Trabalhar com uma instância de banco de dados em uma VPC - Amazon Relational Database Service
Trabalhar com uma instância de banco de dados em uma VPCTrabalhar com grupos de sub-redes de banco de dadosSub-redes compartilhadasEndereçamento IPOcultar uma instância de banco de dados em uma VPC da InternetCriar uma instância de banco de dados em uma VPC

Trabalhar com uma instância de banco de dados em uma VPC

Sua instância deve estar em uma nuvem privada virtual (VPC). Uma VPC é uma rede virtual logicamente isolada de outras redes virtuais na Nuvem AWS. A Amazon VPC permite que você execute recursos da AWS, como uma instância de banco de dados do Amazon RDS ou instância do Amazon EC2, em uma VPC. A VPC pode ser uma VPC padrão que vem com sua conta ou aquele que você criou. Todas as VPCs estão associadas à sua conta da AWS.

Sua VPC padrão possui três sub-redes que você pode usar para isolar recursos dentro da VPC. A VPC padrão também possui um gateway da Internet que pode ser usado para fornecer acesso a recursos na VPC de fora da VPC.

Para obter uma lista de cenários envolvendo instâncias de banco de dados do Amazon RDS em uma VPC e fora de uma VPC, consulte Cenários para acessar uma instância de banco de dados em uma VPC.

Nos tutoriais a seguir, você pode aprender a criar uma VPC a ser usar para um cenário comum do Amazon RDS:

Trabalhar com uma instância de banco de dados em uma VPC

Veja a seguir algumas dicas sobre como trabalhar com uma instância de banco de dados em uma VPC:

  • A VPC deve ter pelo menos duas sub-redes. Essas sub-redes devem estar em duas zonas de disponibilidade diferentes na Região da AWS onde você deseja implantar a instância de banco de dados. Uma sub-rede é um segmento do intervalo de endereços IP de uma VPC que você pode especificar e que permite agrupar instâncias com base nas suas necessidades operacionais e de segurança.

    Para implantações multi-AZ, a definição de uma sub-rede para duas ou mais zonas de disponibilidade em uma região da Região da AWS permite que o Amazon RDS crie uma nova espera em outra zona de disponibilidade, conforme necessário. Faça isso mesmo para implantações single-AZ, caso queira convertê-las em implantações multi-AZ em algum momento.

    nota

    O grupo de sub-redes de banco de dados para uma região local pode ter somente uma sub-rede.

  • Se quiser que sua instância de banco de dados na VPC seja publicamente acessível, você deverá habilitar os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS).

  • Sua VPC deve ter um grupo de sub-redes de banco de dados que você criou. Crie um grupo de sub-redes de banco de dados especificando as sub-redes criadas. O Amazon RDS escolhe uma sub-rede e um endereço IP dentro desse grupo de sub-redes para associar à sua instância de banco de dados. A instância de banco de dados usa a zona de disponibilidade que contém a sub-rede.

  • Sua VPC deve ter um grupo de segurança de VPC que permita o acesso à instância de banco de dados.

    Para ter mais informações, consulte Cenários para acessar uma instância de banco de dados em uma VPC.

  • Os blocos CIDR em cada uma das suas sub-redes devem ser suficientemente grandes para acomodar endereços IP sobressalentes para o Amazon RDS usar durante atividades de manutenção, incluindo failover e escalabilidade de computação. Por exemplo, um intervalo como 10.0.0.0/24 e 10.0.1.0/24 normalmente é grande o suficiente.

  • Uma VPC pode ter um atributo instance tenancy (locação de instâncias) com o valor default (padrão) ou dedicated (dedicado). Todas as VPC padrão têm o atributo de locação de instâncias definido como padrão, e uma VPC padrão pode oferecer suporte a qualquer classe de instância de banco de dados.

    Se você optar por ter sua instância de banco de dados em uma VPC dedicada em que o atributo de locação de instâncias esteja definido como dedicado, a classe de sua instância de banco de dados deverá ser um dos tipos aprovados de instância dedicada do Amazon EC2. Por exemplo, a instância dedicada r5.large do EC2 corresponde à classe de instância de banco de dados db.r5.large. Para obter informações sobre a locação de instâncias em uma VPC, consulte Instâncias dedicadas no Guia do usuário do Amazon Elastic Compute Cloud.

