Trabalhar com uma instância de banco de dados em uma VPC - Amazon Relational Database Service

Trabalhar com uma instância de banco de dados em uma VPC

A menos que você esteja trabalhando com uma instância de banco de dados legada, instância de banco de dados está em uma nuvem privada virtual (VPC). Uma VPC é uma rede virtual logicamente isolada de outras redes virtuais na Nuvem AWS. A Amazon VPC permite que você inicie a AWS, como uma instância de banco de dados do Amazon RDS ou uma instância do Amazon EC2, em uma VPC. A VPC pode ser uma VPC padrão que vem com sua conta ou aquele que você criou. Todas as VPCs estão associadas à sua conta da AWS.

Sua VPC padrão possui três sub-redes que você pode usar para isolar recursos dentro da VPC. A VPC padrão também possui um gateway da Internet que pode ser usado para fornecer acesso a recursos na VPC de fora da VPC.

Para obter uma lista de cenários envolvendo instâncias de banco de dados do Amazon RDS em uma VPC e fora de uma VPC, consulte Cenários para acessar uma instância de banco de dados em uma VPC.

Para aprender a trabalhar com instâncias de banco de dados dentro de uma VPC, consulte o seguinte:

Nos tutoriais a seguir, você pode aprender a criar uma VPC a ser utilizada para um cenário comum do Amazon RDS:

Trabalhar com uma instância de banco de dados em uma VPC

Veja a seguir algumas dicas sobre como trabalhar com uma instância de banco de dados em uma VPC:

  • A VPC deve ter pelo menos duas sub-redes. Essas sub-redes devem estar em duas zonas de disponibilidade diferentes na Região da AWS onde você deseja implantar a instância de banco de dados. Uma sub-rede é um segmento do intervalo de endereços IP de uma VPC que você pode especificar e que permite agrupar instâncias com base nas suas necessidades operacionais e de segurança.

    Para implantações multi-AZ, a definição de uma sub-rede para duas ou mais zonas de disponibilidade em uma região da Região da AWS permite que o Amazon RDS crie uma nova espera em outra zona de disponibilidade, caso haja necessidade. Você precisa fazer isso mesmo para implementações single-AZ, caso queira convertê-las em implementações multi-AZ em algum momento.

    nota

    O grupo de sub-redes de banco de dados para uma região local pode ter somente uma sub-rede.

  • Se quiser que sua instância de banco de dados na VPC seja publicamente acessível, você deverá habilitar os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS).

  • Sua VPC deve ter um grupo de sub-redes de banco de dados que você criou (para obter mais informações, consulte a próxima seção). Crie um grupo de sub-redes de banco de dados especificando as sub-redes criadas. O Amazon RDS escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar à sua instância de banco de dados. A instância de banco de dados usa a zona de disponibilidade que contém a sub-rede.

  • Sua VPC deve ter um grupo de segurança de VPC que permita o acesso à instância de banco de dados.

  • Os blocos CIDR em cada uma das suas sub-redes devem ser suficientemente grandes para acomodar endereços IP sobressalentes para o Amazon RDS usar durante atividades de manutenção, incluindo failover e escalabilidade de computação.

  • Uma VPC pode ter um atributo instance tenancy (locação da instância) com o valor default (padrão) ou dedicated (dedicado). Todas as VPC padrão têm o atributo instance tenancy definido como default, e uma VPC padrão pode oferecer suporte a qualquer classe de instância de banco de dados.

    Se você optar por ter sua instância de banco de dados em uma VPC dedicada em que o atributo instance tenancy esteja definido como dedicated, a classe da sua instância de banco de dados deverá ser um dos tipos aprovados de instância dedicada do Amazon EC2. Por exemplo, a instância dedicada m3.medium do EC2 corresponde à classe de instância de banco de dados db.m3.medium. Para obter informações sobre a locação de instâncias em uma VPC, consulte Instâncias dedicadas no Manual do usuário do Amazon Elastic Compute Cloud.

