Domina herramientas y mejores prácticas de DevOps - DevOps Knowledge Hub Domina herramientas y mejores prácticas de DevOps - DevOps Knowledge Hub

Solución de Problemas Comunes de Conexión a RDS desde Instancias EC2

Una guía práctica para diagnosticar y resolver problemas típicos de conectividad entre instancias de Amazon EC2 y bases de datos RDS. Aprenda el enfoque sistemático para solucionar problemas comunes relacionados con grupos de seguridad, enrutamiento VPC, ACL de red y configuraciones de RDS para garantizar una comunicación confiable de aplicaciones en la nube.

Solución de Problemas Comunes de Conexión a RDS desde Instancias EC2

Cuando una aplicación en EC2 no puede conectarse a RDS, primero identifique el tipo de falla. Un tiempo de espera agotado generalmente significa que el tráfico se está descartando en algún punto del camino. Un rápido connection refused significa que se alcanzó el host pero el puerto no aceptó la conexión. Un error de autenticación significa que la ruta de red probablemente funciona y el problema se ha trasladado a usuarios de bases de datos, contraseñas, SSL, autenticación IAM o permisos.

Esa distinción ahorra tiempo. No restablezca contraseñas para un tiempo de espera de red, y no abra grupos de seguridad para una contraseña incorrecta. Trabaje desde la instancia EC2 hacia afuera: DNS, accesibilidad del puerto, grupos de seguridad, enrutamiento de subred, NACL, estado de RDS, luego autenticación de base de datos.

Requisitos Previos para una Conexión Exitosa

Antes de sumergirse en la solución de problemas, asegúrese de que los siguientes elementos fundamentales estén configurados correctamente:

  1. Alineación de VPC: Tanto la instancia EC2 como la instancia RDS deben residir idealmente dentro de la misma VPC para una configuración más simple, aunque la conectividad entre VPC es posible mediante VPC Peering.
  2. Zonas de Disponibilidad (AZ): Asegúrese de que su infraestructura de aplicación (EC2) pueda alcanzar la infraestructura de base de datos (RDS) a través de AZ si es necesario, aunque el enrutamiento generalmente maneja esto dentro de la VPC.
  3. Accesibilidad de Red: Confirme que la instancia EC2 esté en ejecución y tenga una conexión de red activa (por ejemplo, pueda alcanzar internet u otros servicios internos).

Paso 1: Verificar Configuraciones de Grupos de Seguridad (El Culpable Más Común)

Los Grupos de Seguridad actúan como firewalls virtuales tanto para su instancia EC2 como para su instancia RDS. Una mala configuración aquí es la fuente de la gran mayoría de las fallas de conexión.

A. Verificación del Grupo de Seguridad de EC2

Su instancia EC2 necesita Reglas de Salida que permitan que el tráfico salga por el puerto de la base de datos. Por defecto, la mayoría de los grupos de seguridad permiten todo el tráfico saliente (0.0.0.0/0 en todos los protocolos/puertos), pero es recomendable verificar esto.

B. Verificación de Reglas de Entrada del Grupo de Seguridad de RDS

Este es el paso crítico. El Grupo de Seguridad de RDS debe permitir explícitamente el tráfico entrante desde la instancia EC2.

Verificación Accionable:

  1. Navegue a la consola de RDS y seleccione su instancia de base de datos.
  2. Vaya a la pestaña Conectividad y seguridad y encuentre los Grupos de Seguridad asociados.
  3. Edite las Reglas de Entrada.
  4. Asegúrese de que haya una regla que permita el tráfico en el puerto específico de la base de datos (por ejemplo, 3306 para MySQL, 5432 para PostgreSQL).
  5. El Origen de esta regla debe ser el ID del Grupo de Seguridad de su instancia EC2, o el rango de IP privada específico de la instancia EC2 si no está utilizando referencias de grupo de seguridad.

Mejor Práctica: Siempre haga referencia al ID del Grupo de Seguridad del recurso de origen (EC2) en lugar de usar direcciones IP específicas en el campo de origen. Esto permite que la conexión persista incluso si la IP privada de la instancia EC2 cambia (por ejemplo, durante el escalado o reinicio).

Ejemplo de Regla de Entrada (PostgreSQL):

Tipo Protocolo Rango de Puertos Origen
PostgreSQL TCP 5432 sg-012345abcdef67890 (ID del Grupo de Seguridad de su EC2)

Paso 2: Confirmar Accesibilidad Pública de RDS y Punto de Conexión

Si su instancia EC2 no está en una subred privada o requiere conexión a través de internet público (generalmente desaconsejado para producción), debe verificar la Accesibilidad Pública de RDS.

A. Configuración de Accesibilidad Pública

  1. En la consola de RDS, verifique la pestaña Conectividad y seguridad de la instancia RDS.
  2. Si Accesible públicamente está configurado como No, la base de datos es accesible solo a través de rutas de red privadas, como recursos en la misma VPC o redes conectadas mediante peering, Transit Gateway, VPN o Direct Connect cuando las reglas de enrutamiento y seguridad lo permiten.
  3. Si Accesible públicamente está configurado como , no lo trate como un atajo para acceso de producción. Confirme que el cliente tenga una ruta pública válida y mantenga el grupo de seguridad de RDS restringido al rango de origen práctico más pequeño. Una instancia EC2 en la misma VPC normalmente debe usar la ruta privada.