    Para ter mais informações sobre os tipos de instância que podem estar em uma instância dedicada, consulte Instâncias dedicadas do Amazon EC2, na página de definição de preços do EC2.

    nota

    Quando você define o atributo de locação de instâncias como dedicado para uma instância de banco de dados, ele não garante que essa instância terá execução em um host dedicado.

  • Quando um grupo de opções é atribuído a uma instância de banco de dados, ele é associado à VPC da instância de banco de dados. Esse vínculo significa que você não pode usar o grupo de opções atribuído a uma instância de banco de dados se tentar restaurar essa instância de banco de dados em uma VPC diferente.

  • Se você restaurar uma instância de banco de dados em uma VPC diferente, atribua o grupo de opções padrão à instância de banco de dados, atribua um grupo de opções que esteja vinculado a essa VPC ou crie um grupo de opções e atribua-o à instância de banco de dados. Com opções persistentes ou permanentes, como o Oracle TDE, você deve criar um novo grupo de opções que inclua a opção persistente ou permanente ao restaurar uma instância de banco de dados em uma VPC diferente.

Trabalhar com grupos de sub-redes de banco de dados

Sub-redes são segmentos do intervalo de endereços IP de uma VPC que você designa para agrupar seus recursos com base em necessidades operacionais e de segurança. Um grupo de sub-redes de banco de dados é uma coleção de sub-redes (geralmente privadas) que você cria em uma VPC e designa para suas instâncias de banco de dados. Ao usar um grupo de sub-redes de banco de dados, você pode especificar uma VPC específica ao criar instâncias de banco de dados usando a AWS CLI ou a API. Se você usar o console, poderá escolher somente a VPC e os grupos de sub-redes que deseja usar.

Cada grupo de sub-redes de banco de dados deve ter sub-redes em pelo menos duas zonas de disponibilidade em determinada Região da AWS. Ao criar uma instância de banco de dados em uma VPC, escolha um grupo de sub-redes de banco de dados. Do grupo de sub-rede de banco de dados, o Amazon RDS escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar . O banco de dados usa a zona de disponibilidade que contém a sub-rede.

Se a instância do banco de dados primário de uma implantação multi-AZ falhar, o Amazon RDS poderá promover a espera correspondente e, posteriormente, criar uma espera usando um endereço IP da sub-rede em uma das outras zonas de disponibilidade.

As sub-redes em um grupo de sub-redes de banco de dados são públicas ou privadas. As sub-redes são públicas ou privadas, dependendo da configuração definida para as listas de controle de acesso à rede (ACLs de rede) e tabelas de roteamento. Para que uma instância de banco de dados seja acessível ao público, todas as sub-redes em seu grupo de sub-redes de banco de dados devem ser públicas. Se uma sub-rede associada a uma instância de banco de dados acessível ao público mudar de pública para privada, ela poderá afetar a disponibilidade da instância de banco de dados.

Para criar um grupo de sub-redes de banco de dados que seja compatível com o modo de pilha dupla, verifique se cada sub-rede adicionada ao grupo de sub-redes de banco de dados tem um bloco CIDR do Internet Protocol versão 6 (IPv6) associado a ele. Para ter mais informações, consulte Endereçamento IP do Amazon RDS e Migrar para IPv6 no Guia do usuário da Amazon VPC.

nota

O grupo de sub-redes de banco de dados para uma região local pode ter somente uma sub-rede.

Quando o Amazon RDS cria uma instância de banco de dados em uma VPC, ele atribui uma interface de rede à sua instância de banco de dados usando um endereço IP do seu grupo de sub-redes de banco de dados. No entanto, é altamente recomendável que você use o Sistema de Nomes de Domínio (DNS) para se conectar à sua instância de banco de dados. Recomendamos isso porque o endereço IP subjacente muda durante o failover.

nota

Para cada instância de banco de dados executada em uma VPC, é necessário reservar pelo menos um endereço em cada sub-rede no grupo de sub-redes de banco de dados para uso pelo Amazon RDS para ações de recuperação.

Sub-redes compartilhadas

Você pode criar uma instância de banco de dados em uma VPC compartilhada.

Algumas considerações que você deve ter em mente ao usar VPCs compartilhadas:

  • Você pode mover uma instância de banco de dados de uma sub-rede de VPC compartilhada para uma sub-rede de VPC não compartilhada e vice-versa.