    Para obter mais informações sobre os tipos de instância que podem estar em uma instância dedicada, consulte Instâncias dedicadas do Amazon EC2, na página de definição de preços do EC2.

    nota

    Quando você define o atributo de locação de instâncias como dedicado para uma instância de banco de dados do Amazon RDS, ele não garante que essa instância será executada em um host dedicado.

  • Quando um grupo de opções é atribuído a uma instância de banco de dados, ele também é vinculado à plataforma com suporte na qual a instância de banco de dados se encontra, VPC ou EC2-Classic (não VPC). Além disso, se uma instância de banco de dados estiver em uma VPC, o grupo de opções associado à instância de banco de dados estará vinculado a essa VPC. Esse vínculo significa que você não pode usar o grupo de opções atribuído a uma instância de banco de dados se tentar restaurar essa instância de banco de dados em uma VPC diferente ou para uma plataforma diferente.

  • Se você restaurar uma instância de banco de dados em uma VPC diferente ou em uma plataforma diferente, ou se atribuir o grupo de opções padrão à instância de banco de dados, atribua um grupo de opções que esteja vinculado a essa VPC ou plataforma ou crie um novo grupo de opções e atribua-o à instância de banco de dados. Com opções persistentes ou permanentes, como o Oracle TDE, você deve criar um novo grupo de opções que inclua a opção persistente ou permanente ao restaurar uma instância de banco de dados em uma VPC diferente.

Trabalhar com grupos de sub-redes de banco de dados

Sub-redes são segmentos do intervalo de endereços IP de uma VPC que você designa para agrupar seus recursos com base em necessidades operacionais e de segurança. Um grupo de sub-redes de banco de dados é uma coleção de sub-redes (geralmente privadas) que você cria em uma VPC e designa para suas instâncias de banco de dados. Ao utilizar um grupo de sub-redes de banco de dados, você pode especificar uma VPC específica ao criar instâncias de banco de dados usando a CLI ou a API. Se você usar o console, poderá escolher somente a VPC e as sub-redes que deseja usar.

Cada grupo de sub-redes de banco de dados deve ter sub-redes em pelo menos duas zonas de disponibilidade em determinada Região da AWS. Ao criar uma instância de banco de dados na VPC, você deve escolher um grupo de sub-redes de banco de dados. Do grupo de sub-rede de banco de dados, o Amazon RDS escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar à sua instância de banco de dados. A instância de banco de dados usa a zona de disponibilidade que contém a sub-rede. Se a instância de banco de dados primário de uma implantação multi-AZ falhar, o Amazon RDS poderá promover a espera correspondente e, posteriormente, criar uma espera usando um endereço IP da sub-rede em uma das outras zonas de disponibilidade.

As sub-redes em um grupo de sub-redes de banco de dados são públicas ou privadas. As sub-redes são públicas ou privadas, dependendo da configuração definida para as listas de controle de acesso à rede (ACLs de rede) e tabelas de roteamento. Para que uma instância de banco de dados seja acessível ao público, todas as sub-redes em seu grupo de sub-redes de banco de dados devem ser públicas. Se uma sub-rede associada a uma instância de banco de dados acessível ao público mudar de pública para privada, ela poderá afetar a disponibilidade da instância de banco de dados.

Para criar um grupo de sub-redes de banco de dados que seja compatível com o modo de pilha dupla, verifique se cada sub-rede adicionada ao grupo de sub-redes de banco de dados tem um bloco CIDR do Internet Protocol versão 6 (IPv6) associado a ele. Para obter mais informações, consulte Endereçamento IP do Amazon RDS e Migrar para IPv6 no Guia do usuário da Amazon VPC.

nota

O grupo de sub-redes de banco de dados para uma região local pode ter somente uma sub-rede.

Quando o Amazon RDS cria uma instância de banco de dados em uma VPC, ele atribui uma interface de rede à sua instância de banco de dados usando um endereço IP do seu grupo de sub-redes de banco de dados. No entanto, é altamente recomendável que você use o Sistema de Nome de Domínio (DNS) para se conectar à sua instância de banco de dados, pois o endereço IP subjacente muda durante o failover.

nota

Para cada instância de banco de dados executada em uma VPC, é necessário reservar pelo menos um endereço em cada sub-rede no grupo de sub-redes de banco de dados para uso pelo Amazon RDS para ações de recuperação.

