DevOps知识中心
DevOps知识中心

排查 EC2 实例与 RDS 连接的常见问题

一份实用的指南,用于诊断和解决 Amazon EC2 实例与 RDS 数据库之间典型的连接问题。了解排查与安全组、VPC 路由、网络 ACL 和 RDS 配置设置相关的常见陷阱的系统方法,以确保可靠的云应用程序通信。

36 浏览量

故障排除 EC2 实例连接 RDS 常见问题

将 Amazon EC2 实例连接到 Amazon Relational Database Service (RDS) 实例是许多 AWS 架构中的基本操作。然而,网络配置的复杂性常常导致连接失败。本指南提供了一种系统的方法来诊断和解决 EC2(计算层)与 RDS(托管数据库层)之间最常见的连接问题。

理解 EC2 和 RDS 都位于 AWS Virtual Private Cloud (VPC) 环境中,大多数连接问题源于安全组规则、子网路由或数据库参数配置不正确。通过有条不紊地检查这些组件,您可以快速恢复数据库访问。

成功连接的先决条件

在深入故障排除之前,请确保以下基础要素已正确配置:

  1. VPC 对齐: EC2 实例和 RDS 实例最好位于同一 VPC 中,以简化配置,尽管可以通过 VPC Peering 实现跨 VPC 连接。
  2. 可用区 (AZs): 确保您的应用程序基础设施 (EC2) 在必要时可以跨 AZs 访问数据库基础设施 (RDS),尽管路由通常在 VPC 内部处理此问题。
  3. 网络可达性: 确认 EC2 实例正在运行并具有有效的网络连接(例如,它可以访问互联网或其他内部服务)。

步骤 1:验证安全组配置(最常见的原因)

安全组充当 EC2 实例和 RDS 实例的虚拟防火墙。这里的配置错误是绝大多数连接失败的根源。

A. EC2 安全组检查

您的 EC2 实例需要出站规则允许流量通过数据库端口流出。默认情况下,大多数安全组允许所有出站流量(0.0.0.0/0,所有协议/端口),但最好进行验证。

B. RDS 安全组入站规则检查

这是关键步骤。RDS 安全组必须明确允许来自 EC2 实例的入站流量。

可操作检查:

  1. 导航到 RDS 控制台并选择您的数据库实例。
  2. 转到连接与安全选项卡,找到关联的安全组。
  3. 编辑入站规则
  4. 确保有一条规则允许流量通过特定的数据库端口(例如,MySQL 为 3306,PostgreSQL 为 5432)。
  5. 该规则的必须是您的 EC2 实例的安全组 ID,或者如果您不使用安全组引用,则是 EC2 实例的特定私有 IP 地址范围。

最佳实践: 始终引用源资源 (EC2) 的安全组 ID,而不是在源字段中使用特定的 IP 地址。这样,即使 EC2 实例的私有 IP 发生变化(例如,在扩展或重启期间),连接也能持久。

入站规则示例(PostgreSQL):

类型 协议 端口范围
PostgreSQL TCP 5432 sg-012345abcdef67890 (您的 EC2 安全组 ID)

步骤 2:确认 RDS 公网可访问性和端点

如果您的 EC2 实例在私有子网中,或者需要通过公共互联网连接(通常不推荐用于生产环境),则必须检查 RDS 公网可访问性。

A. 公网可访问性设置

  1. 在 RDS 控制台中,检查 RDS 实例的连接与安全选项卡。
  2. 如果公网可访问设置为,则数据库只能被同一 VPC 内的资源访问(例如,位于私有子网中的 EC2 实例)。
  3. 如果公网可访问设置为,请确保 EC2 实例拥有到互联网网关或 NAT 网关的有效路由(如果它位于私有子网中),并且安全组允许来自必要公共 IP 地址范围的入站流量(或通过严格的 IP 白名单进行保护)。

B. 端点验证

确保 EC2 实例上的应用程序正在使用正确的 RDS 端点(DNS 名称)和正确的端口。此处不匹配会导致超时或连接被拒绝。

使用 EC2 实例上的 telnetnc (netcat) 工具测试到 RDS 端点和端口的基本 TCP 可达性:

# 对于端口 3306 上的 MySQL
telnet your-rds-endpoint.rds.amazonaws.com 3306

# 对于端口 5432 上的 PostgreSQL
nc -zv your-rds-endpoint.rds.amazonaws.com 5432

成功连接会显示一个空白屏幕或立即连接的消息。失败(超时或拒绝)表示网络阻塞,通常是安全组或子网路由问题。

步骤 3:分析子网和路由配置

如果安全组看起来正确,问题可能在于子网的通信方式。

A. 网络 ACLs (NACLs)

网络 ACL 是在子网级别运行的无状态防火墙。如果您实施了自定义 NACLs,它们可能会阻止连接完成所需的返回流量。

  • 检查 EC2 子网和 RDS 子网的网络 ACL。
  • 确保入站和出站规则都允许通过数据库端口和临时端口范围(1024-65535)进行返回流量。

B. VPC 端点(如果适用)

如果您的 EC2 实例位于私有子网中,并通过 S3 的 VPC 网关端点或用于其他服务的接口端点访问 RDS 端点,请确保端点策略允许与 RDS 服务的通信(如果适用),尽管 RDS 通常依赖于标准的 VPC 路由。

步骤 4:数据库实例配置检查

如果网络连接已确认(步骤 2 成功),则问题出在数据库引擎本身。

A. 数据库凭据和授权

验证应用程序从 EC2 实例连接时使用的用户名、密码和数据库名称。RDS 服务(如 MySQL 和 PostgreSQL)强制执行严格的用户身份验证。

B. 参数组和数据库状态

  1. 数据库状态: 确保 RDS 实例状态为可用。如果它正在修改、备份或重启,连接将失败。
  2. 参数组: 检查应用于 RDS 实例的任何自定义参数组。某些设置(例如,某些 MySQL 配置中的 skip-networking,尽管在托管 RDS 中不太常见)可能会阻止连接。

C. IAM 数据库身份验证(如果使用)

如果您使用 IAM 进行数据库身份验证而不是密码,请确保附加到 EC2 实例的 IAM 角色(或运行应用程序的用户配置文件)具有正确的权限 (rds-db:connect),并且连接字符串正确包含了必要的身份验证令牌。

故障排除流程总结

使用此优先级清单可快速解决问题:

  1. Ping/Telnet 检查: EC2 能否使用 telnetnc 访问 RDS 端口?(测试基本网络路径/安全组)。
  2. RDS 安全组: 入站规则是否允许来自 EC2 安全组 RDS 端口的流量?
  3. NACLs: 入站和出站规则是否对必要的端口(数据库端口 + 临时端口)开放?
  4. 端点/凭据: 连接字符串是否正确,凭据是否有效?
  5. 数据库状态: RDS 实例是否可用

通过系统地检查这些层—从安全边界到数据库身份验证层—您可以有效地隔离和纠正大多数常见的 EC2 到 RDS 连接障碍。