En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Pourquoi ne puis-je pas me connecter à mon cluster Amazon DocumentDB ?

Lecture de 8 minute(s)
0

Je rencontre des problèmes lorsque j'essaie de me connecter à mon cluster Amazon DocumentDB (compatible avec MongoDB).

Brève description

Amazon DocumentDB est exclusivement un service de cloud privé virtuel (VPC) ; il ne prend pas en charge l'utilisation de points de terminaison publics. Pour vous connecter, vous devez utiliser une instance Amazon Elastic Compute Cloud (Amazon EC2) ou un autre service AWS dans le même VPC que votre instance.

Vous pouvez toutefois utiliser un appairage de VPC ou une passerelle de transit pour accéder à Amazon DocumentDB à partir d'instances EC2 ou d'autres services AWS dans différents VPC ou régions. Et si vous avez besoin d'accéder à votre cluster Amazon DocumentDB depuis l'extérieur du réseau AWS, vous pouvez utiliser le tunneling SSH ou AWS Client VPN.

Résolution

Remarque : si des erreurs surviennent lors de l'exécution des commandes de l'interface de la ligne de commande AWS (AWS CLI), vérifiez que vous utilisez la version la plus récente de l'interface.

Un problème de connexion à un cluster Amazon DocumentDB peut avoir plusieurs origines. Suivez les étapes ci-dessous pour déterminer les causes les plus courantes et résoudre les problèmes.

L'instance de base de données n'est pas à l'état « disponible ».

Vérifiez que votre cluster Amazon DocumentDB possède au moins une instance et un cluster disponibles. Si vos instances ne sont pas à l'état disponible, elles ne peuvent pas accepter de connexions. Pour en savoir plus, consultez les sections Surveillance de l'état d'un cluster Amazon DocumentDB et Surveillance de l'état d'une instance Amazon DocumentDB.

La source ne dispose pas d'un accès autorisé au cluster.

Vérifiez que la source utilisée pour vous connecter à l'instance est autorisée à accéder au cluster. Votre instance doit bénéficier d'un accès au cluster dans vos listes de contrôle d'accès (ACL) réseau, vos pare-feux locaux et vos règles de groupe de sécurité. Vérifiez que le trafic provenant de la source qui se connecte à votre instance de base de données n'est pas bloqué par un ou plusieurs des éléments suivants :

  • Groupes de sécurité Amazon Virtual Private Cloud (Amazon VPC) associés à l'instance de base de données. Le cas échéant, vous pouvez ajouter des règles au groupe de sécurité associé au VPC qui autorise le trafic lié à la source à entrer et à sortir de l'instance de base de données. Vous pouvez spécifier une adresse IP, une plage d'adresses IP ou un autre groupe de sécurité VPC.
  • Règles ACL réseau. Si vous utilisez des ACL réseau dans votre VPC, assurez-vous qu'elles disposent de règles autorisant le trafic entrant et sortant vers et depuis l'instance de base de données.
  • Pare-feu réseau ou locaux. Vérifiez si votre réseau autorise le trafic à destination et en provenance des ports utilisés par l'instance de base de données pour les communications entrantes et sortantes.

Les tables de routage du sous-réseau Amazon VPC n'autorisent pas le trafic.

La table de routage de votre sous-réseau Amazon VPC doit autoriser le trafic provenant de votre machine ou instance. Vérifiez que les sous-réseaux associés à chaque instance de base de données sont associés aux mêmes tables de routage ou à des tables de routage similaires.

Si votre instance de base de données principale bascule vers une réplique de secours associée à une autre table de routage, le trafic risque de ne pas être acheminé correctement. Si ce trafic a déjà été acheminé sans problème, vérifiez qu'il est toujours correctement acheminé.

Nom DNS ou point de terminaison incorrect

Vérifiez que vous utilisez le nom DNS ou le point de terminaison correct pour vous connecter au cluster Amazon DocumentDB. Vérifiez ensuite que le format du point de terminaison est correct pour le client que vous utilisez pour vous connecter à l'instance de base de données.

Par exemple, utilisez la commande nslookup pour accéder au point de terminaison de l'instance de base de données à partir d'une instance EC2 au sein du VPC :

nslookup docdb-2022-12-16-09-10-582.cuh2dlyxxxxx.us-east-1.docdb.amazonaws.com
Server: x.x.x.x
Address: x.x.x.x#53
Non-authoritative answer:
Name: docdb-2022-12-16-09-10-582.cuh2dlyrdizy.us-east-1.docdb.amazonaws.com
Address: x.x.x.x

Pour résoudre les problèmes de DNS et de connectivité, consultez la section Impossible de se connecter à un point de terminaison Amazon DocumentDB.