Endereçamento IP do Amazon RDS

Os endereços IP habilitam recursos na sua VPC para se comunicar com outros e com recursos na Internet. O Amazon RDS é compatível com os protocolos de endereçamento versão 4 (IPv4) e IPv6. Por padrão, o Amazon RDS e a Amazon VPC usam o protocolo de endereçamento IPv4. Não é possível desativar esse comportamento. Ao criar uma VPC, especifique um bloco CIDR IPv4 (um intervalo de endereços IPv4 privados). Você também pode atribuir um bloco CIDR IPv6 à VPC e às sub-redes, bem como endereços IPv6 desse bloco a instâncias de banco de dados em sua sub-rede.

A compatibilidade com o protocolo IPv6 expande o número de endereços IP compatíveis. Ao usar o protocolo IPv6, você tem a garantia de que terá endereços disponíveis suficientes para o crescimento futuro da Internet. Os recursos do RDS novos e existentes podem usar endereços IPv4 e IPv6 na Amazon VPC. Configurar, proteger e converter o tráfego de rede entre os dois protocolos usados em diferentes partes de uma aplicação pode causar sobrecarga operacional. Você pode padronizar o protocolo IPv6 para recursos do Amazon RDS a fim de simplificar sua configuração de rede.

Endereços IPv4

Quando você cria uma VPC, é necessário especificar um intervalo de endereços IPv4 para a VPC em forma de um bloco CIDR, como 10.0.0.0/16. Um grupo de sub-redes de banco de dados define o intervalo de endereços IP nesse bloco CIDR que uma instância de banco de dados pode usar. Esses endereços IP podem ser públicos ou privados.

Um endereço IPv4 privado é um endereço IP que não é acessível pela Internet. Você pode usar endereços IPv4 privados para comunicação entre a instância de banco de dados e outros recursos, como instâncias do Amazon EC2, na mesma VPC. Cada instância de banco de dados tem um endereço IP privado para comunicação na VPC.

Um endereço IP público é um endereço IPv4 acessível pela Internet. É possível usar endereços públicos para comunicação entre a instância de banco de dados e os recursos na Internet, como um cliente SQL. Você controla se a instância de banco de dados recebe um endereço IP público.

Para ver um tutorial que mostra como criar uma VPC somente com endereços IPv4 privados que você pode usar para um cenário comum do Amazon RDS, consulte Tutorial: criar uma Amazon VPC para usar com uma instância de banco de dados (somente IPv4).

Endereços IPv6

Como opção, você pode associar um bloco CIDR IPv6 a sua VPC e sub-redes e atribuir endereços IPv6 desse bloco a recursos em sua VPC. Todo endereço IPv6 é globalmente exclusivo.

O bloco CIDR IPv6 da VPC é automaticamente atribuído do grupo de endereços IPv6 da Amazon. Não é possível escolher o intervalo.

Ao se conectar a um endereço IPv6, verifique se as seguintes condições são atendidas:

  • O cliente está configurado para que o tráfego do cliente para o banco de dados via IPv6 seja permitido.

  • Os grupos de segurança do RDS usados pela instância de banco de dados estão configurados corretamente para que o tráfego do cliente para o banco de dados via IPv6 seja permitido.

  • A pilha do sistema operacional do cliente permite tráfego no endereço IPv6, e os drivers e bibliotecas do sistema operacional estão configurados para escolher o endpoint de instância de banco de dados padrão correto (IPv4 ou IPv6).

Para obter mais informações sobre IPv6, consulte Endereçamento IP no Guia do usuário da Amazon VPC.

Modo de pilha dupla

Quando uma instância de banco de dados consegue se comunicar pelos protocolos de endereçamento IPv4 e IPv6, a execução ocorre em modo de pilha dupla. Portanto, os recursos podem se comunicar com a instância de banco de dados por IPv4, IPv6 ou ambos. O RDS desabilita o acesso ao gateway da internet para endpoints IPv6 de instâncias de banco de dados privadas de modo de pilha dupla para garantir que seus endpoints IPv6 sejam privados e só possam ser acessados de dentro de sua VPC.