  • Os participantes de uma VPC compartilhada devem criar um grupo de segurança na VPC para permitir que criem uma instância de banco de dados.

  • Proprietários e participantes de uma VPC compartilhada podem acessar o banco de dados usando consultas SQL. No entanto, somente o criador de um recurso pode fazer chamadas de API no recurso.

Endereçamento IP do Amazon RDS

Os endereços IP habilitam recursos na sua VPC para se comunicar com outros e com recursos na Internet. O Amazon RDS comporta protocolos de endereçamento IPv4 e IPv6. Por padrão, o Amazon RDS e a Amazon VPC usam o protocolo de endereçamento IPv4. Você não pode desativar esse comportamento. Ao criar uma VPC, especifique um bloco CIDR IPv4 (um intervalo de endereços IPv4 privados). Você também pode atribuir um bloco CIDR IPv6 à VPC e às sub-redes, bem como endereços IPv6 desse bloco a instâncias de banco de dados em sua sub-rede.

A compatibilidade com o protocolo IPv6 expande o número de endereços IP compatíveis. Ao usar o protocolo IPv6, você tem a garantia de que terá endereços disponíveis suficientes para o crescimento futuro da Internet. Os recursos do RDS novos e existentes podem usar endereços IPv4 e IPv6 na VPC. Configurar, proteger e converter o tráfego de rede entre os dois protocolos usados em diferentes partes de uma aplicação pode causar sobrecarga operacional. Você pode padronizar o protocolo IPv6 para recursos do Amazon RDS a fim de simplificar sua configuração de rede.

Endereços IPv4

Quando você cria uma VPC, é necessário especificar um intervalo de endereços IPv4 para a VPC em forma de um bloco CIDR, como 10.0.0.0/16. m grupo de sub-redes de banco de dados define o intervalo de endereços IP nesse bloco CIDR que uma instância de banco de dados pode usar. Esses endereços IP podem ser públicos ou privados.

Um endereço IPv4 privado é um endereço IP que não é acessível pela Internet. Você pode usar endereços IPv4 privados para comunicação entre a instância de banco de dados e outros recursos, como instâncias do Amazon EC2, na mesma VPC. Cada instância de banco de dados tem um endereço IP privado para comunicação na VPC.

Um endereço IP público é um endereço IPv4 acessível pela Internet. Você pode usar endereços públicos para comunicação entre a instância de banco de dados e os recursos na Internet, como um cliente SQL. Você controla se a instância de banco de dados recebe um endereço IP público.

Para ver um tutorial que mostra como criar uma VPC somente com endereços IPv4 privados que você pode usar para um cenário comum do Amazon RDS, consulte Tutorial: Criar uma VPC para usar com uma instância de banco de dados (somente IPv4).

Endereços IPv6

Como opção, você pode associar um bloco CIDR IPv6 a sua VPC e sub-redes e atribuir endereços IPv6 desse bloco a recursos em sua VPC. Todo endereço IPv6 é globalmente exclusivo.

O bloco CIDR IPv6 da VPC é automaticamente atribuído do grupo de endereços IPv6 da Amazon. Você não pode escolher o intervalo.

Ao se conectar a um endereço IPv6, verifique se as seguintes condições são atendidas:

  • O cliente está configurado para que o tráfego do cliente para o banco de dados via IPv6 seja permitido.

  • Os grupos de segurança do RDS usados pela instância de banco de dados estão configurados corretamente para que o tráfego do cliente para o banco de dados via IPv6 seja permitido.

  • A pilha do sistema operacional do cliente permite tráfego no endereço IPv6, e os drivers e bibliotecas do sistema operacional estão configurados para escolher o endpoint de instância de banco de dados padrão correto (IPv4 ou IPv6).

Para ter mais informações sobre IPv6, consulte Endereçamento IP no Guia do usuário da Amazon VPC.

Modo de pilha dupla

Quando uma instância de banco de dados consegue se comunicar pelos protocolos de endereçamento IPv4 e IPv6, a execução ocorre em modo de pilha dupla. Portanto, os recursos podem se comunicar com a instância de banco de dados por IPv4, IPv6 ou ambos. O RDS desabilita o acesso ao gateway da Internet para endpoints IPv6 de instâncias de banco de dados privadas do modo de pilha dupla. O RDS faz isso para garantir que seus endpoints IPv6 sejam privados e possam ser acessados somente de dentro de sua VPC.

