porque la dirección IP subyacente cambia durante la conmutación por error.

nota

Para cada instancia de base de datos que ejecute en una VPC, asegúrese de reservar al menos una dirección en cada subred del grupo de subredes de base de datos para que la utilice Amazon RDS para las acciones de recuperación.

Subredes compartidas

Puede crear una instancia de base de datos en una VPC compartida.

Algunas consideraciones a tener en cuenta al utilizar las VPC compartidas:

• Puede mover una instancia  de base de datos de una subred de VPC compartida a una subred de VPC no compartida y viceversa.

• Los participantes de una VPC compartida deben crear un grupo de seguridad en la VPC que les permita crear una instancia de base de datos.

• Los propietarios y los participantes de una VPC compartida pueden acceder a la base de datos mediante consultas SQL. Sin embargo, solo el creador de un recurso puede realizar llamadas a la API en el recurso.

Direccionamiento IP de Amazon RDS

Las direcciones IP permiten que los recursos de la VPC se comuniquen entre sí y con otros recursos a través de Internet. Amazon RDS admite los protocolos de direcciones IPv4 e IPv6. De forma predeterminada, Amazon RDS y Amazon VPC utilizan el protocolo de direccionamiento IPv4. No puedes desactivar este comportamiento. Al crear una VPC, debe especificar un bloque de CIDR IPv4 (un intervalo de direcciones IPv4 privadas). De manera opcional, puede asignar un bloque de CIDR IPv6 a su VPC y sus subredes y asignar direcciones IPv6 de dicho bloque a instancias de base de datos de su subred

La compatibilidad con el protocolo IPv6 amplía el número de direcciones IP admitidas. Al utilizar el protocolo IPv6, se asegura de tener suficientes direcciones disponibles para el futuro crecimiento de Internet. Los recursos de RDS nuevos y existentes pueden utilizar direcciones IPv4 e IPv6 dentro de su VPC. Configurar, proteger y traducir el tráfico de red entre los dos protocolos utilizados en diferentes partes de una aplicación puede provocar sobrecarga operativa. Puede estandarizar el protocolo IPv6 para los recursos de Amazon RDS para simplificar la configuración de la red.

Temas

• Direcciones IPv4
• Direcciones IPv6
• Modo de pila doble

Direcciones IPv4

Al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC como bloque de CIDR como 10.0.0.0/16. Un grupo de subredes de base de datos define el rango de direcciones IP de este bloque de CIDR que puede utilizar una instancia de base de datos. Esta dirección IP puede ser privada o pública.

Una dirección IPv4 privada es una dirección IP a la que no se puede obtener acceso desde Internet. Se pueden usar direcciones IPv4 privadas para la comunicación entre la instancia de la base de datos y otros recursos, como instancias de Amazon EC2, en la misma VPC. Cada instancia de base de datos tiene una dirección IP privada para la comunicación en la VPC.

Una dirección IP pública es una dirección IPv4 a la que se puede acceder desde Internet. Se pueden usar direcciones públicas para la comunicación entre la instancia de la base de datos y los recursos en Internet, como un cliente SQL. Debe controlar si una instancia de base de datos recibe una dirección IP pública.

Para ver un tutorial que muestra cómo crear una VPC con solo direcciones IPv4 privadas que puede utilizar con un escenario habitual de Amazon RDS, consulte Tutorial: Creación de una VPC para utilizarla con una instancia de base de datos (solo IPv4).

Direcciones IPv6

De manera opcional, puede asociar un bloque de CIDR IPv6 a su VPC y sus subredes y asignar direcciones IPv6 desde dicho bloque a los recursos de su VPC. Cada dirección IPv6 es única a nivel mundial.

El bloque de CIDR IPv6 de su VPC se asigna automáticamente de entre el grupo de direcciones IPv6 de Amazon. Usted no puede elegir el rango.

Al conectarse a una dirección IPv6, asegúrese de que se cumplan las siguientes condiciones:

• El cliente se ha configurado de manera que se permita el tráfico de la base de datos a través de IPv6.

• Los grupos de seguridad de RDS utilizados por la instancia de base de datos están configurados correctamente para permitir el tráfico de cliente a la base de datos a través de IPv6.

• La pila del sistema operativo de cliente permite el tráfico en la dirección IPv6. Además, los controladores y bibliotecas del sistema operativo están configurados para elegir el punto de conexión de la instancia de base de datos predeterminado correcto (IPv4 o IPv6).