Para ver um tutorial que mostra como criar uma VPC com endereços IPv4 e IPv6 que você pode usar para um cenário comum Amazon RDS, consulte Tutorial: Criar uma nuvem privada virtual (VPC) para uso com uma instância de banco de dados (modo de pilha dupla).

Modo de pilha dupla e grupos de sub-redes de banco de dados

Para usar o modo de pilha dupla, verifique se cada sub-rede no grupo de sub-redes de banco de dados que você associa à instância de banco de dados tem um bloco CIDR IPv6 associado a ela. É possível criar um grupo de sub-redes de banco de dados ou modificar um existente para atender a esse requisito. Depois que uma instância de banco de dados entra no modo de pilha dupla, os clientes podem se conectar normalmente. Os firewalls de segurança do cliente e os grupos de segurança de instâncias de banco de dados do RDS devem ser configurados com precisão para permitir tráfego por IPv6. Para se conectar, os clientes usam o endpoint da instância de banco de dados. As aplicações cliente podem especificar qual protocolo é o preferencial ao se conectar a um banco de dados. No modo de pilha dupla, a instância de banco de dados detecta o protocolo de rede de preferência do cliente, IPv4 ou IPv6, e o utiliza para a conexão.

Se um grupo de sub-redes de banco de dados deixar de ser compatível com o modo de pilha dupla devido à exclusão de sub-rede ou desassociação do CIDR, existe o risco de estado de rede incompatível para instâncias de banco de dados associadas ao grupo de sub-redes de banco de dados. Além disso, você não pode usar o grupo de sub-redes de banco de dados ao criar uma nova instância de banco de dados de modo de pilha dupla.

Para determinar se um grupo de sub-redes de banco de dados é compatível com o modo de pilha dupla usando o AWS Management Console, visualize o Network type (Tipo de rede) na página de detalhes do grupo de sub-redes de banco de dados. Para determinar se um grupo de sub-redes de banco de dados é compatível com o modo de pilha dupla usando a AWS CLI, chame o comando describe-db-subnet-groups e visualize SupportedNetworkTypes na saída.

As réplicas de leitura são tratadas como instâncias de banco de dados independentes e podem ter um tipo de rede diferente da instância de banco de dados primário. Se você alterar o tipo de rede da instância de banco de dados primário de uma réplica de leitura, esta não será afetada. É possível restaurar uma instância de banco de dados para qualquer tipo de rede compatível.

Trabalhar com instâncias de banco de dados de modo de pilha de dupla

Quando você cria ou modifica uma instância de banco de dados, é possível especificar o modo de pilha dupla para permitir que seus recursos se comuniquem com a instância de banco de dados por IPv4, IPv6 ou ambos.

Ao usar o AWS Management Console para criar ou modificar uma instância de banco de dados, você pode especificar o modo de pilha dupla na seção Network type (Tipo de rede). A imagem a seguir mostra a seção Network type (Tipo de rede) no AWS Management Console.


							Seção Network type (Tipo de rede) no console com o Dual-stack mode (Modo de pilha dupla) selecionado

Ao usar a AWS CLI para criar ou modificar uma instância de banco de dados, defina a opção --network-type como DUAL para usar o modo de pilha dupla. Ao usar a API do RDS para criar ou modificar uma instância de banco de dados, defina o parâmetro NetworkType como DUAL para usar o modo de pilha dupla. Quando você estiver modificando o tipo de rede de uma instância de banco de dados, é possível que ocorra tempo de inatividade. Se o modo de pilha dupla não for compatível com a versão do mecanismo de banco de dados especificado nem com o grupo de sub-redes de banco de dados, o erro NetworkTypeNotSupported será retornado.

Para obter mais informações sobre como criar uma instância de banco de dados, consulte Criar uma instância de banco de dados do Amazon RDS. Para obter mais informações sobre a modificação de uma instância de banco de dados , consulte Modificar uma instância de banco de dados do Amazon RDS.

Para determinar se uma instância de banco de dados está no modo de pilha dupla usando o AWS Management Console, visualize o Network type (Tipo de rede) na guia Connectivity & security (Conectividade e segurança) para a instância de banco de dados.

