Cenários para acessar uma instância de banco de dados em uma VPC - Amazon Relational Database Service

Cenários para acessar uma instância de banco de dados em uma VPC

O Amazon RDS oferece suporte para os seguintes cenários de acesso a uma instância de banco de dados em uma VPC:

Importante

Se sua instância de banco de dados foi criada após 2013, provavelmente ela estará em uma VPC. Para obter mais informações sobre como criar uma instância de banco de dados em uma VPC, consulte Cenários para acessar uma instância de banco de dados em uma VPC.

Uma instância de banco de dados fora de uma VPC acessada por uma instância do EC2 em uma VPC

No caso em que você tem uma instância do EC2 em uma VPC e uma instância de banco de dados do RDS fora de uma VPC, é possível conectá-las pela Internet pública.

O diagrama a seguir mostra esse cenário.


					Uma instância de banco de dados fora de uma VPC acessada por uma instância do EC2 em uma VPC
nota

ClassicLink, descrito em Uma instância de banco de dados em uma VPC acessada por uma instância do EC2 fora de uma VPC, não está disponível para esse cenário.

Para conectar a instância de banco de dados e a instância do EC2 pela Internet pública, faça o seguinte:

  • Certifique-se de que a instância do EC2 esteja em uma sub-rede pública na VPC.

  • Certifique-se de que a instância de banco de dados do RDS tenha sido marcada como publicamente acessível.

  • Uma observação sobre Network ACLs aqui. Uma Network ACL é como um firewall para toda a sua sub-rede. Portanto, todas as instâncias dessa sub-rede estão sujeitas às regras de ACL da rede. Por padrão, as Network ACLs permitem todo o tráfego, e você geralmente não precisa se preocupar com elas, a menos que queira particularmente adicionar regras como uma camada extra de segurança. Um grupo de segurança, por outro lado, está associado a instâncias individuais, e você precisa se preocupar com as regras do grupo de segurança.

  • Adicione as regras de entrada necessárias ao grupo de segurança de banco de dados para a instância de banco de dados do RDS.

    Uma regra de entrada especifica uma porta de rede e um intervalo de IP/CIDR. Por exemplo, você pode adicionar uma regra de entrada que permite que a porta 3306 se conecte a uma instância de banco de dados do RDS MySQL e um CIDR/intervalo de IP de 203.0.113.25/32. Para obter mais informações, consulte Autorização de acesso de rede a um grupo de segurança de banco de dados a partir de um intervalo de IP.

nota

Se você estiver interessado em mover uma instância de banco de dados existente para uma VPC, poderá usar o AWS Management Console para fazer isso facilmente. Para obter mais informações, consulte Mover uma instância de banco de dados fora de uma VPC para uma VPC.

Uma instância de banco de dados fora de uma VPC acessada por uma aplicação cliente pela Internet

Novos clientes do Amazon RDS só podem criar uma instância de banco de dados em uma VPC. No entanto, talvez você precise se conectar a uma instância de banco de dados do Amazon RDS existente que não esteja em uma VPC a partir de um aplicativo cliente via Internet.

O diagrama a seguir mostra esse cenário.


					Uma instância de banco de dados fora de uma VPC acessada por um aplicativo cliente através da Internet

Nesse cenário, você deve garantir que o grupo de segurança de banco de dados para a instância de banco de dados do RDS inclua as regras de entrada necessárias para o seu aplicativo cliente se conectar. Uma regra de entrada especifica uma porta de rede e um intervalo de IP/CIDR. Por exemplo, você pode adicionar uma regra de entrada que permite que a porta 3306 se conecte a uma instância de banco de dados do RDS MySQL e um CIDR/intervalo de IP de 203.0.113.25/32. Para obter mais informações, consulte Autorização de acesso de rede a um grupo de segurança de banco de dados a partir de um intervalo de IP.

Atenção

Se você pretende acessar uma instância de banco de dados atrás de um firewall, fale com o administrador para determinar os endereços IP que você deve usar.

nota

Se você estiver interessado em mover uma instância de banco de dados existente para uma VPC, poderá usar o AWS Management Console para fazer isso facilmente. Para obter mais informações, consulte Mover uma instância de banco de dados fora de uma VPC para uma VPC.

Uma instância de banco de dados fora de uma VPC acessada por uma instância do EC2 fora de uma VPC

Quando nem sua instância de banco de dados, nem um aplicativo em uma instância do EC2 estiverem em uma VPC, você poderá acessar a instância de banco de dados usando seu endpoint e sua porta.

O diagrama a seguir mostra esse cenário.


					Uma instância de banco de dados fora de uma VPC acessada por uma instância do EC2 fora de uma VPC

Você deve criar um grupo de segurança para a instância de banco de dados que permita o acesso a partir da porta que você especificou ao criar a instância de banco de dados. Por exemplo, você pode usar uma string de conexão semelhante a essa string de conexão usada com sqlplus para acessar uma instância de banco de dados Oracle:

PROMPT>sqlplus 'mydbusr@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=<endpoint>) (PORT=<port number>))(CONNECT_DATA=(SID=<database name>)))'

Para obter mais informações, consulte a documentação a seguir.

nota

Se você estiver interessado em mover uma instância de banco de dados existente para uma VPC, poderá usar o AWS Management Console para fazer isso facilmente. Para obter mais informações, consulte Mover uma instância de banco de dados fora de uma VPC para uma VPC.