Para obtener más información sobre IPv6, consulte el tema sobre direccionamiento IP en la Guía del usuario de Amazon VPC.

Modo de pila doble

Cuando una instancia de base de datos puede comunicarse a través de los protocolos de direcciones tanto IPv4 como IPv6, se ejecuta en modo de pila doble. Por lo tanto, los recursos pueden comunicarse con la instancia de base de datos a través de IPv4, IPv6 o ambos. RDS deshabilita el acceso a la puerta de enlace de Internet para los puntos de conexión IPv6 de instancias de base de datos en modo de pila doble. RDS hace esto para garantizar que los puntos de conexión IPv6 sean privados y solo se pueda acceder a ellos desde la VPC.

Temas

• Modo de pila doble y grupos de subredes de base de datos
• Utilización de instancias de base de datos en modo de pila doble
• Modificación de instancias de base de datos de solo IPv4 para utilizar el modo de pila doble
• Disponibilidad en regiones y versiones
• Limitaciones de instancias de base de datos de red de pila doble

Para ver un tutorial donde se muestra cómo crear una VPC con las direcciones IPv4 y IPv6 que puede utilizar en un escenario habitual de Amazon RDS, consulte Tutorial: Creación de una VPC para utilizarla con una instancia de base de datos (modo de pila doble).

Modo de pila doble y grupos de subredes de base de datos

Para utilizar el modo de pila doble, asegúrese de que cada subred del grupo de subredes de base de datos que asocie a la instancia de base de datos tenga un bloque de CIDR de IPv6 asociado. Puede crear un nuevo grupo de subredes de base de datos o modificar un grupo existente de subredes de base de datos para cumplir este requisito. Cuando una instancia de base de datos esté en modo de pila doble, los clientes podrán conectarse como siempre. Asegúrese de que los firewalls de seguridad del cliente y los grupos de seguridad de instancias de base de datos RDS estén configurados correctamente para permitir el tráfico a través de IPv6. Para conectarse, los clientes utilizan el punto de conexión de la instancia de base de datos. Las aplicaciones de cliente pueden especificar qué protocolo prefieren al conectarse a una base de datos. En modo de pila doble, la instancia de base de datos detecta el protocolo de red preferido del cliente (IPv4 o IPv6) y utiliza ese protocolo para la conexión.

Si un grupo de subredes de base de datos deja de admitir el modo de pila doble debido a la eliminación de subredes o a la disociación de CIDR, existe el riesgo de que se produzca un estado de red incompatible para las instancias de base de datos asociadas al grupo de subredes de base de datos. Además, no puede utilizar el grupo de subredes de base de datos al crear una instancia nueva de base de datos en modo de pila doble.

Para determinar si un grupo de subredes de base de datos admite el modo de pila doble mediante la AWS Management Console, consulte Network type (Tipo de red) en la página de detalles del grupo de subredes de base de datos. Para determinar si un grupo de subredes de base de datos admite el modo de pila doble mediante la AWS CLI, ejecute el comando describe-db-subnet-groups y la vista SupportedNetworkTypes en la salida.

Las réplicas de lectura se tratan como instancias de base de datos independientes y pueden tener un tipo de red diferente al de la instancia de base de datos principal. Si cambia el tipo de red de la instancia de base de datos principal de una réplica de lectura, la réplica de lectura no se verá afectada. Al restaurar una instancia de base de datos, puede restaurarla a cualquier tipo de red compatible.

Utilización de instancias de base de datos en modo de pila doble

Al crear o modificar una instancia de base de datos, puede especificar que el modo de pila doble permita que los recursos se comuniquen con su instancia de base de datos a través de IPv4, IPv6 o ambos.

Al utilizar la AWS Management Console para crear o modificar una instancia de base de datos, puede especificar el modo de pila doble en la sección Network type (Tipo de red). En la imagen siguiente se muestra la sección Network type (Tipo de red) en la consola.

Si utiliza la AWS CLI para crear o modificar una instancia de base de datos, establezca la opción --network-type en DUAL para utilizar el modo de pila doble. Si utiliza la API de RDS para crear o modificar una instancia de base de datos, establezca el parámetro NetworkType en DUAL para utilizar el modo de pila doble. Al modificar el tipo de red de una instancia de base de datos, puede haber un tiempo de inactividad. Si el modo de pila doble no es compatible con la versión del motor de base de datos o el grupo de subredes de base de datos especificados, se devuelve el error NetworkTypeNotSupported.

