Centro di Conoscenza DevOps
Centro di Conoscenza DevOps

Risoluzione dei problemi comuni di connessione RDS dalle istanze EC2

Una guida pratica per diagnosticare e risolvere i tipici problemi di connettività tra istanze Amazon EC2 e database RDS. Impara l'approccio sistematico per la risoluzione dei problemi comuni relativi a gruppi di sicurezza, routing VPC, ACL di rete e impostazioni di configurazione RDS per garantire una comunicazione affidabile delle applicazioni cloud.

35 visualizzazioni

Risoluzione dei problemi comuni di connessione RDS dalle istanze EC2

Collegare un'istanza Amazon EC2 a un'istanza Amazon Relational Database Service (RDS) è un'operazione fondamentale in molte architetture AWS. Tuttavia, le complessità della configurazione di rete portano spesso a errori di connessione. Questa guida fornisce un approccio sistematico per diagnosticare e risolvere i problemi di connettività più comuni tra il livello di calcolo (EC2) e il livello di database gestito (RDS).

Comprendendo che sia EC2 che RDS risiedono nell'ambiente Amazon Virtual Private Cloud (VPC), la maggior parte dei problemi di connessione deriva da regole di gruppo di sicurezza errate, routing delle subnet o errate configurazioni dei parametri del database. Controllando metodicamente questi componenti, è possibile ripristinare rapidamente l'accesso al database.

Prerequisiti per una Connessione Riuscita

Prima di addentrarsi nella risoluzione dei problemi, assicurarsi che i seguenti elementi fondamentali siano configurati correttamente:

  1. Allineamento VPC: L'istanza EC2 e l'istanza RDS dovrebbero idealmente risiedere all'interno della stessa VPC per la configurazione più semplice, sebbene la connettività cross-VPC sia possibile tramite VPC Peering.
  2. Zone di Disponibilità (AZ): Assicurarsi che l'infrastruttura applicativa (EC2) possa raggiungere l'infrastruttura di database (RDS) attraverso le AZ, se necessario, sebbene il routing gestisca generalmente questo aspetto all'interno della VPC.
  3. Raggiungibilità di Rete: Confermare che l'istanza EC2 sia in esecuzione e disponga di una connessione di rete attiva (ad esempio, che possa raggiungere Internet o altri servizi interni).

Passaggio 1: Verificare le Configurazioni del Gruppo di Sicurezza (Il Colpevole Più Comune)

I Gruppi di Sicurezza fungono da firewall virtuali sia per l'istanza EC2 che per l'istanza RDS. Una configurazione errata qui è la fonte della stragrande maggioranza degli errori di connessione.

A. Controllo del Gruppo di Sicurezza EC2

L'istanza EC2 necessita di Regole in Uscita che consentano al traffico di uscire sulla porta del database. Per impostazione predefinita, la maggior parte dei gruppi di sicurezza consente tutto il traffico in uscita (0.0.0.0/0 su tutti i protocolli/porte), ma è opportuno verificarlo.

B. Controllo delle Regole in Entrata del Gruppo di Sicurezza RDS

Questo è il passaggio critico. Il Gruppo di Sicurezza RDS deve consentire esplicitamente il traffico in entrata dall'istanza EC2.

Controllo Azionabile:

  1. Navigare alla console RDS e selezionare l'istanza di database.
  2. Andare alla scheda Connettività e sicurezza e trovare i Gruppi di Sicurezza associati.
  3. Modificare le Regole in Entrata.
  4. Assicurarsi che esista una regola che consenta il traffico sulla porta specifica del database (ad esempio, 3306 per MySQL, 5432 per PostgreSQL).
  5. La Sorgente per questa regola deve essere l'ID del Gruppo di Sicurezza dell'istanza EC2, o l'intervallo IP privato specifico dell'istanza EC2 se non si utilizzano riferimenti ai gruppi di sicurezza.

Best Practice: Fare sempre riferimento all'ID del Gruppo di Sicurezza della risorsa sorgente (EC2) anziché utilizzare indirizzi IP specifici nel campo sorgente. Ciò consente alla connessione di persistere anche se l'indirizzo IP privato dell'istanza EC2 cambia (ad esempio, durante il ridimensionamento o il riavvio).

Esempio di Regola in Entrata (PostgreSQL):

Tipo Protocollo Intervallo Porte Sorgente
PostgreSQL TCP 5432 sg-012345abcdef67890 (Il tuo ID Gruppo di Sicurezza EC2)

Passaggio 2: Confermare l'Accessibilità Pubblica RDS e l'Endpoint

Se l'istanza EC2 non si trova in una subnet privata o richiede la connessione tramite Internet pubblico (generalmente sconsigliato per la produzione), è necessario verificare l'Accessibilità Pubblica RDS.