Modificar instâncias de banco de dados somente IPv4 para usar o modo de pilha dupla

É possível modificar instâncias de banco de dados somente IPv4 para usar o modo de pilha dupla. Para isso, altere o tipo de rede da instância de banco de dados. A modificação pode ocasionar tempo de inatividade.

Antes de modificar uma instância de banco de dados para usar o modo de pilha dupla, verifique se seu grupo de sub-redes de banco de dados é compatível com o modo de pilha dupla. Se o grupo de sub-redes de banco de dados associado à instância de banco de dados não for compatível com o modo de pilha dupla, ao modificar a instância de banco de dados especifique um grupo de sub-redes de banco de dados diferente que seja compatível. Se você modificar o grupo de sub-redes de banco de dados de uma instância de banco de dados antes de alterar a instância para usar o modo de pilha dupla, verifique se o grupo de sub-redes de banco de dados é válido para a instância de banco de dados antes e depois da alteração.

Se você não conseguir se conectar à instância de banco de dados após a alteração, verifique se os firewalls de segurança do cliente e do banco de dados e as tabelas de rotas estão configurados com precisão para permitir tráfego cruzado para o banco de dados na rede selecionada (IPv4 ou IPv6). Você também pode precisar modificar parâmetros, bibliotecas ou drivers do sistema operacional para se conectar por meio de um endereço IPv6.

As seguintes limitações se aplicam à modificação de uma instância de banco de dados para usar o modo de pilha dupla:

  • As instâncias de banco de dados de modo de pilha dupla não podem ser acessíveis ao público.

  • As instâncias de banco de dados não podem ter um endpoint somente IPv6.

  • Não pode haver uma alteração pendente de uma implantação single-AZ para uma implantação multi-AZ ou de uma implantação multi-AZ para uma implantação single-AZ.

Para modificar instâncias de banco de dados somente IPv4 para usar o modo de pilha dupla

  1. Modifique um grupo de sub-redes de banco de dados para ser compatível com o modo de pilha dupla ou crie um grupo de sub-redes de banco de dados que seja compatível com esse modo:

    1. Associe um bloco CIDR IPv6 à VPC.

      Para obter instruções, consulte Associar um bloco CIDR IPv6 à sua VPC no Guia do usuário da Amazon VPC.

    2. Anexe o bloco CIDR IPv6 a todas as sub-redes do grupo de sub-redes do banco de dados.

      Para obter instruções, consulte Associar um bloco CIDR IPv6 à sua sub-rede no Guia do usuário da Amazon VPC.

    3. Confirme se o grupo de sub-redes de banco de dados é compatível com o modo de pilha dupla.

      Se você estiver usando o AWS Management Console, selecione o grupo de sub-redes de banco de dados e verifique se o valor Supported network types (Tipos de rede compatíveis) é Dual, IPv4 (Duplo, IPv4).

      Se você estiver usando a AWS CLI, chame o comando describe-db-subnet-groups e verifique se o valor SupportedNetworkType para a instância de banco de dados é Dual, IPv4.

  2. Modifique o grupo de segurança associado à instância de banco de dados para permitir conexões IPv6 com o banco de dados ou crie um grupo de segurança que permita conexões IPv6.

    Para obter instruções, consulte Regras do grupo de segurança no Guia do usuário da Amazon VPC.

  3. Modifique a instância de banco de dados para ser compatível com o modo de pilha dupla e defina o Network type (Tipo de rede) como Dual-stack mode (Modo de pilha dupla).

    Se você estiver usando o AWS Management Console, verifique se as seguintes configurações estão corretas:

    • Network type (Tipo de rede): Dual-stack mode (Modo de pilha dupla).

      
											Seção Network type (Tipo de rede) no console com o Dual-stack mode (Modo de pilha dupla) selecionado
    • Subnet group (Grupo de sub-redes): o grupo de sub-redes de banco de dados que você configurou em uma etapa anterior.

    • Security group (Grupo de segurança): o grupo de segurança que você configurou em uma etapa anterior.

