Saltar al contenido

¿Por qué no puedo conectar la instancia de AWS RDS desde la instancia EC2 en otra VPC después del emparejamiento?

Traemos la mejor información que hallamos en todo internet. Nuestro deseo es que te sirva de ayuda y si puedes compartir algo que nos pueda ayudar a crecer hazlo libremente.

Solución:

El intercambio de tráfico de VPC funciona de la misma manera que la forma en que las subredes públicas se conectan a la puerta de enlace de Internet: Tablas de ruta definir cómo entra y sale el tráfico de las subredes.

Para que funcione el intercambio de tráfico de VPC:

  • Invitar y aceptar la conexión de intercambio de tráfico (Listo)
  • Crear un Tabla de ruta en cada VPC que apunta a la conexión de intercambio de tráfico para el rango de IP de la otra VPC (Listo)
  • Asociar cada subred que desea poder mirar a la tabla de rutas
  • Alternativamente, editar tablas de ruta existentes para incluir la entrada de intercambio de tráfico
  • Si su base de datos RDS es pública y está intentando conectarse utilizando el DNS público de la base de datos, deberá editar la configuración de DNS de su conexión de intercambio de tráfico para permitir la resolución de DNS.

El enrutamiento funciona de la siguiente manera:

  • Cuando el tráfico sale de una subred, se consulta la tabla de rutas para determinar dónde enviar el tráfico.
  • El más restrictivo (por ejemplo, / 24) se evalúa primero, hasta el menos restrictivo (por ejemplo, / 0)
  • El tráfico se enruta de acuerdo con la entrada apropiada de la tabla de rutas.

Esto significa que puede configurar algunos de las subredes a los pares, en lugar de tener que incluirlas todas. Tradicionalmente, es el Subredes privadas ese par y posiblemente solo específico Subredes privadas, pero esa es totalmente su elección.

Piense en ello como instrucciones en una hoja de ruta, que le indican al tráfico hacia dónde debe dirigirse.

A continuación, se muestran los pasos para hacer que el RDS privado sea accesible a través del intercambio de tráfico de VPC:

Supongamos que tiene 2 VPC:

  • VPC de producción: 10.0.1.0/24
  • VPC RDS: 10.0.2.0/24

Paso 1: cree una interconexión de VPC entre las dos VPC. Luego acepte la solicitud para establecer la conexión. Obtendrá una identificación de conexión como: pcx-e8e8e8e8

Paso 2: configure la tabla de rutas en cada VPC

  • VPC de producción: agregue esta ruta a RDS VPC:
    10.0.2.0/24 -> pcx-e8e8e8e8
  • VPC RDS: agregue esta ruta a la VPC de producción:
    10.0.1.0/24 -> pcx-e8e8e8e8

Paso 3: configure el grupo de seguridad de RDS para aceptar el rango de IP de la VPC de producción, agregando esta regla de entrada

  • Puerto (MS SQL: 1433, MySQL: 3306, etc.) – permitir fuente: 10.0.1.0/24

Debería estar listo para la conexión ahora.

Nota: al conectarse a RDS, debe utilizar el nombre DNS proporcionado para una mejor resistencia. AWS VPC DNS se encargará de resolver este nombre en una dirección IP local de la instancia RDS.

El emparejamiento de VPC tiene que ver con los detalles. Aquí están los elementos que tuvimos que revisar para que funcionara.

Peer VPC 1 a VPC 2 (obvio, pero incluido para aquellos que no realizaron este paso). Desde la VPC 1, establezca el intercambio de tráfico con la VPC 2. Acepte la solicitud. Si es una región diferente, cambie a la región VPC 2 y acepte la solicitud del mismo nivel.

Ejemplos:

VPC 1 CIDR = 10.0.0.0/16
VPC 2 CIDR = 172.16.0.0/16

VPC 1 (VPC con instancia RDS)

1. Subred de servicio de tabla de ruta de la instancia RDS: agregue el destino de la ruta al bloque CIDR de VPC 2 (172.16.0.0/16) y la conexión de intercambio de tráfico de la VPC 2 de destino (seleccione de la lista – pcx – #####).
2. Grupo de seguridad RDS: agregue una regla de entrada para el puerto de base de datos con la IP de origen como el bloque VPC 2 CIDR (172.16.0.0/16). Entonces, tendrá dos reglas de entrada para el puerto DB. Uno para el bloque CIDR de VPC 1 (10.0.0.0/16) y otro para VPC 2 (172.16.0.0/16).
3. Lista de control de acceso a la red para la tabla de rutas privadas: si solo permite ciertos puertos, agregue una regla para el puerto DB, fuente = bloque VPC 2 CIDR (172.16.0.0/16) y Permitir.

VPC 2

1. Subred de servicio de tabla de ruta de la instancia EC2: agregue el destino de la ruta al bloque CIDR de la VPC 1 (10.0.0.0/16) y la conexión de intercambio de tráfico de la VPC 1 de destino (seleccione de la lista – pcx – #####).
2. Grupo de seguridad de instancia: agregue una regla de entrada para el puerto de base de datos con la IP de origen como el bloque VPC 1 CIDR (10.0.0.0/16).
3. Lista de control de acceso a la red para la tabla de rutas: si solo permite ciertos puertos, agregue una regla para el puerto DB, fuente = bloque CIDR VPC 1 (10.0.0.0/16) y Permitir.

Creo que eso fue todo, pero si encuentro otra configuración, actualizaré este mensaje.

Solo un poco de historia, estábamos haciendo esto para la recuperación de desastres. Nuestras instancias de producción y RDS MS SQL DB están en us-east-1 (VPC 1) y nuestras instancias de espera en caliente de recuperación ante desastres están en us-west-2 (VPC 2). En su mayoría, recibimos tráfico de EE. UU., Pero podemos considerar hacer que el sitio en espera sea un true copia de producción (grupo de escalado) y luego cambiar los registros de Ruta 5 a enrutamiento basado en latencia.

Si aceptas, tienes la opción de dejar una división acerca de qué le añadirías a esta división.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *