¿Cómo configuro un clúster de base de datos de Amazon Aurora aprovisionado para que sea de acceso público?
Tengo un clúster de base de datos de Amazon Aurora aprovisionado y quiero configurarlo para que sea de acceso público. Además, quiero proteger mi clúster de base de datos de Aurora de las conexiones externas. ¿Cómo puedo hacerlo?
Descripción breve
Para conectarse a un clúster de base de datos de Aurora desde fuera de Amazon Virtual Private Cloud (Amazon VPC), las instancias del clúster deben cumplir los siguientes requisitos:
- La instancia de base de datos tiene una dirección IP pública.
- La instancia de base de datos se ejecuta en una subred de acceso público.
Además de configurar la instancia de base de datos para que se conecte desde fuera de una VPC, puede proteger las conexiones con seguridad de la capa de transporte (TLS).
Resolución
Establecer la configuración de acceso público de la instancia de base de datos en Sí
La configuración de acceso público de una instancia de base de datos de Amazon Relational Database Service (Amazon RDS) controla la asignación de una dirección IP pública a la instancia de base de datos.
- Si se establece en No, la instancia de base de datos no tiene una dirección IP pública.
- Si se establece en Sí, la instancia de base de datos tiene direcciones IP públicas y privadas.
Para cambiar la configuración de acceso público de la instancia de base de datos a Sí, siga estos pasos:
- Abra la consola de Amazon RDS.
- Elija Bases de datos en el panel de navegación y, a continuación, elija la instancia de base de datos.
- Seleccione Modificar.
- En Conectividad, amplíe la sección Configuración adicional y, a continuación, seleccione Acceso público.
- Seleccione Continuar.
- Elija Modificar instancia de base de datos
Nota: No es necesario que elija Aplicar inmediatamente. Para obtener más información sobre cómo puede afectar Aplicar inmediatamente al tiempo de inactividad, consulte Uso de la configuración de aplicación inmediata.
Ejecutar una instancia de base de datos en una subred pública
Una subred pública es una subred que está asociada a una tabla de enrutamiento que tiene una ruta a la puerta de enlace de Internet, que suele ser la ruta predeterminada, 0.0.0.0/0. Esta ruta activa las instancias de base de datos de una subred para comunicarse con recursos fuera de la VPC.
Para las instancias de base de datos de Aurora, no puede elegir una subred específica. Como alternativa, elija un grupo de subredes de base de datos al crear la instancia.
Un grupo de subredes de base de datos es un conjunto de subredes que pertenecen a una VPC. Cuando crea el host subyacente, Amazon RDS elige aleatoriamente una subred del grupo de subredes de base de datos. Por lo general, una VPC tiene subredes públicas y privadas. Si el grupo de subredes de base de datos contiene subredes públicas y privadas, inicie el host subyacente en una subred pública o privada. No puede conectarse a la instancia de base de datos desde fuera de la VPC si el host subyacente se lanza en una subred privada.
En su lugar, cree un grupo de subredes de base de datos con subredes de configuración de red similar. Por ejemplo, cree un grupo de subredes de base de datos para subredes públicas y un segundo grupo de subredes de base de datos para subredes privadas. Para obtener más información, consulte Uso de una instancia de base de datos en un grupo de subredes.
Siga estos pasos para asegurarse de que la subred utilizada por la instancia de base de datos tenga acceso a Internet:
- Compruebe que su VPC tenga una puerta de enlace de Internet conectada.
- Compruebe que todas las subredes del grupo de subredes de base de datos utilicen una tabla de enrutamiento con una puerta de enlace de Internet.
- Si la subred usa la tabla de enrutamiento principal de la VPC, añada la ruta para la puerta de enlace de Internet (el destino es 0.0.0.0/0).
- Si es necesario, cree una tabla de enrutamiento personalizada con la ruta a la puerta de enlace de Internet y asóciela a la subred.
- Añada la dirección IP pública de origen desde la que desea conectarse a la instancia de base de datos en las reglas de entrada del grupo de seguridad.
- Para el Tipo de regla, elija MySQL/Aurora o PostgreSQL, según el tipo de motor.
- En Fuente, introduzca el rango de CIDR manualmente o elija Mi IP para conectarse a la instancia de base de datos desde la misma estación de trabajo.
Proteger el clúster de base de datos de las conexiones externas a la VPC
Puede usar TLS para cifrar las conexiones que provienen de fuera de una VPC porque la transferencia de datos se produce a través de Internet. Para confirmar que utiliza el nivel más alto de seguridad, utilice el parámetro ssl-ca para pasar el certificado de CA y, a continuación, active la validación del nombre de host. Utilice los siguientes comandos de ejemplo para las conexiones TLS, según la versión de Aurora que utilice.
Edición 5.6 y versiones posteriores compatibles con MySQL de Amazon Aurora:
mysql -h test-aurora-56.cluster-xxxxxxxxxxxx.us-east-1.rds.amazonaws.com -u master_user --ssl-ca=rds-combined-ca-bundle.pem --ssl-verify-server-cert
Compatible con MySQL 5.7 y versiones posteriores de Aurora:
mysql -h test-aurora-57.cluster-xxxxxxxxxxxx.us-east-1.rds.amazonaws.com -u master_user --ssl-ca=rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY
Edición compatible con PostgreSQL de Amazon Aurora:
psql -h test-aurora-pg.cluster-xxxxxxxxxxxx.us-east-1.rds.amazonaws.com -p 5432 "dbname=postgres user=master_user sslrootcert=rds-combined-ca-bundle.pem sslmode=verify-full"
Nota: También puede aplicar TLS a los clústeres de bases de datos. Para Aurora MySQL, debe aplicar TLS a los usuarios de la base de datos. Para que sea compatible con Aurora PostgreSQL, defina el parámetro rds.force_ssl como 1.
Información relacionada
Uso de SSL/TLS con clústeres de base de datos de Aurora MySQL
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace un mes