    Se você estiver usando a AWS CLI, verifique se as seguintes configurações estão corretas:

    • --network-typedual

    • --db-subnet-group-name: o grupo de sub-redes de banco de dados que você configurou em uma etapa anterior.

    • --vpc-security-group-ids: o grupo de segurança do banco de dados que você configurou em uma etapa anterior.

  4. Confirme se a instância de banco de dados é compatível com o modo de pilha dupla.

    Se você estiver usando o AWS Management Console, acesse a guia Connectivity & security (Conectividade e segurança) para a instância de banco de dados e verifique se o valor Network type (Tipo de rede) é Dual-stack mode (Modo de pilha dupla).

    Se você estiver usando o AWS CLI, chame o comando describe-db-instances e verifique se o valor NetworkType para a instância de banco de dados é dual.

    Execute o comando dig no endpoint da instância de banco de dados para identificar o endereço IPv6 associado a ele.

    dig db-instance-endpoint AAAA

    Use o endpoint da instância de banco de dados, não o endereço IPv6, para se conectar à instância de banco de dados.

Disponibilidade de instâncias de banco de dados de rede de pilha dupla

As seguintes versões do mecanismo de banco de dados são compatíveis com instâncias de banco de dados de rede de pilha dupla:

  • Versões do RDS for MariaDB:

    • Versões 10.5.7 e 10.5 posteriores

    • Versões 10.4.8 e 10.4 posteriores

    • Versões 10.3.20 e 10.3 posteriores

    • Versão 10.2.21 e versões 10.2 posteriores

  • Versões do RDS for MySQL:

    • Versões 8.0.21 e 8.0 posteriores

    • Versões 5.7.31 e 5.7 posteriores

  • Todas as versões do RDS for Oracle

  • Versões do RDS for PostgreSQL:

    • Todas as versões 14

    • versões 13.3 e posteriores à 13

    • Versão 12.7 e versões 12 posteriores

    • Versão 11.12 e versões 11 posteriores

    • Versão 10.17 e versões 10 posteriores

  • Versões do RDS for SQL Server:

    • Versões 15.00.4043.16.v1 e 15 posteriores

    • Versões 14.00.3294.2.v1 e 14 posteriores

    • Versões 13.00.5820.21.v1 e 13 posteriores

Limitações para instâncias de banco de dados de rede de pilha dupla

As seguintes limitações se aplicam às instâncias de banco de dados de rede de pilha dupla:

  • Instâncias de banco de dados não podem usar o protocolo IPv6 exclusivamente. É possível usar IPv4 exclusivamente ou o protocolo IPv4 e IPv6 (modo de pilha dupla).

  • O Amazon RDS não é compatível com sub-redes IPv6 nativas.

  • Instâncias de banco de dados que usam o modo de pilha dupla devem ser privados. Eles não não podem ser acessíveis ao público.

  • O modo de pilha dupla não é compatível nas Regiões da AWS da China (Pequim) e China (Ningxia).

  • O modo de pilha dupla não é compatível com as classes de instância de banco de dados db.m3 e db.r3.

  • Para o RDS for SQL Server, as instâncias de banco de dados de modo de pilha dupla que usam endpoints de ouvinte do grupo de disponibilidade Always On AGs apresentam apenas endereços IPv4.

  • Você não pode usar o proxy do RDS com instâncias de banco de dados do modo de pilha dupla.

  • Você não pode usar o modo de pilha dupla com o RDS em instâncias de banco de dados AWS Outposts.

  • Você não pode usar o modo de pilha dupla com instâncias de banco de dados em uma zona local.

Ocultar uma instância de banco de dados em uma VPC da Internet

Um cenário comum do Amazon RDS é ter uma VPC na qual existe uma instância do EC2 com um aplicativo Web voltado para o público e uma instância de banco de dados com um banco de dados não publicamente acessível. Por exemplo, é possível criar uma VPC que tenha uma sub-rede pública e uma sub-rede privada. As instâncias do Amazon EC2 que funcionam como servidores Web podem ser implantadas na sub-rede pública, e as instâncias de banco de dados são implantadas na sub-rede privada. Nessa implantação, apenas os servidores Web têm acesso às instâncias de banco de dados. Para uma ilustração desse cenário, consulte Uma instância de banco de dados em uma VPC acessada por uma instância do EC2 na mesma VPC.

