Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub

Risoluzione dei Problemi Comuni di Connessione RDS da Istanze EC2

Una guida pratica per diagnosticare e risolvere i tipici problemi di connettività tra le istanze Amazon EC2 e i database RDS. Scopri l'approccio sistematico per risolvere le insidie comuni relative a gruppi di sicurezza, routing VPC, ACL di rete e impostazioni di configurazione RDS per garantire una comunicazione affidabile dell'applicazione cloud.

Risoluzione dei Problemi Comuni di Connessione RDS da Istanze EC2

Quando un'applicazione su EC2 non riesce a connettersi a RDS, identifica prima il tipo di errore. Un timeout di solito significa che il traffico viene bloccato da qualche parte nel percorso. Un rapido connection refused significa che l'host è stato raggiunto ma la porta non ha accettato la connessione. Un errore di autenticazione significa che il percorso di rete probabilmente funziona e il problema è salito a livello di utenti del database, password, SSL, autenticazione IAM o autorizzazioni.

Questa distinzione fa risparmiare tempo. Non reimpostare le password per un timeout di rete e non aprire i gruppi di sicurezza per una password errata. Lavora dall'istanza EC2 verso l'esterno: DNS, raggiungibilità della porta, gruppi di sicurezza, routing della subnet, NACL, stato RDS, quindi autenticazione del database.

Prerequisiti per una Connessione Riuscita

Prima di addentrarti nella risoluzione dei problemi, assicurati che i seguenti elementi fondamentali siano configurati correttamente:

  1. Allineamento VPC: Sia l'istanza EC2 che l'istanza RDS dovrebbero idealmente risiedere nella stessa VPC per una configurazione più semplice, sebbene la connettività tra VPC diverse sia possibile tramite VPC Peering.
  2. Zone di Disponibilità (AZ): Assicurati che la tua infrastruttura applicativa (EC2) possa raggiungere l'infrastruttura del database (RDS) attraverso le AZ, se necessario, anche se il routing generalmente gestisce questo all'interno della VPC.
  3. Raggiungibilità di Rete: Conferma che l'istanza EC2 sia in esecuzione e abbia una connessione di rete attiva (ad esempio, può raggiungere Internet o altri servizi interni).

Passo 1: Verifica le Configurazioni dei Gruppi di Sicurezza (La Causa Più Comune)

I Gruppi di Sicurezza fungono da firewall virtuali sia per la tua istanza EC2 che per la tua istanza RDS. Una configurazione errata qui è la fonte della stragrande maggioranza degli errori di connessione.

A. Controllo del Gruppo di Sicurezza EC2

La tua istanza EC2 necessita di Regole in Uscita che consentano al traffico di uscire sulla porta del database. Per impostazione predefinita, la maggior parte dei gruppi di sicurezza consente tutto il traffico in uscita (0.0.0.0/0 su tutti i protocolli/porte), ma è saggio verificarlo.

B. Controllo delle Regole in Entrata del Gruppo di Sicurezza RDS

Questo è il passaggio critico. Il Gruppo di Sicurezza RDS deve consentire esplicitamente il traffico in entrata dall'istanza EC2.

Controllo Attuabile:

  1. Vai alla console RDS e seleziona la tua istanza database.
  2. Vai alla scheda Connettività e sicurezza e trova i Gruppi di Sicurezza associati.
  3. Modifica le Regole in Entrata.
  4. Assicurati che ci sia una regola che consenta il traffico sulla porta specifica del database (ad esempio, 3306 per MySQL, 5432 per PostgreSQL).
  5. L'Origine per questa regola deve essere l'ID del Gruppo di Sicurezza della tua istanza EC2, o l'intervallo IP privato specifico dell'istanza EC2 se non stai utilizzando riferimenti a gruppi di sicurezza.

Buona Pratica: Fai sempre riferimento all'ID del Gruppo di Sicurezza della risorsa sorgente (EC2) piuttosto che utilizzare indirizzi IP specifici nel campo origine. Ciò consente alla connessione di persistere anche se l'IP privato dell'istanza EC2 cambia (ad esempio, durante il ridimensionamento o il riavvio).

Esempio di Regola in Entrata (PostgreSQL):

Tipo Protocollo Intervallo Porte Origine
PostgreSQL TCP 5432 sg-012345abcdef67890 (ID del tuo Gruppo di Sicurezza EC2)

Passo 2: Conferma l'Accessibilità Pubblica e l'Endpoint RDS

Se la tua istanza EC2 non si trova in una subnet privata o richiede una connessione tramite Internet pubblico (generalmente sconsigliato per la produzione), devi controllare l'Accessibilità Pubblica RDS.