Para ver um tutorial que mostra como criar uma VPC com endereços IPv4 e IPv6 que você pode usar para um cenário comum do Amazon RDS, consulte Tutorial: Criar uma VPC para uso com uma instância de banco de dados (modo de pilha dupla).

Modo de pilha dupla e grupos de sub-redes de banco de dados

Para usar o modo de pilha dupla, verifique se cada sub-rede no grupo de sub-redes de banco de dados que você associa à instância de banco de dados tem um bloco CIDR IPv6 associado a ela. Você pode criar um grupo de sub-redes de banco de dados ou modificar um existente para atender a esse requisito. Depois que uma instância de banco de dados entra no modo de pilha dupla, os clientes podem se conectar normalmente. Os firewalls de segurança do cliente e os grupos de segurança de instâncias de banco de dados do RDS devem ser configurados com precisão para permitir tráfego por IPv6. Para se conectar, os clientes usam o endpoint da instância de banco de dados.endpoint da instância principal do cluster de banco de dados. As aplicações cliente podem especificar qual protocolo é o preferencial ao se conectar a um banco de dados. No modo de pilha dupla, a instância de banco de dados detecta o protocolo de rede de preferência do cliente, IPv4 ou IPv6, e o usa para a conexão.

Se um grupo de sub-redes de banco de dados deixar de ser compatível com o modo de pilha dupla devido à exclusão de sub-rede ou desassociação do CIDR, existe o risco de um estado de rede incompatível para instâncias de banco de dados associadas ao grupo de sub-redes de banco de dados. Além disso, não é possível usar o grupo de sub-redes de banco de dados ao criar uma nova instância de banco de dados do modo de pilha dupla.

Para determinar se um grupo de sub-redes de banco de dados é compatível com o modo de pilha dupla usando o AWS Management Console, visualize o Network type (Tipo de rede) na página de detalhes do grupo de sub-redes de banco de dados. Para determinar se um grupo de sub-redes de banco de dados comporta o modo de pilha dupla usando a AWS CLI, execute o comando describe-db-subnet-groups e visualize SupportedNetworkTypes na saída.

As réplicas de leitura são tratadas como instâncias de banco de dados independentes e podem ter um tipo de rede diferente da instância de banco de dados primária. Se você alterar o tipo de rede da instância de banco de dados primária de uma réplica de leitura, esta não será afetada. Você pode restaurar uma instância de banco de dados para qualquer tipo de rede compatível.

Trabalhar com instâncias de banco de dados de modo de pilha de dupla

Ao criar ou modificar uma instância de banco de dados, você pode especificar o modo de pilha dupla para permitir que os recursos se comuniquem com a instânciao cluster de banco de dados por IPv4, IPv6 ou ambos.

Ao usar o AWS Management Console para criar ou modificar uma instância de banco de dados, você pode especificar o modo de pilha dupla na seção Network type (Tipo de rede). A imagem a seguir mostra a seção Network type (Tipo de rede) no console.

Seção Network type (Tipo de rede) no console com o Dual-stack mode (Modo de pilha dupla) selecionado

Ao usar a AWS CLI para criar ou modificar uma instância de banco de dados, defina a opção --network-type como DUAL para usar o modo de pilha dupla. Ao usar a API do RDS para criar ou modificar uma instância de banco de dados, defina o parâmetro NetworkType como DUAL para usar o modo de pilha dupla. Quando você estiver modificando o tipo de rede de uma instância de banco de dados, é possível que ocorra tempo de inatividade. Se o modo de pilha dupla não for compatível com a versão do mecanismo de banco de dados especificado nem com o grupo de sub-redes de banco de dados, o erro NetworkTypeNotSupported será retornado.

Para ter mais informações sobre como criar uma instância de banco de dados, consulte Criar uma instância de banco de dados do Amazon RDS. Para ter mais informações sobre a modificação de uma instância de banco de dados, consulte Modificar uma instância de banco de dados do Amazon RDS.

Para determinar se uma instância de banco de dados está no modo de pilha dupla usando o console, visualize o Network type (Tipo de rede) na guia Connectivity & security (Conectividade e segurança) para a instância de banco de dados.