Quando você executa uma instância de banco de dados dentro de uma VPC, a instância de banco de dados tem um endereço IP privado para tráfego dentro da VPC. Esse endereço IP privado não é acessível publicamente. É possível usar a opção de acesso público para designar se a instância de banco de dados também deve ter um endereço IP público além do endereço IP privado. Se a instância de banco de dados for designada como acessível publicamente, o endpoint DNS resolverá para o endereço IP privado de dentro da VPC da instância de banco de dados e para o endereço IP público de fora da VPC da instância de banco de dados. O acesso à instância de banco de dados é controlado pelo grupo de segurança que ela usa, e esse acesso público não será permitido se o grupo de segurança atribuído à instância de banco de dados não o permitir.

É possível modificar uma instância de banco de dados para ativar ou desativar a acessibilidade pública modificando o parâmetro Public access (Acesso público). Para obter mais informações, consulte a seção sobre modificação para o seu mecanismo de banco de dados.

A ilustração a seguir mostra a opção Public access (Acesso público) na seção Additional connectivity configuration (Configuração de conectividade adicional). Para definir a opção, abra a seção Additional connectivity configuration (Configuração de conectividade adicional) na seção Connectivity (Conectividade).

Para obter informações sobre como modificar uma instância de banco de dados para definir a opção de Public access (Acesso público), consulte Modificar uma instância de banco de dados do Amazon RDS.

Criar uma instância de banco de dados em uma VPC

Os procedimentos a seguir ajudam você a criar uma instância de banco de dados em uma VPC. Se a sua conta tiver uma VPC padrão, você poderá começar com a etapa 3, pois o grupo de sub-redes de banco de dados já foi criado para você. Se a sua conta da AWS não tiver uma VPC padrão, ou se quiser criar uma VPC adicional, você poderá criar uma nova VPC.

Se você não sabe se tem uma VPC padrão, consulte Determinar se você está usando a plataforma EC2-VPC ou EC2-Classic.

nota

Se você deseja que sua instância de banco de dados na VPC seja publicamente acessível, atualize as informações de DNS da VPC, habilitando os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS). Para obter informações sobre como atualizar as informações de DNS para uma instância de VPC, consulte Atualização do suporte a DNS para sua VPC.

Siga estas etapas para criar uma instância de banco de dados em uma VPC:

Etapa 1: Criar uma VPC

Se a sua conta da AWS não tiver uma VPC padrão ou se quiser criar uma VPC adicional, siga as instruções para criar uma nova VPC. Consulte Criar uma VPC com sub-redes públicas e privadas ou Etapa 1: Criar uma VPC na documentação da Amazon VPC.

Etapa 2: Adicionar sub-redes à VPC

Depois de criar uma VPC, você precisa criar sub-redes em pelo menos duas zonas de disponibilidade. Você usará essas sub-redes ao criar um grupo de sub-redes de banco de dados. Se você tiver uma VPC padrão, uma sub-rede será criada automaticamente para você em cada zona de disponibilidade na Região da AWS.

Para obter instruções sobre como criar sub-redes em uma VPC, consulte Criar uma VPC com sub-redes públicas e privadas.

Etapa 3: Criar um grupo de sub-redes de banco de dados

Um grupo de sub-redes de banco de dados é uma coleção de sub-redes (geralmente privadas) que você cria para uma VPC e designa às suas instâncias de banco de dados. Um grupo de sub-redes de banco de dados permite que você especifique uma VPC particular ao criar instâncias de banco de dados usando a CLI ou a API. Se você usar o console, poderá escolher somente a VPC e as sub-redes que deseja usar. Cada grupo de sub-redes de banco de dados deve ter pelo menos uma sub-rede em pelo menos duas zonas de disponibilidade na Região da AWS.

Como prática recomendada, cada grupo de sub-redes de banco de dados deve ter no mínimo uma sub-rede para cada zona de disponibilidade na Região da AWS. Para implantações multi-AZ, definir uma sub-rede para todas as zonas de disponibilidade em uma Região da AWS permite que o Amazon RDS crie uma réplica em espera em outra zona de disponibilidade, se necessário. Você pode seguir essa prática recomendada mesmo para implantações Single-AZ, pois poderá convertê-las em implantações Multi-AZ no futuro.

