Amazon Relational Database Service
Guía del usuario (Versión de API 2014-10-31)

Uso de una instancia de base de datos en una VPC

A menos que esté trabajando con una instancia de base de datos heredada, su instancia de base de datos se encuentra en una Virtual Private Cloud (VPC). Puede configurar una VPC, que es una red virtual que está aislada de forma lógica de otras redes virtuales de la nube de AWS. Amazon VPC permite lanzar recursos de AWS como, por ejemplo, una instancia de base de datos de Amazon RDS o una instancia de Amazon EC2, en una VPC. La VPC puede ser una VPC predeterminada que viene con la cuenta o una que se haya creado en ella. Todas las VPC están asociadas a la cuenta de AWS.

La VPC predeterminada tiene tres subredes que se pueden utilizar para aislar recursos dentro de la VPC. La VPC predeterminada también tiene una gateway de Internet que se puede utilizar para proporcionar acceso a los recursos situados dentro de la VPC desde fuera de la VPC.

Para obtener una lista de los escenarios relacionados con las instancias de bases de datos de Amazon RDS situadas dentro y fuera de una VPC, consulte Escenarios para el acceso a una instancia de base de datos situada en una VPC.

Para ver un tutorial que muestra cómo crear una VPC que se puede utilizar con un escenario común de Amazon RDS, consulte Tutorial: Creación de una Amazon VPC para utilizarla con una instancia de base de datos.

Para obtener información sobre cómo utilizar instancias de bases de datos situadas dentro de una VPC, consulte los siguientes temas:

Uso de una instancia de base de datos en una VPC

A continuación se ofrecen algunos consejos para utilizar una instancia de base de datos en una VPC:

  • La VPC debe tener dos subredes como mínimo. Estas subredes deben estar en dos zonas de disponibilidad distintas de la región de AWS en la que desea implementar la instancia de base de datos. Una subred es un segmento del rango de direcciones IP de una VPC que puede especificar y que le permite agrupar instancias según sus necesidades operativas y de seguridad.

  • Si desea que una instancia de base de datos de la VPC sea accesible públicamente, debe activar los atributos DNS hostnames y DNS resolution de la VPC.

  • La VPC debe tener un grupo de subredes de base de datos creado específicamente (para obtener más información, consulte la siguiente sección). Puede crear un grupo de subredes de base de datos especificando las subredes que ha creado. Amazon RDS utiliza ese grupo de subredes de base de datos y su zona de disponibilidad preferida para seleccionar una subred y una dirección IP dentro de esa subred con el fin de asignársela a la instancia de base de datos.

  • La VPC debe tener un grupo de seguridad de VPC que permita el acceso a la instancia de base de datos.

  • Los bloques de CIDR de cada una de las subredes deben ser lo suficientemente grandes como para acomodar direcciones IP de repuesto para que Amazon RDS las use durante las actividades de mantenimiento, incluyendo la conmutación por error y el escalado de recursos de computación.

  • El atributo instance tenancy de una VPC puede definirse como default o dedicated. Todas las VPC predeterminadas tienen el atributo de tenencia de instancia definido como default, y una VPC predeterminada puede admitir cualquier clase de instancia de base de datos.

    Si opta por tener la instancia de base de datos en una VPC dedicada cuyo atributo de tenencia de instancia está establecido en dedicated, la clase de instancia de base de datos de la instancia debe ser uno de los tipos aprobados de instancia dedicada de Amazon EC2. Por ejemplo, la instancia dedicada m3.medium de EC2 corresponde a la clase de instancia de base de datos db.m3.medium. Para obtener información acerca de la tenencia de instancias en una VPC, vaya a Uso de las instancias dedicadas de EC2 en la Guía del usuario de Amazon Virtual Private Cloud.

    Para obtener más información acerca de los tipos de instancia que puede haber en una instancia dedicada, consulte Instancias dedicadas de Amazon EC2 en la página de precios de EC2.

  • Cuando se asigna un grupo de opciones a una instancia de base de datos, este está vinculado a la plataforma admitida en la que se encuentra la instancia de base de datos, VPC o EC2-Classic (sin VPC). Además, si una instancia de base de datos está en una VPC, el grupo de opciones asociado a la instancia de base de datos está vinculado a esa VPC. Esta vinculación significa que no se puede utilizar el grupo de opciones asignado a una instancia de base de datos si se intenta restaurar la instancia de base de datos en una VPC distinta o en otra plataforma.