Vérifier si une connexion est déjà établie

Exécutez l'une des commandes suivantes pour vérifier si votre connexion est établie :

telnet <DocDB endpoint> <port number>
nc -zv <DocDB endpoint> <port number>

Si la commande telnet ou nc aboutit, cela signifie qu'une connexion réseau est établie. Le problème est donc probablement lié à l'authentification de l'utilisateur dans la base de données, par exemple au niveau du nom d'utilisateur ou du mot de passe.

Vérifier les informations d'identification utilisées pour la connexion

Vérifiez l'exactitude du nom d'utilisateur et du mot de passe saisis lors de votre connexion au cluster. En cas d'oubli de votre mot de passe, vous pouvez modifier le cluster Amazon DocumentDB pour le réinitialiser.

Désactiver la configuration TLS

Par défaut, la configuration TLS est activée pour les clusters Amazon DocumentDB. Si votre application n'utilise pas de connexions TLS/SSL, vous pouvez désactiver la configuration TLS à partir du groupe de paramètres du cluster Amazon DocumentDB personnalisé. Pour en savoir plus, consultez la section Gestion des groupes de paramètres du cluster Amazon DocumentDB.

Remarque : le protocole TLS est un paramètre statique qui nécessite de redémarrer le cluster pour que les modifications du groupe de paramètres du cluster puissent prendre effet. Pour en savoir plus, consultez la section Modification des paramètres du cluster Amazon DocumentDB.

Résolution de problèmes liés à d'autres cas d'utilisation

Impossible d'obtenir le certificat de l'émetteur local

Une erreur de type « Impossible d'obtenir le certificat de l'émetteur local » peut survenir en raison de la compatibilité du pilote MongoDB avec le certificat CA. Veillez à utiliser les paramètres indiqués dans la section Connexion avec TLS activé.

Impossible d'établir une connexion à l'instance après un redémarrage

Il est possible que vous ne puissiez pas vous connecter à votre instance après un redémarrage. Lorsque vous redémarrez une instance, l'adresse IP privée de l'instance peut en effet changer. Cela peut entraîner des problèmes de connectivité. Il est recommandé d'utiliser des points de terminaison de cluster ou d'instance au lieu d'utiliser les adresses IP converties par le DNS de la ressource Amazon DocumentDB.

Erreurs d'échec de l'authentification

Vous pouvez rencontrer l'erreur « Échec de l'authentification » lorsque vous vous connectez à votre instance. Cette erreur est liée aux problèmes de mot de passe, tels que l'utilisation d'un mot de passe ou d'un nom d'utilisateur incorrect. Pour résoudre cette erreur, procédez comme suit :

  1. Vérifiez que le nom d'utilisateur et le mot de passe fournis sont corrects.
  2. Saisissez le mot de passe manuellement au lieu de faire un copier-coller.
  3. Réinitialisez le mot de passe depuis la console Amazon DocumentDB ou à l'aide de l'interface AWS CLI.

Impossible de se connecter après plusieurs connexions

Si vous ne parvenez plus à vous connecter, il est possible que votre instance ait atteint le nombre maximal de connexions à la base de données pour sa classe d'instance. Pour autoriser davantage de connexions, vous devez passer à une classe d'instance supérieure.

Il est recommandé de toujours examiner la gestion des connexions du côté client. Vous devez vérifier que le regroupement des connexions et les paramètres de délai d'expiration associés sont définis correctement. Les paramètres indiqués doivent couvrir un nombre suffisant de connexions à votre cluster Amazon DocumentDB. Ils doivent également vous empêcher d'atteindre le nombre limite de connexions.

Impossible d'établir une connexion depuis un système local avec AWS Client VPN

Il est possible que vous ne puissiez pas vous connecter à votre cluster Amazon DocumentDB depuis un système local lorsque vous utilisez un réseau privé virtuel (VPN). Vérifiez que vous utilisez correctement AWS Client VPN. AWS Client VPN vous permet de vous connecter à votre réseau distant depuis votre VPC et configure le routage pour orienter le trafic via la connexion.

Problèmes de connectivité intermittents

Si votre application rencontre un problème de connectivité intermittent, vérifiez si votre cluster comporte une charge de travail importante. Par exemple, consultez les métriques Amazon CloudWatch telles que VolumeWriteIops, VolumeReadiOps, OpCountersCommand et CPUUtilization.

Si ces métriques CloudWatch indiquent des pics d'activité, vos problèmes de connexion peuvent être dus à un blocage. Les requêtes des utilisateurs peuvent s'exécuter lentement en raison de plans de requête sous-optimaux ou peuvent être bloquées par un conflit de ressources. Utilisez les analyses de performances et les journaux de profilage pour identifier la requête à l'origine de ce problème.

Informations connexes

Problèmes de connexion

Connexion à l’aide d'Amazon EC2

Surveillance d'Amazon DocumentDB avec CloudWatch

Sécurité dans Amazon DocumentDB

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an