A. Impostazione Accessibilità Pubblica

  1. Nella console RDS, controllare la scheda Connettività e sicurezza per l'istanza RDS.
  2. Se Accessibile pubblicamente è impostato su No, il database può essere raggiunto solo da risorse all'interno della stessa VPC (come un'istanza EC2 in una subnet privata).
  3. Se Accessibile pubblicamente è impostato su , assicurarsi che l'istanza EC2 abbia un percorso valido verso l'Internet Gateway o il NAT Gateway se si trova in una subnet privata, e che il Gruppo di Sicurezza consenta l'ingresso dagli intervalli IP pubblici necessari (o sia protetto tramite rigorosa whitelist IP).

B. Verifica dell'Endpoint

Assicurarsi che l'applicazione sull'istanza EC2 stia utilizzando l'Endpoint RDS corretto (nome DNS) e la Porta corretta. Le discrepanze qui causano timeout o rifiuti di connessione.

Utilizzare l'utilità telnet o nc (netcat) dall'istanza EC2 per testare la raggiungibilità TCP di base verso l'endpoint e la porta RDS:

# Per MySQL sulla porta 3306
telnet your-rds-endpoint.rds.amazonaws.com 3306

# Per PostgreSQL sulla porta 5432
nc -zv your-rds-endpoint.rds.amazonaws.com 5432

Una connessione riuscita si traduce in una schermata vuota o in un messaggio di connessione immediato. Un errore (timeout o rifiuto) indica un blocco di rete, solitamente Gruppi di Sicurezza o Routing della Subnet.

Passaggio 3: Analizzare la Configurazione della Subnet e del Routing

Se i gruppi di sicurezza sembrano corretti, il problema potrebbe risiedere nel modo in cui le subnet comunicano.

A. Network ACL (NACL)

Le Network ACL sono firewall stateless che operano a livello di subnet. Se sono state implementate NACL personalizzate, queste potrebbero bloccare il traffico di ritorno necessario affinché una connessione venga completata.

  • Controllare le NACL sia per la subnet EC2 che per la subnet RDS.
  • Assicurarsi che le regole sia in Entrata che in Uscita consentano il traffico sulla porta del database e sull'intervallo di porte effimere (1024-65535) per il traffico di ritorno.

B. Endpoint VPC (Se Applicabile)

Se l'istanza EC2 si trova in una subnet privata e accede agli endpoint RDS tramite un Endpoint Gateway VPC per S3 o Endpoint di Interfaccia per altri servizi, assicurarsi che la policy dell'endpoint consenta la comunicazione per il servizio RDS, se applicabile, sebbene RDS si basi tipicamente sul routing VPC standard.

Passaggio 4: Controlli di Configurazione dell'Istanza Database

Se la connettività di rete è confermata (Passaggio 2 ha successo), il problema risiede all'interno del motore di database stesso.

A. Credenziali del Database e Autorizzazione

Verificare il nome utente, la password e il nome del database utilizzati dall'applicazione che si connette dall'istanza EC2. I servizi RDS come MySQL e PostgreSQL applicano una rigorosa autenticazione utente.

B. Gruppi di Parametri e Stato del Database

  1. Stato del Database: Assicurarsi che lo stato dell'istanza RDS sia Disponibile. Se è in fase di modifica, backup o riavvio, le connessioni falliranno.
  2. Gruppi di Parametri: Controllare eventuali Gruppi di Parametri personalizzati applicati all'istanza RDS. Alcune impostazioni (come skip-networking in alcune configurazioni MySQL, sebbene meno comuni in RDS gestito) possono impedire le connessioni.

C. Autenticazione Database IAM (Se Utilizzata)

Se si utilizza IAM per l'autenticazione del database al posto delle password, assicurarsi che il ruolo IAM allegato all'istanza EC2 (o il profilo utente che esegue l'applicazione) disponga delle autorizzazioni corrette (rds-db:connect) e che la stringa di connessione includa correttamente i token di autenticazione necessari.

Riepilogo del Flusso di Risoluzione dei Problemi

Utilizzare questa checklist prioritaria per risolvere rapidamente i problemi:

  1. Controllo Ping/Telnet: EC2 può raggiungere la porta RDS usando telnet o nc? (Testa il percorso di rete di base/Gruppi di Sicurezza).
  2. Gruppo di Sicurezza RDS: La regola in Entrata consente il traffico dal Gruppo di Sicurezza EC2 alla porta RDS?
  3. NACL: Le regole sia in Entrata che in Uscita sono aperte per le porte necessarie (Porta Database + Porte Effimere)?
  4. Endpoint/Credenziali: La stringa di connessione è corretta e le credenziali sono valide?
  5. Stato DB: L'istanza RDS è Disponibile?

Controllando metodicamente questi livelli, dal perimetro di sicurezza verso l'interno fino al livello di autenticazione del database, è possibile isolare ed correggere in modo efficiente la maggior parte dei blocchi di connettività comuni da EC2 a RDS.