Amazon DocumentDB クラスターに接続できないのはなぜですか

所要時間2分

Amazon DocumentDB (MongoDB 互換) クラスターに接続しようとすると問題が発生します。

簡単な説明

Amazon DocumentDB は仮想プライベートクラウド (VPC) 専用のサービスであり、パブリックエンドポイントの使用はサポートしていません。接続するには、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたはインスタンスと同じ VPC 内の別の AWS サービスを使用する必要があります。

異なる VPC や AWS リージョンにある EC2 インスタンスまたは他の AWS サービスから Amazon DocumentDB にアクセスするには、Amazon Virtual Private Cloud (Amazon VPC) ピアリングまたは AWS Transit Gateway を使用してください。AWS ネットワークの外部から Amazon DocumentDB クラスターにアクセスする必要がある場合は、SSH トンネリングまたは AWS Client VPN を使用してください。

接続の問題を解決するには、次のトラブルシューティング手順を使用してください。

解決策

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

DB インスタンスが利用可能な状態ではない

クラスターに少なくとも 1 つのインスタンスがあることを確認します。接続を受け入れるには、インスタンスとクラスターが Available 状態である必要があります。

ソースがクラスターにアクセスできない

Amazon DocumentDB インスタンスへの接続に使用するソースが、以下の場所にあるクラスターにアクセスできることを確認します。

DB インスタンスに接続するソースからのトラフィックがブロックされないように、次のアクションを実行してください。

必要に応じて、DB インスタンスに出入りするソーストラフィックを許可するようにセキュリティグループルールを設定します。IP アドレス、IP アドレス範囲、または別の VPC セキュリティグループを指定できます。
VPC でネットワーク ACL を使用する場合は、DB インスタンスとの間のインバウンドトラフィックとアウトバウンドトラフィックを許可するルールを追加します。詳細については、「ネットワーク ACL ルール」を参照してください。
DB インスタンスがインバウンドとアウトバウンドの通信に使用するポートを出入りするトラフィックを許可するようにネットワークを設定します。

**注:**SSH トンネリングを使用して VPC 外の Amazon DocumentDB クラスターに接続する場合は、踏み台ホストとして使用している EC2 インスタンスを確認してください。クラスターに出入りするトラフィックを許可するために必要なネットワーク構成になっていることを確認してください。

Amazon VPC サブネットルートテーブルがトラフィックを許可しない

クラスターのサブネットに関連付けられているルートテーブルには、ソースへの有効なルートが必要です。また、ソースのサブネットに関連付けられているルートテーブルには、クラスターへの有効なルートが必要です。

ソースとクラスターが同じ VPC に属している場合は、サブネットのルートテーブルにローカルルートを設定します。VPC ピアリングを使用して接続する場合は、両方の VPC ルートテーブルにピアリングされた VPC またはサブネット CIDR ブロックへのルートがあることを確認してください。詳細については、「ルーティングオプションの例」を参照してください。

プライマリ DB インスタンスがスタンバイレプリカにフェイルオーバーすることがあります。レプリカが別のルートテーブルを使用している場合、トラフィックは正しくルーティングされない可能性があります。この問題を回避するには、クラスターサブネットとソースサブネットが正しいルートテーブルを使用していることを確認してください。

DNS 名またはエンドポイントが正しくない

正しい DNS 名またはエンドポイントを使用してクラスターに接続しているかを確認します。次に、エンドポイントが、DB インスタンスへの接続に使用するクライアントに適した形式であるかを確認します。

DNS と接続の問題をトラブルシューティングするには、「Can't connect to an Amazon DocumentDB endpoint (Amazon DocumentDB エンドポイントに接続できない)」を参照してください。

間違った認証情報を使用してクラスターに接続した

クラスターに接続するときは、正しいユーザー名とパスワードを入力しているかを確認してください。パスワードを忘れた場合は、Amazon DocumentDB クラスターを変更してパスワードをリセットできます。

アプリケーションが TLS 暗号化接続を使用していない

デフォルトでは、Amazon DocumentDB はすべてのクラスターの転送中の暗号化を有効にします。アプリケーションが TLS/SSL 接続を使用しない場合は、TLS クラスターパラメーター値を変更して TLS を無効にできます。

"unable to get local issuer certificate" というエラーメッセージが表示される

認証局 (CA) 証明書と互換性がある MongoDB ドライバでは、"unable to get local issuer certificate" (ローカル発行者証明書を取得できません) というエラーメッセージが表示されることがあります。TLS がアクティブになっているときにクラスターに接続する場合は、必ず最新のパブリック証明書バンドルを使用してください。

再起動後にインスタンスに接続できない

インスタンスを再起動すると、インスタンスのプライベート IP アドレスが変更され、接続の問題が発生する可能性があります。クラスターまたはインスタンスのエンドポイントを使用するのがベストプラクティスです。

何回接続しても接続できない

接続できなくなった場合は、インスタンスがそのインスタンスクラスのデータベース接続の最大クォータに達している可能性があります。接続数を増やすには、インスタンスクラスをアップグレードします。

クライアント側から接続管理をトラブルシューティングするのがベストプラクティスです。接続プールと関連するタイムアウト設定を確認してください。クラスターへの接続数を管理するには、十分な設定が必要です。接続クォータに達しないように設定を調整してください。

AWS Client VPN を使用してローカルシステムから接続できない

VPN を使用すると、ローカルシステムからクラスターに接続できないことがあります。AWS Client VPN では、VPC からリモートネットワークに接続し、接続を介してトラフィックを渡すようにルーティングを設定できます。AWS クライアント VPN が正しく設定されていることを確認してください。

断続的に接続の問題が発生する

アプリケーションで断続的に接続の問題が発生する場合は、クラスターに大きな負荷がかかっていないか確認してください。たとえば、VolumeWriteIOPs、VolumeReadIOPs、OpcountersCommand、CPUUtilization、DBLoad などの Amazon CloudWatch メトリクスを確認して、リソースのボトルネックによるスパイクがないかを確認します。クエリプランが最適でないと、ユーザークエリの実行が遅くなり、リソースの競合によりユーザークエリがブロックされる可能性があります。パフォーマンスインサイトとプロファイラーログを使用すれば、この問題の原因となったクエリを見つけることができます。

**重要:**2025 年 11 月 30 日に Performance Insights のサポートは終了します。2025 年 11 月 30 日までに、Database Insights の Advanced モードにアップグレードしてください。アップグレードしない場合、Performance Insights を使用する DB クラスターは、デフォルトで Database Insights の Standard モードを使用します。実行計画とオンデマンド分析は、Database Insights の Advanced モードでのみサポートされます。クラスターがデフォルト設定により Standard モードを使用する場合、コンソールでこれらの機能を使用できない可能性があります。Advanced モードの有効化については、「Amazon RDS で Database Insights のアドバンストモードを有効にする」および「Amazon Aurora で Database Insights のアドバンストモードを有効にする」を参照してください。