Modificar instâncias de banco de dados somente IPv4 para usar o modo de pilha dupla

Você pode modificar instâncias de banco de dados somente IPv4 para usar o modo de pilha dupla. Para isso, altere o tipo de rede da instância de banco de dados. A modificação pode ocasionar tempo de inatividade.

É recomendável que você altere o tipo de rede das instâncias de banco de dados do Amazon RDS durante uma janela de manutenção. No momento, não é possível definir o tipo de rede de novas instâncias para o modo de pilha dupla. É possível definir o tipo de rede manualmente usando o comando modify-db-instance .

Antes de modificar uma instância de banco de dados para usar o modo de pilha dupla, verifique se seu grupo de sub-redes de banco de dados é compatível com o modo de pilha dupla. Se o grupo de sub-redes de banco de dados associado à instância de banco de dados não for compatível com o modo de pilha dupla, ao modificar a instância de banco de dados especifique um grupo de sub-redes de banco de dados diferente que seja compatível. Modificar o grupo de sub-redes de banco de dados de uma instância de banco de dados pode ocasionar tempo de inatividade.

Se você modificar o grupo de sub-redes de banco de dados de uma instância de banco de dados antes de alterar a instância de banco de dados para usar o modo de pilha dupla, verifique se o grupo de sub-redes de banco de dados é válido para a instância de banco de dados antes e depois da alteração.

Para instâncias single-AZ do RDS para PostgreSQL, RDS para MySQL, RDS para Oracle e RDS para MariaDB, recomendamos que você execute o comando modify-db-instance apenas com o parâmetro --network-type com valor DUAL para alterar a rede para o modo de pilha dupla. Adicionar outros parâmetros com o parâmetro --network-type na mesma chamada de API pode ocasionar tempo de inatividade. Para modificar vários parâmetros, primeiro é preciso concluir com êxito a modificação do tipo de rede para só então enviar outra solicitação modify-db-instance com outros parâmetros.

As modificações do tipo de rede para instâncias de banco de dados multi-AZ do RDS para PostgreSQL, RDS para MySQL, RDS para Oracle e RDS para MariaDB causarão um breve tempo de inatividade e acionarão um failover se você usar apenas o parâmetro --network-type ou combinar parâmetros em um comando modify-db-instance.

As modificações do tipo de rede em instâncias de banco de dados multi-AZ ou single-AZ do RDS para SQL Server causarão tempo de inatividade se você usar apenas o parâmetro --network-type ou combinar parâmetros em um comando modify-db-instance. As modificações do tipo de rede causam failover em uma instância multi-AZ do SQL Server.

Se você não conseguir se conectar à instância de banco de dados após a alteração, verifique se os firewalls de segurança do cliente e do banco de dados e as tabelas de rotas estão configurados com precisão para permitir tráfego para o banco de dados na rede selecionada (IPv4 ou IPv6). Você também pode precisar modificar parâmetros, bibliotecas ou drivers do sistema operacional para se conectar por meio de um endereço IPv6.

Quando se modifica uma instância de banco de dados para usar o modo de pilha dupla, não pode haver uma alteração pendente de uma implantação single-AZ para uma implantação multi-AZ ou de uma implantação multi-AZ para uma implantação single-AZ.

Como modificar instâncias de banco de dados somente IPv4 para usar o modo de pilha dupla

  1. Modifique um grupo de sub-redes de banco de dados para ser compatível com o modo de pilha dupla ou crie um grupo de sub-redes de banco de dados que seja compatível com esse modo:

    1. Associe um bloco CIDR IPv6 à VPC.

      Para obter instruções, consulte Adicionar um bloco CIDR IPv6 a sua VPC no Manual do usuário do Amazon VPC.

    2. Anexe o bloco CIDR IPv6 a todas as sub-redes do grupo de sub-redes do banco de dados.

      Para obter instruções, consulte Adicionar um bloco CIDR IPv6 a sua sub-rede no Manual do usuário do Amazon VPC.

    3. Verifique se o grupo de sub-redes de banco de dados é compatível com o modo de pilha dupla.

      Se você estiver usando o AWS Management Console, selecione o grupo de sub-redes de banco de dados e verifique se o valor Supported network types (Tipos de rede compatíveis) é Dual, IPv4 (Duplo, IPv4).