B. Verificación del Punto de Conexión

Asegúrese de que la aplicación en la instancia EC2 esté utilizando el Punto de Conexión de RDS correcto (nombre DNS) y el Puerto correcto. Las discrepancias aquí provocan tiempos de espera o rechazos de conexión.

Utilice la utilidad telnet o nc (netcat) desde su instancia EC2 para probar la accesibilidad TCP básica al punto de conexión y puerto de RDS:

# Para MySQL en el puerto 3306
telnet your-rds-endpoint.rds.amazonaws.com 3306

# Para PostgreSQL en el puerto 5432
nc -zv your-rds-endpoint.rds.amazonaws.com 5432

Una conexión exitosa resulta en una pantalla en blanco o un mensaje de conexión inmediato. Una falla (tiempo de espera o rechazo) indica un bloqueo de red, generalmente Grupos de Seguridad o Enrutamiento de Subred.

Paso 3: Analizar la Configuración de Subred y Enrutamiento

Si los grupos de seguridad parecen correctos, el problema podría estar en cómo se comunican las subredes.

A. ACL de Red (NACL)

Las ACL de Red son firewalls sin estado que operan a nivel de subred. Si ha implementado NACL personalizadas, podrían estar bloqueando el tráfico de retorno necesario para completar una conexión.

  • Verifique las NACL tanto para la subred de EC2 como para la subred de RDS.
  • Asegúrese de que tanto las reglas de Entrada como de Salida permitan el tráfico en el puerto de la base de datos y en el rango de puertos efímeros (1024-65535) para el tráfico de retorno.

B. Enrutamiento entre VPC o Híbrido

Las conexiones de bases de datos RDS generalmente utilizan enrutamiento VPC normal, no un punto de conexión de puerta de enlace estilo S3. Si EC2 y RDS están en diferentes VPC o conectados desde redes locales, verifique la ruta privada completa en ambas direcciones. VPC peering, Transit Gateway, VPN y Direct Connect requieren entradas en la tabla de rutas, así como reglas de grupo de seguridad y NACL compatibles.

Paso 4: Verificaciones de Configuración de la Instancia de Base de Datos

Si se confirma la conectividad de red (Paso 2 tiene éxito), el problema reside dentro del motor de base de datos en sí.

A. Credenciales y Autorización de la Base de Datos

Verifique el nombre de usuario, la contraseña y el nombre de la base de datos que utiliza la aplicación que se conecta desde la instancia EC2. Los servicios de RDS como MySQL y PostgreSQL aplican una autenticación de usuario estricta.

B. Grupos de Parámetros y Estado de la Base de Datos

  1. Estado de la Base de Datos: Asegúrese de que el estado de la instancia RDS sea Disponible. Si está modificando, respaldando o reiniciando, las conexiones fallarán.
  2. Grupos de Parámetros: Verifique cualquier Grupo de Parámetros personalizado aplicado a la instancia RDS. Ciertas configuraciones (como skip-networking en algunas configuraciones de MySQL, aunque menos común en RDS administrado) pueden impedir conexiones.

C. Autenticación de Base de Datos IAM (Si se Usa)

Si está utilizando IAM para la autenticación de base de datos en lugar de contraseñas, asegúrese de que el rol IAM adjunto a la instancia EC2 (o el perfil de usuario que ejecuta la aplicación) tenga los permisos correctos (rds-db:connect) y que la cadena de conexión incluya correctamente los tokens de autenticación necesarios.

Flujo de Solución de Problemas

Utilice esta lista de verificación priorizada para resolver problemas rápidamente:

  1. Verificación de Puerto: ¿Puede EC2 alcanzar el puerto de RDS usando telnet o nc? No confíe en el ping ICMP; RDS no es un servidor normal que se pueda solucionar de esa manera.
  2. Grupo de Seguridad de RDS: ¿La regla de Entrada permite el tráfico desde el Grupo de Seguridad de EC2 hacia el puerto de RDS?
  3. NACL: ¿Están abiertas tanto las reglas de Entrada como de Salida para los puertos necesarios (Puerto de Base de Datos + Puertos Efímeros)?
  4. Punto de Conexión/Credenciales: ¿Es correcta la cadena de conexión y son válidas las credenciales?
  5. Estado de la BD: ¿Está la instancia RDS Disponible?

Si la prueba de puerto falla, permanezca en la capa de red hasta que tenga éxito. Si la prueba de puerto tiene éxito pero el cliente de base de datos falla, deje de cambiar las reglas de VPC y lea detenidamente el error de la base de datos. La mayoría de los incidentes de EC2 a RDS se vuelven mucho más fáciles una vez que la accesibilidad de red y la autenticación de base de datos se tratan como preguntas separadas.