Para obtener más información acerca de la creación de una instancia de base de datos, consulte Creación de una instancia de base de datos de Amazon RDS. Para obtener más información acerca de la modificación de una instancia de base de datos, consulte Modificación de una instancia de base de datos de Amazon RDS.

Para determinar si una instancia de base de datos está en modo de pila doble mediante la consola, consulte Network type (Tipo de red) en la pestaña Connectivity & security (Conectividad y seguridad) de la instancia de base de datos.

Modificación de instancias de base de datos de solo IPv4 para utilizar el modo de pila doble

Puede modificar la instancia de base de datos solo IPv4 para utilizar el modo de pila doble. Para ello, cambie el tipo de red de la instancia de base de datos. La modificación podría dar lugar a un tiempo de inactividad.

Se recomienda cambiar el tipo de red de las instancias de base de datos de Amazon RDS durante un período de mantenimiento. Actualmente, no se admite la configuración del tipo de red de las nuevas instancias en el modo de doble pila. Puede configurar el tipo de red manualmente mediante el comando modify-db-instance .

Antes de modificar una instancia de base de datos para utilizar el modo de pila doble, asegúrese de que su grupo de subredes de base de datos admite el modo de pila doble. Si el grupo de subredes de base de datos asociado a la instancia de base de datos no admite el modo de pila doble, especifique otro grupo de subredes de base de datos que lo admita cuando modifique la instancia de base de datos. La modificación del grupo de subredes de base de datos de una instancia de base de datos puede provocar un tiempo de inactividad.

Si modifica el grupo de subredes de base de datos de una instancia de base de datos antes de cambiar la instancia de base de datos para utilizar el modo de doble pila, asegúrese de que el grupo de subredes de base de datos sea válido para la instancia de base de datos antes y después del cambio.

Para instancias Single-AZ de RDS para PostgreSQL, RDS para MySQL, RDS para Oracle y RDS para MariaDB, le recomendamos que llame al comando modify-db-instance solo con el parámetro --network-type con el valor DUAL para cambiar la red al modo de doble pila. Si se añaden otros parámetros junto con el parámetro --network-type en la misma llamada a la API, se podría producir un tiempo de inactividad. Para modificar varios parámetros, asegúrese de que la modificación del tipo de red se haya completado correctamente antes de enviar otra solicitud de modify-db-instance con otros parámetros.

Las modificaciones del tipo de red para instancias de base de datos multi-AZ de RDS para PostgreSQL, RDS para MySQL, RDS para Oracle y RDS para MariaDB provocan un breve tiempo de inactividad y producen una conmutación por error si solo utiliza el parámetro --network-type o si combina parámetros en un comando modify-db-instance.

Las modificaciones del tipo de red en instancias de base de datos single-AZ o multi-AZ de RDS para SQL Server provocan un tiempo de inactividad si solo se usa el parámetro --network-type o si se combinan parámetros en un comando modify-db-instance. Las modificaciones del tipo de red provocan una conmutación por error en una instancia multi-AZ de SQL Server.

Si no puede conectarse a la instancia de base de datos después del cambio, asegúrese de que los firewalls de seguridad de la base de datos y del cliente y las tablas de enrutamiento se hayan configurado correctamente para permitir el tráfico a la base de datos de la red seleccionada (IPv4 o IPv6). Es posible que también tenga que modificar los parámetros, las bibliotecas o los controladores del sistema operativo para conectarse mediante una dirección IPv6.

Cuando modifique una instancia de base de datos para utilizar el modo de pila doble, no puede haber un cambio pendiente de una implementación single-AZ a una implementación multi-AZ, ni de una implementación multi-AZ a una implementación single-AZ.

Para modificar una instancia de base de datos solo IPv4 para utilizar el modo de pila doble

1. Modifique un grupo de subredes de base de datos para admitir el modo de pila doble o cree un grupo de subredes de base de datos que admita el modo de pila doble:

   1. Asocie un bloque de CIDR IPv6 a su VPC.

      Para obtener más información, consulte el tema Agregue un bloque CIDR de IPv6 a su VPC en la Guía del usuario de Amazon VPC.