  • Si restaura una instancia de base de datos en una VPC o una plataforma diferentes, deberá asignar el grupo de opciones predeterminado a la instancia de base de datos, asignar un grupo de opciones que esté vinculado a esa VPC o plataforma, o bien crear un grupo de opciones nuevo y asignarlo a la instancia de base de datos. Con las opciones persistentes o permanentes, como TDE de Oracle, debe crear un grupo de opciones nuevo que incluya la opción persistente o permanente cuando restaure una instancia de base de datos en una VPC diferente.

Uso de los grupos de subredes de base de datos

Las subredes son segmentos del rango de direcciones IP de una VPC que se definen para agrupar recursos de acuerdo con las necesidades operativas y de seguridad. Un grupo de subredes de base de datos es una colección de subredes (normalmente privadas) que se crean en una VPC y que después se asignan a las instancias de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear instancias de bases de datos utilizando la CLI o API; si utiliza la consola, solo puede seleccionar la VPC y las subredes que desea utilizar.

Cada grupo de subredes de base de datos debe tener subredes como mínimo en dos zonas de disponibilidad de una región de AWS determinada. Al crear una instancia de base de datos en una VPC, debe seleccionar un grupo de subredes de base de datos. Amazon RDS utiliza ese grupo de subredes de base de datos y su zona de disponibilidad preferida para seleccionar una subred y una dirección IP dentro de esa subred con el fin de asociarla a la instancia de base de datos. Si falla la instancia de base de datos principal de un despliegue Multi-AZ, Amazon RDS puede promocionar la instancia en espera correspondiente y, posteriormente, crear una nueva instancia en espera utilizando una dirección IP de la subred de una de las otras zonas de disponibilidad.

Cuando Amazon RDS crea una instancia de base de datos en una VPC, asigna una interfaz de red a la instancia de base de datos utilizando una dirección IP seleccionada del grupo de subredes de base de datos. Sin embargo, recomendamos que utilice el nombre de DNS para conectarse a la instancia de base de datos, ya que la dirección IP subyacente cambia durante la conmutación por error.

nota

Para cada instancia de base de datos que ejecute en una VPC, debe reservar al menos una dirección en cada subred del grupo de subredes de base de datos para que la utilice Amazon RDS para las acciones de recuperación.

Cómo ocultar una instancia de base de datos en una VPC desde Internet.

Un escenario común de Amazon RDS consiste en tener una VPC en la que hay una instancia EC2 con una aplicación web abierta al público y una instancia de base de datos con una base de datos que no está accesible públicamente. Por ejemplo, puede crear una VPC que tenga una subred pública y una subred privada. Las instancias Amazon EC2 que funcionan como servidores web se pueden implementar en la subred pública y las instancias de bases de datos se implementan en la subred privada. En una implementación de este tipo, solo los servidores web tienen acceso a las instancias de bases de datos. Para ver una ilustración de este escenario, consulte Acceso a una instancia de base de datos situada en una VPC desde una instancia EC2 de la misma VPC.

Cuando se lanza una instancia de base de datos dentro de una VPC, el parámetro Public accessibility (Accesibilidad pública) permite especificar si la instancia de base de datos que se crea tiene un DNS que se resuelve en una dirección IP pública. Este parámetro permite especificar si hay acceso público a la instancia de base de datos. El acceso a la instancia de base de datos se controla en última instancia mediante el grupo de seguridad que utiliza, y que el acceso público no está permitido si el grupo de seguridad asignado a la instancia de base de datos no lo permite.

Es posible modificar una instancia de base de datos para activar o desactivar la accesibilidad pública modificando el parámetro Public accessibility (Accesibilidad pública). Este parámetro se modifica como cualquier otro parámetro de instancia de base de datos. Para obtener más información, consulte la sección de modificación correspondiente a su motor de base de datos.

La ilustración siguiente muestra la opción Public accessibility (Accesibilidad pública) de la sección Network & Security (Red y seguridad).

Creación de una instancia de base de datos en una VPC

Los siguientes procedimientos le ayudan a crear una instancia de base de datos en una VPC. Si su cuenta tiene una VPC predeterminada, puede comenzar por el paso 3, ya que la VPC y el grupo de subredes de base de datos ya se han creado automáticamente. Si su cuenta de AWS no tiene una VPC predeterminada, o si desea crear una VPC adicional, puede crear una VPC nueva.

Si no sabe si tiene una VPC predeterminada, consulte Describe cómo determinar si se está utilizando la plataforma EC2-VPC o EC2-Classic..

nota

Si desea que una instancia de base de datos de la VPC sea accesible públicamente, debe actualizar la información de DNS para la VPC activando los atributos DNS hostnames y DNS resolution de la VPC. Para obtener información acerca de cómo actualizar la información de DNS para una instancia de VPC, consulte Actualización de la compatibilidad de DNS para su VPC.