A. Impostazione di Accessibilità Pubblica

  1. Nella console RDS, controlla la scheda Connettività e sicurezza per l'istanza RDS.
  2. Se Accessibile pubblicamente è impostato su No, il database è raggiungibile solo tramite percorsi di rete privati, come risorse nella stessa VPC o reti connesse tramite peering, Transit Gateway, VPN o Direct Connect quando il routing e le regole di sicurezza lo consentono.
  3. Se Accessibile pubblicamente è impostato su , non trattarlo come una scorciatoia per l'accesso in produzione. Conferma che il client abbia una route pubblica valida e mantieni il gruppo di sicurezza RDS limitato all'intervallo di origine pratico più piccolo. Un'istanza EC2 nella stessa VPC dovrebbe normalmente utilizzare il percorso privato.

B. Verifica dell'Endpoint

Assicurati che l'applicazione sull'istanza EC2 stia utilizzando l'Endpoint RDS corretto (nome DNS) e la Porta corretta. Disallineamenti qui portano a timeout o rifiuti di connessione.

Utilizza l'utilità telnet o nc (netcat) dalla tua istanza EC2 per testare la raggiungibilità TCP di base all'endpoint e alla porta RDS:

# Per MySQL sulla porta 3306
telnet tuo-endpoint-rds.rds.amazonaws.com 3306

# Per PostgreSQL sulla porta 5432
nc -zv tuo-endpoint-rds.rds.amazonaws.com 5432

Una connessione riuscita risulta in una schermata vuota o in un messaggio di connessione immediato. Un errore (timeout o rifiuto) indica un blocco di rete, di solito Gruppi di Sicurezza o Routing della Subnet.

Passo 3: Analizza la Configurazione della Subnet e del Routing

Se i gruppi di sicurezza sembrano corretti, il problema potrebbe risiedere nel modo in cui le subnet comunicano.

A. ACL di Rete (NACL)

Le ACL di Rete sono firewall senza stato che operano a livello di subnet. Se hai implementato NACL personalizzate, potrebbero bloccare il traffico di ritorno necessario per completare una connessione.

  • Controlla le NACL sia per la subnet EC2 che per la subnet RDS.
  • Assicurati che sia le regole in Entrata che quelle in Uscita consentano il traffico sulla porta del database e sull'intervallo di porte effimere (1024-65535) per il traffico di ritorno.

B. Routing Tra VPC Diverse o Ibrido

Le connessioni al database RDS utilizzano solitamente il routing VPC normale, non un endpoint gateway in stile S3. Se EC2 e RDS si trovano in VPC diverse o sono connessi da reti on-premises, verifica la route privata completa in entrambe le direzioni. VPC peering, Transit Gateway, VPN e Direct Connect richiedono tutte voci nella tabella di routing, oltre a regole compatibili del gruppo di sicurezza e delle NACL.

Passo 4: Controlli di Configurazione dell'Istanza Database

Se la connettività di rete è confermata (Passo 2 ha successo), il problema risiede all'interno del motore del database stesso.

A. Credenziali e Autorizzazione del Database

Verifica il nome utente, la password e il nome del database utilizzati dall'applicazione che si connette dall'istanza EC2. I servizi RDS come MySQL e PostgreSQL applicano un'autenticazione utente rigorosa.

B. Gruppi di Parametri e Stato del Database

  1. Stato del Database: Assicurati che lo stato dell'istanza RDS sia Disponibile. Se è in fase di modifica, backup o riavvio, le connessioni falliranno.
  2. Gruppi di Parametri: Controlla eventuali Gruppi di Parametri personalizzati applicati all'istanza RDS. Alcune impostazioni (come skip-networking in alcune configurazioni MySQL, sebbene meno comuni in RDS gestito) possono impedire le connessioni.

C. Autenticazione IAM del Database (Se Utilizzata)

Se stai utilizzando IAM per l'autenticazione del database invece delle password, assicurati che il ruolo IAM associato all'istanza EC2 (o il profilo utente che esegue l'applicazione) abbia le autorizzazioni corrette (rds-db:connect) e che la stringa di connessione includa correttamente i token di autenticazione necessari.

Flusso di Risoluzione dei Problemi

Utilizza questa lista di controllo prioritaria per risolvere rapidamente i problemi:

  1. Controllo Porta: EC2 può raggiungere la porta RDS usando telnet o nc? Non fare affidamento sul ping ICMP; RDS non è un server normale che puoi risolvere in quel modo.
  2. Gruppo di Sicurezza RDS: La regola in Entrata consente il traffico da il Gruppo di Sicurezza EC2 alla porta RDS?
  3. NACL: Sia le regole in Entrata che quelle in Uscita sono aperte per le porte necessarie (Porta del Database + Porte Effimere)?
  4. Endpoint/Credenziali: La stringa di connessione è corretta e le credenziali sono valide?
  5. Stato DB: L'istanza RDS è Disponibile?

Se il test della porta fallisce, rimani nel livello di rete finché non riesce. Se il test della porta riesce ma il client del database fallisce, smetti di modificare le regole VPC e leggi attentamente l'errore del database. La maggior parte degli incidenti EC2-RDS diventa molto più semplice una volta che la raggiungibilità della rete e l'autenticazione del database vengono trattate come questioni separate.