Para que uma instância de banco de dados seja acessível publicamente, as sub-redes no grupo de sub-redes de banco de dados devem ter um gateway da Internet. Para obter mais informações sobre gateways da Internet para sub-redes, acesse Gateways da Internet na documentação da Amazon VPC.

nota

O grupo de sub-redes de banco de dados para uma região local pode ter somente uma sub-rede.

Ao criar uma instância de banco de dados na VPC, você deve selecionar um grupo de sub-redes de banco de dados. O Amazon RDS escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar à sua instância de banco de dados. O Amazon RDS cria e associa uma interface de rede elástica à sua instância de banco de dados com esse endereço IP. A instância de banco de dados usa a zona de disponibilidade que contém a sub-rede. Para implantações multi-AZ, a definição de uma sub-rede para duas ou mais zonas de disponibilidade em uma Região da AWS permite que o Amazon RDS crie uma espera em outra zona de disponibilidade, caso haja necessidade. Você precisa fazer isso mesmo para implementações single-AZ, caso queira convertê-las em implementações multi-AZ em algum momento.

Nesta etapa, você criará um grupo de sub-redes de banco de dados e adicionará as sub-redes criadas à sua VPC.

Para criar um grupo de sub-redes de banco de dados

  1. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  2. No painel de navegação, escolha Subnet groups (Grupos de sub-redes).

  3. Escolha Create DB Subnet Group (Criar grupo de sub-redes de banco de dados).

  4. Em Name (Nome), digite o nome do grupo de sub-redes de banco de dados.

  5. Em Description (Descrição), digite uma descrição para o grupo de sub-redes de banco de dados.

  6. Em VPC, escolha a VPC criada anteriormente.

  7. Na seção Adicionar sub-redes, escolha as zonas de disponibilidade que incluem as sub-redes de Zonas de disponibilidade e escolha as sub-redes de Sub-redes.

    
							Botão Create DB Subnet Group (Criar grupo de sub-redes de banco de dados)
    nota

    Se tiver habilitado uma zona local, você poderá escolher um grupo de zonas de disponibilidade na página Create DB subnet group (Criar grupo de sub-redes de banco de dados). Nesse caso, escolha o Availability Zone group (Grupo de zonas de disponibilidade), Availability Zones (Zonas de disponibilidade) e Subnets (Sub-redes).

  8. Escolha Create (Criar OpsItem).

    Seu novo grupo aparece na lista de grupos de sub-redes de banco de dados no console do RDS. Você pode selecionar o grupo de sub-redes de banco de dados para obter detalhes, incluindo todas as sub-redes associadas a esse grupo, no painel de detalhes, na parte inferior da janela.

Etapa 4: Criar um grupo de segurança da VPC

Antes de criar sua instância de banco de dados, você deve criar um grupo de segurança da VPC para associar a essa instância. Para obter instruções sobre como criar um grupo de segurança para sua instância de banco de dados, consulte Criar um grupo de segurança da VPC para uma instância de banco de dados privada ou Grupos de segurança para sua VPC, na documentação da Amazon VPC.

Etapa 5: Criar uma instância de banco de dados na VPC

Nessa etapa, você cria uma instância de banco de dados e usa o nome da VPC, o grupo de sub-redes de banco de dados e o grupo de segurança de VPC que você criou nas etapas anteriores.

nota

Se quiser que sua instância de banco de dados na VPC seja publicamente acessível, você deverá habilitar os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS). Para obter informações sobre como atualizar as informações de DNS para uma instância de VPC, consulte Atualização do suporte a DNS para sua VPC.

Para obter detalhes sobre como criar uma instância de banco de dados, consulte Criar uma instância de banco de dados do Amazon RDS.

Quando solicitado na seção Connectivity (Conectividade), insira o nome da VPC, o grupo de sub-redes de banco de dados e o grupo de segurança da VPC que você criou nas etapas anteriores.