Siga estos pasos para crear una instancia de base de datos en una VPC:

Paso 1: Crear una VPC

Si su cuenta de AWS no tiene una VPC predeterminada o si desea crear una VPC adicional, siga las instrucciones para crear una VPC nueva. Consulte Creación de una VPC con subredes públicas y privadas o Paso 1: Crear una VPC en la documentación de Amazon VPC.

Paso 2: Añadir subredes a la VPC

Una vez que haya creado una VPC, deberá crear subredes como mínimo en dos zonas de disponibilidad. Utilizará estas subredes cuando cree un grupo de subredes de base de datos. Si tiene una VPC predeterminada, se crea automáticamente una subred en cada zona de disponibilidad de la región de AWS.

Para obtener instrucciones sobre cómo crear subredes, consulte Creación de una VPC con subredes públicas y privadas.

Paso 3: Crear un grupo de subredes de base de datos

Un grupo de subredes de base de datos es una colección de subredes (normalmente privadas) que se crean para una VPC y que después se asignan a las instancias de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear instancias de bases de datos utilizando la CLI o API. Si utiliza la consola, solo puede seleccionar la VPC y las subredes que desea utilizar. Cada grupo de subredes de base de datos debe tener como mínimo una subred en dos zonas de disponibilidad de la región de AWS.

nota

Para que una instancia de base de datos sea accesible públicamente, las subredes del grupo de subredes de base de datos deben tener una gateway de Internet. Para obtener más información acerca de las gateways de Internet para las subredes, consulte Gateways de Internet en la documentación de Amazon VPC.

Cuando cree una instancia de base de datos en una VPC, debe seleccionar un grupo de subredes de base de datos. Amazon RDS utiliza ese grupo de subredes de base de datos y su zona de disponibilidad preferida para seleccionar una subred. Amazon RDS crea y asocia una interfaz de red elástica a la instancia de base de datos que tiene esa dirección IP. Para las implementaciones Multi-AZ, si se define una subred para dos o más zonas de disponibilidad de una región de AWS, Amazon RDS podrá crear una instancia en espera en otra zona de disponibilidad si fuera necesario. Debe hacerlo incluso para los despliegues Single-AZ, por si desea convertirlos en implementaciones Multi-AZ en algún momento.

En este paso, creará un grupo de subredes de base de datos y añadirá las subredes que creó para la VPC.

Consola de administración de AWS

Para crear un grupo de subredes de base de datos

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Subnet groups.

  3. Elija Create DB Subnet Group.

  4. En Name, escriba el nombre del grupo de subredes de base de datos.

  5. En Description, escriba la descripción del grupo de opciones de base de datos.

  6. En VPC, elija la VPC que ha creado.

  7. En la sección Add subnets (Añadir subredes), elija Add all the subnets related to this VPC (Añadir todas las subredes relacionadas con esta VPC).

    
							Botón de la pantalla Create DB Subnet Group (crear grupo de subred de base de datos)
  8. Seleccione Create.

    El nuevo grupo de subredes de base de datos aparece en la lista de grupos de subredes de base de datos de la consola de RDS. Puede elegir el grupo de subredes de base de datos para ver los detalles, incluidas todas las subredes asociadas al grupo, en el panel de detalles de la parte inferior de la ventana.

Paso 4: Crear un grupo de seguridad de VPC

Antes de crear la instancia de base de datos, debe crear un grupo de seguridad de VPC para asociarlo a la instancia de base de datos. Para obtener instrucciones acerca de cómo crear un grupo de seguridad para la instancia de base de datos, consulte Creación de un grupo de seguridad de VPC para una instancia privada de base de datos o Grupos de seguridad de su VPC en la documentación de Amazon VPC.

Paso 5: Crear la instancia de base de datos en la VPC

En este paso, se crea una instancia de base de datos y se utiliza el nombre de la VPC, el grupo de subredes de base de datos y el grupo de seguridad de VPC creados en los pasos anteriores.

nota

Si desea que una instancia de base de datos de la VPC sea accesible públicamente, debe activar los atributos DNS hostnames y DNS resolution de la VPC. Para obtener información sobre cómo actualizar la información de DNS para una instancia de VPC, consulte Actualización de la compatibilidad de DNS para su VPC.

Para obtener información detallada sobre cómo crear una instancia de base de datos para su motor de base de datos, consulte el tema correspondiente a su motor de base de datos en la tabla siguiente. Para cada motor, cuando la sección Network & Security (Red y seguridad) se lo pida, introduzca el nombre de la VPC, el grupo de subredes de base de datos y el grupo de seguridad de VPC que creó en los pasos anteriores.