      Se estiver usando a AWS CLI, execute o comando describe-db-subnet-groups e verifique se o valor SupportedNetworkType para a instância de banco de dados é Dual, IPv4.

  2. Modifique o grupo de segurança associado à instância de banco de dados para permitir conexões IPv6 com o banco de dados ou crie um grupo de segurança que permita conexões IPv6.

    Para obter instruções, consulte Regras do grupo de segurança no Guia do usuário da Amazon VPC.

  3. Modifique a instância de banco de dados para oferecer suporte ao modo de pilha dupla. Para fazer isso, defina a opção Network type (Tipo de rede) como Dual-stack mode (Modo de pilha dupla).

    Se você estiver usando o console, verifique se as seguintes configurações estão corretas:

    • Network type (Tipo de rede): Dual-stack mode (Modo de pilha dupla).

      Seção Network type (Tipo de rede) no console com o Dual-stack mode (Modo de pilha dupla) selecionado

    • DB subnet group (Grupo de sub-redes do banco de dados): o grupo de sub-redes de banco de dados que você configurou em uma etapa anterior

    • Security group (Grupo de segurança): o grupo de segurança que você configurou em uma etapa anterior.

    Se você estiver usando a AWS CLI, verifique se as seguintes configurações estão corretas:

    • --network-typedual

    • --db-subnet-group-name: o grupo de sub-redes de banco de dados que você configurou em uma etapa anterior

    • --vpc-security-group-ids: o grupo de segurança da VPC que você configurou em uma etapa anterior.

    Por exemplo: 

    aws rds modify-db-instance --db-instance-identifier my-instance --network-type "DUAL"

  4. Verifique se a instância de banco de dados é compatível com o modo de pilha dupla.

    Se estiver usando o console, selecione a guia Connectivity & security (Conectividade e segurança) para a instância de banco de dados. Nessa guia, verifique se o valor de Network type (Tipo de rede) é Dual-stack mode (Modo de pilha dupla).

    Se estiver usando a AWS CLI, execute o comando describe-db-instances e verifique se o valor NetworkType para a instância de banco de dados é dual.

    Execute o comando dig no endpoint da instância de banco de dados para identificar o endereço IPv6 associado a ele.

    dig db-instance-endpoint AAAA

    Use o endpoint da instância de banco de dados, não o endereço IPv6, para se conectar à instância de banco de dados.

Disponibilidade de região e versão

A disponibilidade e a compatibilidade de recursos variam entre versões específicas de cada mecanismo de banco de dados e entre Regiões da AWS. Para obter mais informações sobre a disponibilidade de versões e regiões com o modo de pilha dupla, consulte Modo de pilha dupla.

Limitações para instâncias de banco de dados de rede de pilha dupla

As seguintes limitações se aplicam às instâncias de banco de dados de rede de pilha dupla:

  • Instâncias de banco de dados não podem usar o protocolo IPv6 exclusivamente. É possível usar IPv4 exclusivamente ou o protocolo IPv4 e IPv6 (modo de pilha dupla).

  • O Amazon RDS não é compatível com sub-redes IPv6 nativas.

  • Instâncias de banco de dados que usam o modo de pilha dupla devem ser privados. Eles não podem ser acessíveis ao público.

  • O modo de pilha dupla não é compatível com as classes de instância de banco de dados db.m3 e db.r3.

  • Para o RDS para SQL Server, as instâncias de banco de dados de modo de pilha dupla que usam endpoints de ouvinte do grupo de disponibilidade Always On AGs apresentam apenas endereços IPv4.

  • Você não pode usar o RDS Proxy com instâncias de banco de dados do modo de pilha dupla.

  • Você não pode usar o modo de pilha dupla com o RDS em instâncias de banco de dados do AWS Outposts.

  • Você não pode usar o modo de pilha dupla com instâncias de banco de dados em uma zona local.

Ocultar uma instância de banco de dados em uma VPC da Internet

Um cenário comum do Amazon RDS é ter uma VPC na qual existe uma instância do EC2 com uma aplicação Web voltada para o público e uma instância de banco de dados com um banco de dados não acessível ao público geral. Por exemplo, você pode criar uma VPC que tenha uma sub-rede pública e uma sub-rede privada. As instâncias do Amazon EC2 que funcionam como servidores Web podem ser implantadas na sub-rede pública. As instâncias de banco de dados são implantadas na sub-rede privada. Nessa implantação, apenas os servidores Web têm acesso às instâncias de banco de dados. Para obter uma ilustração desse cenário, consulte Uma instância de banco de dados em uma VPC acessada por uma instância do EC2 na mesma VPC.