   2. Adjunte el bloque de CIDR IPv6 a todas las subredes de su grupo de subredes de base de datos.

      Para obtener más información, consulte el tema Agregue un bloque CIDR de IPv6 a su subred en la Guía del usuario de Amazon VPC.

   3. Confirme que el grupo de subredes de base de datos admita el modo de pila doble.

      Si utiliza la AWS Management Console, seleccione el grupo de subredes de base de datos y asegúrese de que el valor Supported network types (Tipos de redes compatibles) sea Dual, IPv4 (Doble, IPv4).

      Si utiliza la AWS CLI, ejecute el comando describe-db-subnet-groups y asegúrese de que el valor SupportedNetworkType de la instancia de base de datos sea Dual, IPv4.

2. Modifique el grupo de seguridad asociado a la instancia de base de datos para permitir conexiones IPv6 a la base de datos o cree un nuevo grupo de seguridad que permita conexiones IPv6.

   Para obtener instrucciones, consulte el tema sobre cómo crear un grupo de seguridad en la Guía del usuario de Amazon VPC.

3. Modifique el clúster base de datos para admitir el modo de pila doble. Para ello, defina Network type (Tipo de red) en Dual-stack mode (Modo de pila doble).

   Si utiliza la consola, asegúrese de que la siguiente configuración sea correcta:

   • Network type (Tipo de red): Dual-stack mode (Modo de pila doble)

     

   • DB subnet group (Grupo de subredes de base de datos): el grupo de subredes de base de datos que configuró en un paso anterior

   • Security group (Grupo de seguridad): la seguridad que configuró en el paso anterior

   Si utiliza la AWS CLI, asegúrese de que la siguiente configuración sea correcta:

   • --network-type – dual

   • --db-subnet-group-name: el grupo de subredes de base de datos que configuró en un paso anterior

   • --vpc-security-group-ids: el grupo de seguridad de la VPC que configuró en un paso anterior

   Por ejemplo:

   aws rds modify-db-instance --db-instance-identifier my-instance --network-type "DUAL"

4. Confirme que la instancia de base de datos admite el modo de pila doble.

   Si utiliza la consola, elija la pestaña Connectivity & security (Conectividad y seguridad) (Configuración) para el clúster de base de datos. En esa pestaña, asegúrese de que el valor de Network type (Tipo de red) es Dual-stack mode (Modo de pila doble).

   Si utiliza la AWS CLI, ejecute al comando describe-db-instances y asegúrese de que el valor NetworkType de la instancia de base de datos sea dual.

   Ejecute el comando dig en el punto de conexión de la instancia de base de datos del para identificar la dirección IPv6 que tiene asociada.

   dig db-instance-endpoint AAAA

   Utilice el punto de conexión de la instancia de escritor (no la dirección IPv6) para conectarse a la instancia de base de datos.

Disponibilidad en regiones y versiones

La disponibilidad de las características varía según las versiones específicas de cada motor de base de datos y entre Regiones de AWS. Para obtener más información sobre la disponibilidad de versiones y regiones con el modo de pila doble, consulte Modo de pila doble.

Limitaciones de instancias de base de datos de red de pila doble

Las siguientes limitaciones se aplican a las instancias de base de datos de red de pila doble:

• Las instancias de base de datos no pueden utilizar el protocolo IPv6 exclusivamente. Pueden utilizar IPv4 exclusivamente o utilizar el protocolo IPv4 y IPv6 (modo de pila doble).

• Amazon RDS no admite subredes IPv6 nativas.

• Las instancias de base de datos que utilizan el modo de pila doble deben ser de tipo privado. No pueden ser accesibles públicamente.

• El modo de pila doble no admite las clases de instancias de base de datos db.m3 y db.r3.

• Para RDS for SQL Server, las instancias de base de datos en modo de pila doble que utilizan puntos de conexión de escucha de grupos de disponibilidad Always On AGs solo presentan direcciones IPv4.

• No puede utilizar RDS Proxy con instancias de base de datos en modo de pila doble.

• No puede utilizar el modo de pila doble con RDS en instancias de base de datos de AWS Outposts.

• No puede utilizar el modo de pila doble con instancias de base de datos en una zona local.

Cómo ocultar una instancia de base de datos en una VPC desde Internet.