Quando você executa uma instância de banco de dados dentro de uma VPC, a instância de banco de dados tem um endereço IP privado para tráfego dentro da VPC. Esse endereço IP privado não é acessível ao público geral. Você pode usar a opção Public access (Acesso público) para designar se a instância de banco de dados também deve ter um endereço IP público além do endereço IP privado. Se a instância de banco de dados for acessível ao público, seu endpoint DNS resolverá para o endereço IP privado de dentro da VPC. Ele é resolvido para o endereço IP público de fora da VPC. O acesso à instância de banco de dados é controlado em última análise pelo grupo de segurança usado. Esse acesso público não será permitido se o grupo de segurança atribuído à instância de banco de dados não incluir regras de entrada que permitam isso. Além disso, para que uma instância de banco de dados seja acessível publicamente, as sub-redes no grupo de sub-redes de banco de dados devem ter um gateway da Internet. Para ter mais informações, consulte Não é possível conectar-se à instância de banco de dados do Amazon RDS.

Você pode modificar uma instância de banco de dados para ativar ou desativar a acessibilidade ao público geral modificando a opção Public access (Acesso público). A ilustração a seguir mostra a opção Public access (Acesso público) na seção Additional connectivity configuration (Configuração de conectividade adicional). Para definir a opção, abra a seção Additional connectivity configuration (Configuração de conectividade adicional) na seção Connectivity (Conectividade).

Para obter informações sobre como modificar uma instância de banco de dados para definir a opção de Public access (Acesso público), consulte Modificar uma instância de banco de dados do Amazon RDS.

Criar uma instância de banco de dados em uma VPC

Os procedimentos a seguir ajudam você a criar uma instância de banco de dados em uma VPC. Para usar a VPC padrão, você pode começar na etapa 2 e usar a VPC e o grupo de sub-redes de banco de dados que já foram criados para você. Se quiser criar uma VPC adicional, você poderá criar uma nova VPC.

nota

Se você deseja que sua instância de banco de dados na VPC seja acessível ao público geral, atualize as informações de DNS da VPC, habilitando os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS). Para obter informações sobre como atualizar as informações de DNS para uma instância de VPC, consulte Atualização do suporte a DNS para sua VPC.

Siga estas etapas para criar uma instância de banco de dados em uma VPC:

Etapa 1: Criar uma VPC

Crie uma VPC com duas sub-redes em pelo menos duas zonas de disponibilidade. Você usará essas sub-redes ao criar um grupo de sub-redes de banco de dados. Se você tiver uma VPC padrão, uma sub-rede será criada automaticamente para você em cada zona de disponibilidade na Região da AWS.

Para ter mais informações, consulte Criar uma VPC com sub-redes públicas e privadas ou Criar uma VPC no Guia do usuário da Amazon VPC.

Etapa 2: Criar um grupo de sub-redes de banco de dados

Um grupo de sub-redes de banco de dados é uma coleção de sub-redes (geralmente privadas) que você cria para uma VPC e designa às suas instâncias de banco de dados. Um grupo de sub-redes de banco de dados permite que você especifique uma VPC particular ao criar instâncias de banco de dados usando a AWS CLI ou a API do RDS. Se você usar o console, poderá escolher somente a VPC e as sub-redes que deseja usar. Cada grupo de sub-redes de banco de dados deve ter pelo menos uma sub-rede em pelo menos duas zonas de disponibilidade na Região da AWS. Como prática recomendada, cada grupo de sub-redes de banco de dados deve ter no mínimo uma sub-rede para cada zona de disponibilidade na Região da AWS.

Para implantações multi-AZ, definir uma sub-rede para todas as zonas de disponibilidade em uma Região da AWS permite que o Amazon RDS crie uma réplica em espera em outra zona de disponibilidade, se necessário. Você pode seguir essa prática recomendada mesmo para implantações single-AZ, pois poderá convertê-las em implantações multi-AZ no futuro.