Un escenario común de Amazon RDS consiste en tener una VPC en la que hay una instancia EC2 con una aplicación web abierta al público y una instancia de base de datos con una base de datos que no es de acceso público. Por ejemplo, puede crear una VPC que tenga una subred pública y una subred privada. Las instancias de Amazon EC2 que funcionan como servidores web se pueden implementar en la subred pública. Los clústeres de base de datos se implementan en la subred privada. En una implementación de este tipo, solo los servidores web tienen acceso a las instancias de bases de datos. Para ver una ilustración de este escenario, consulte Una instancia de base de datos en una VPC a la que se accede desde una instancia EC2 de la misma VPC.

Cuando lanza una instancia de base de datos dentro de una VPC, la instancia de base de datos tiene una dirección IP privada para el tráfico dentro de la VPC. Esta dirección IP privada no es accesible públicamente. Puede utilizar la opción Public access (Acceso público) para designar si la instancia de base de datos también tiene una dirección IP pública además de la dirección IP privada. Si la instancia se designa como de acceso público, su punto de conexión DNS se resuelve en la dirección IP privada desde dentro de la VPC. Se resuelve en la dirección IP pública desde fuera de la VPC. Acceso a el clúster de base de datos está controlado en última instancia por el grupo de seguridad que utiliza. No se permite el acceso público si el grupo de seguridad asignado a la instancia de la base de datos no incluye reglas de entrada que lo permitan. Además, para que una instancia de base de datos sea accesible públicamente, las subredes del grupo de subredes de base de datos deben tener una puerta de enlace de Internet. Para obtener más información, consulte No puede conectarse a la instancia de base de datos de Amazon RDS.

Es posible modificar una instancia de base de datos para activar o desactivar la accesibilidad pública modificando la opción Public access (Acceso público). En la ilustración siguiente se muestra la opción Public access (Acceso público) en la sección Additional connectivity configuration (Configuración de conectividad adicional). Para definir la opción, abra la sección Additional connectivity configuration (Configuración de conectividad adicional) en la sección Connectivity (Conectividad).

Para obtener información sobre cómo modificar una instancia de base de datos para establecer la opción Public access (Acceso público), consulte Modificación de una instancia de base de datos de Amazon RDS.

Creación de una instancia de base de datos en una VPC

Los siguientes procedimientos le ayudan a crear una instancia de base de datos en una VPC. Para utilizar la VPC predeterminada, puede comenzar con el paso 2, y utilizar la VPC y el grupo de subredes de la base de datos que ya se han creado para usted. Si desea crear una VPC adicional, puede crear una VPC nueva.

nota

Si desea que una instancia de base de datos de la VPC sea accesible públicamente, debe actualizar la información de DNS para la VPC activando los atributos DNS hostnames y DNS resolution de la VPC. Para obtener información acerca de cómo actualizar la información de DNS para una instancia de VPC, consulte Actualización de la compatibilidad de DNS para su VPC.

Siga estos pasos para crear una instancia de base de datos en una VPC:

• Paso 1: Crear una VPC

• Paso 2: Crear un grupo de subredes de base de datos

• Paso 3: Crear un grupo de seguridad de VPC

• Paso 4: Crear la instancia de base de datos en la VPC

Paso 1: Crear una VPC

Cree una VPC con subredes en al menos dos zonas de disponibilidad. Utilizará estas subredes cuando cree un grupo de subredes de base de datos. Si tiene una VPC predeterminada, se crea automáticamente una subred en cada zona de disponibilidad de la Región de AWS.

Para obtener más información, consulte Creación de una VPC con subredes públicas y privadas o Creación de una VPC en la Guía del usuario de Amazon VPC.

Paso 2: Crear un grupo de subredes de base de datos

Un grupo de subredes de base de datos es una colección de subredes (normalmente privadas) que se crean para una VPC y que después se asignan a las instancias de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear instancias de bases de datos utilizando la AWS CLI o API. Si utiliza la consola, solo puede elegir la VPC y las subredes que desea utilizar. Cada grupo de subredes de base de datos debe tener como mínimo una subred en al menos dos zonas de disponibilidad de la Región de AWS. Como práctica recomendada, cada grupo de subredes de base de datos debería tener al menos una subred por cada una de las zonas de disponibilidad en la Región de AWS.