Para que uma instância de banco de dados seja acessível publicamente, as sub-redes no grupo de sub-redes de banco de dados devem ter um gateway da Internet. Para ter mais informações sobre gateways da Internet para sub-redes, consulte “Estabelecer conexão com a Internet usando um gateway da Internet no Manual do usuário da Amazon VPC.

nota

O grupo de sub-redes de banco de dados para uma região local pode ter somente uma sub-rede.

Ao criar uma instância de banco de dados em uma VPC, você pode escolher um grupo de sub-redes de banco de dados. O Amazon RDS escolhe uma sub-rede e um endereço IP dentro dessa sub-rede para associar à instância de banco de dados. Se não houver nenhum grupo de sub-redes de banco de dados, o Amazon RDS criará um grupo de sub-redes padrão quando você criar uma instância de banco de dados. O Amazon RDS cria e associa uma interface de rede elástica à sua instância de banco de dados com esse endereço IP. A instância de banco de dados usa a zona de disponibilidade que contém a sub-rede.

Para implantações multi-AZ, a definição de uma sub-rede para duas ou mais zonas de disponibilidade em uma região da Região da AWS permite que o Amazon RDS crie uma nova espera em outra zona de disponibilidade, caso haja necessidade. Você precisa fazer isso mesmo para implantações single-AZ, caso queira convertê-las em implantações multi-AZ em algum momento.

Nesta etapa, você criará um grupo de sub-redes de banco de dados e adicionará as sub-redes criadas à sua VPC.

Como criar um grupo de sub-redes de banco de dados

  1. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  2. No painel de navegação, escolha Subnet groups (Grupos de sub-redes).

  3. Escolha Create DB Subnet Group (Criar grupo de sub-redes de banco de dados).

  4. Em Name (Nome), digite o nome do grupo de sub-redes de banco de dados.

  5. Em Description (Descrição), digite uma descrição para o grupo de sub-redes de banco de dados.

  6. Para VPC, escolha a VPC padrão ou a VPC criada por você.

  7. Na seção Adicionar sub-redes, escolha as zonas de disponibilidade que incluem as sub-redes de Zonas de disponibilidade e escolha as sub-redes de Sub-redes.

    Botão Create DB Subnet Group (Criar grupo de sub-redes de banco de dados)
    nota

    Se você habilitou uma zona local, poderá escolher um grupo de zonas de disponibilidade na página Create DB subnet group (Criar grupo de sub-redes de banco de dados). Nesse caso, escolha o Availability Zone group (Grupo de zonas de disponibilidade), Availability Zones (Zonas de disponibilidade) e Subnets (Sub-redes).

  8. Escolha Create (Criar).

    Seu novo grupo aparece na lista de grupos de sub-redes de banco de dados no console do RDS. Você pode selecionar o grupo de sub-redes de banco de dados para obter detalhes, incluindo todas as sub-redes associadas a esse grupo, no painel de detalhes, na parte inferior da janela.

Etapa 3: Criar um grupo de segurança da VPC

Antes de criar uma instância de banco de dados, você pode criar um grupo de segurança da VPC para associar a essa instância. Se você não criar um grupo de segurança da VPC, poderá usar o grupo de segurança padrão ao criar uma instância de banco de dados. Para obter instruções sobre como criar um grupo de segurança para a instância de banco de dados, consulte Criar um grupo de segurança da VPC para uma instância de banco de dados privada ou Controle o tráfego para recursos usando grupos de segurança no Guia do usuário da Amazon VPC.

Etapa 4: Criar uma instância de banco de dados na VPC

Nessa etapa, você cria uma instância de banco de dados e usa o nome da VPC, o grupo de sub-redes de banco de dados e o grupo de segurança de VPC que você criou nas etapas anteriores.

nota

Se quiser que sua instância de banco de dados na VPC seja acessível ao público geral, você deverá habilitar os atributos DNS hostnames (Nomes de host de DNS) e DNS resolution (Resolução de DNS). Para ter mais informações, consulte Atributos de DNS para sua VPC no Guia do usuário da Amazon VPC.

Para obter detalhes sobre como criar uma instância de banco de dados, consulte Criar uma instância de banco de dados do Amazon RDS.

Quando solicitado na seção Connectivity (Conectividade), insira o nome da VPC, o grupo de sub-redes de banco de dados e o grupo de segurança da VPC.