Para las implementaciones Multi-AZ, si se define una subred para todas las zonas de disponibilidad de una Región de AWS, Amazon RDS podría crear una réplica en espera en otra zona de disponibilidad si fuera necesario. Puede seguir esta práctica recomendada incluso para las implementaciones Single-AZ, ya que quizá las convierta en implementaciones Multi-AZ en un futuro.

Para que una instancia de base de datos sea accesible públicamente, las subredes del grupo de subredes de base de datos deben tener una puerta de enlace de Internet. Para obtener más información sobre las puertas de enlace de Internet, consulte Conectar subredes a Internet por medio de una puerta de enlace de Internet en la Guía del usuario de Amazon VPC.

nota

El grupo de subredes de base de datos para una zona local puede tener solo una subred.

Cuando crea una instancia de base de datos en una VPC, debe elegir un grupo de subredes de base de datos. Amazon RDS elige una subred y una dirección IP dentro de esa subred para asociarla con la instancia de base de datos. Si no existen grupos de subredes de base de datos, Amazon RDS crea un grupo de subredes predeterminado cuando se crea una instancia de base de datos. Amazon RDS crea y asocia una interfaz de red elástica a su instancia de base de datos con esa dirección IP. La instancia de base de datos utiliza la zona de disponibilidad que contiene la subred.

Para implementaciones Multi-AZ, si se define una subred para dos o más zonas de disponibilidad de una región de Región de AWS, Amazon RDS podrá crear una instancia en espera en otra zona de disponibilidad si fuera necesario. Debe hacerlo incluso para las implementaciones Single-AZ, por si desea convertirlos en implementaciones Multi-AZ en algún momento.

En este paso, debe crear un grupo de subredes de base de datos y debe agregar las subredes que creó para la VPC.

Para crear un grupo de subredes de base de datos

1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

2. En el panel de navegación, elija Subnet groups.

3. Elija Create DB Subnet Group.

4. En Name, escriba el nombre del grupo de subredes de base de datos.

5. En Description, escriba la descripción del grupo de opciones de base de datos.

6. Para la VPC, elija la VPC predeterminada o la VPC que ha creado.

7. En la sección Agregar subredes, elija las zonas de disponibilidad que incluyen las subredes en Zonas de disponibilidad, y, a continuación, elija las subredes en Subredes.

   

   nota

   Si ha habilitado una zona local, puede elegir un grupo de zonas de disponibilidad en la página Create DB subnet group (Crear grupo de subredes de base de datos). En este caso, elija Availability Zone group (Grupo de zonas de disponibilidad), Availability Zones (Zonas de disponibilidad)y Subnets (Subredes).

8. Seleccione Create (Crear).

   El nuevo grupo de subredes de base de datos aparece en la lista de grupos de subredes de base de datos de la consola de RDS. Puede elegir el grupo de subredes de base de datos para ver los detalles, incluidas todas las subredes asociadas al grupo, en el panel de detalles de la parte inferior de la ventana.

Paso 3: Crear un grupo de seguridad de VPC

Antes de crear la instancia de base de datos, debe crear un grupo de seguridad de VPC para asociarlo a la instancia de base de datos. Si no crea un grupo de seguridad de VPC, puede utilizar el grupo de seguridad predeterminado cuando cree una instancia de base de datos. Para obtener instrucciones sobre cómo crear un grupo de seguridad para la instancia de base de datos, consulte Creación de un grupo de seguridad de VPC para una instancia de base de datos privada o consulte Controlar el tráfico hacia los recursos mediante grupos de seguridad en la Guía del usuario de Amazon VPC.

Paso 4: Crear la instancia de base de datos en la VPC

En este paso, se crea una instancia de base de datos y se utiliza el nombre de la VPC, el grupo de subredes de base de datos y el grupo de seguridad de VPC creados en los pasos anteriores.

nota

Si desea que una instancia de base de datos de la VPC sea accesible públicamente, debe activar los atributos DNS hostnames y DNS resolution de la VPC. Para obtener más información, consulte Atributos de DNS para su VPC en la Guía del usuario de Amazon VPC.

Para obtener más información sobre cómo crear una instancia de base de datos, consulte Creación de una instancia de base de datos de Amazon RDS.

Cuando la sección Connectivity (Conectividad) se lo pida, introduzca el nombre de la VPC, el grupo de subredes de base de datos y el grupo de seguridad de la VPC.