Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Warum kann ich keine Verbindung zu meinem Amazon-DocumentDB-Cluster herstellen?

Lesedauer: 6 Minute
0

Ich habe Probleme, eine Verbindung mit meinem Amazon-DocumentDB-Cluster (mit MongoDB-Kompatibilität) herzustellen.

Kurzbeschreibung

Amazon DocumentDB ist ein reiner Virtual Private Cloud (VPC)-Service und unterstützt nicht die Verwendung öffentlicher Endpunkte. Um eine Verbindung herzustellen, müssen Sie eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance oder einen anderen AWS-Service in derselben VPC wie Ihre Instance verwenden.

Sie können jedoch VPC-Peering oder Transit Gateway verwenden, um von EC2-Instances oder anderen AWS-Services in verschiedenen VPCs oder Regionen aus auf Amazon DocumentDB zuzugreifen. Wenn Sie jedoch von außerhalb des AWS-Netzwerks auf Ihren Amazon-DocumentDB-Cluster zugreifen müssen, verwenden Sie SSH-Tunneling oder AWS Client VPN.

Lösung

**Hinweis:**Wenn beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, stellen Sie sicher, dass Sie die neueste Version von AWS CLI verwenden.

Für Probleme bei dem Versuch, eine Verbindung zu einem Amazon-DocumentDB-Cluster herzustellen, kommen mehrere mögliche Gründe in Frage. Gehen Sie wie folgt vor, um die häufigsten Ursachen auszuschließen.

Die DB-Instance befindet sich nicht in verfügbarem Status

Überprüfen Sie, ob in Ihrem Amazon-DocumentDB-Cluster mindestens eine Instance und ein Cluster verfügbar sind. Wenn die Instances sich nicht in einem verfügbaren Zustand befinden, können sie keine Verbindungen annehmen. Weitere Informationen finden Sie unter Überwachen des Status eines Amazon DocumentDB-Clusters und Überwachen des Status einer Amazon DocumentDB-Instance.

Die Quelle hat keinen autorisierten Zugriff auf den Cluster

Vergewissern Sie sich, dass die Quelle, die Sie für die Verbindung mit der Instance verwenden, für den Zugriff auf den Cluster autorisiert ist. Ihre Instance muss in Ihren Netzwerk-Zugriffssteuerungslisten (ACLs), lokalen Firewalls und Sicherheitsgruppenregeln Zugriff auf den Cluster haben. Stellen Sie sicher, dass der Datenverkehr von der Quelle, die eine Verbindung zu Ihrer DB-Instance herstellt, nicht durch eine oder mehrere der folgenden Faktoren blockiert wird:

  • Amazon Virtual Private Cloud (Amazon VPC)-Sicherheitsgruppen, die der DB-Instance zugeordnet sind. Fügen Sie bei Bedarf Regeln zu der Sicherheitsgruppe hinzu, die der VPC zugeordnet ist und Datenverkehr mit Bezug zur Quelle zur und von der DB-Instance zulässt. Sie können eine IP-Adresse, einen Bereich von IP-Adressen oder eine andere VPC-Sicherheitsgruppe angeben.
  • Netzwerk-ACL-Regeln Wenn Sie Netzwerk-ACLs in Ihrer VPC verwenden, stellen Sie sicher, dass sie über Regeln verfügen, die eingehenden und ausgehenden Datenverkehr zur und von der DB-Instance zulassen.
  • Netzwerk- oder lokale Firewalls Prüfen Sie, ob Ihr Netzwerk Datenverkehr zu und von den Ports zulässt, die die DB-Instance für eingehende und ausgehende Kommunikation verwendet.

Amazon VPC-Subnetz-Routing-Tabellen lassen keinen Datenverkehr zu

Die Routing-Tabelle Ihres Amazon-VPC-Subnetzes muss Datenverkehr von Ihrem Computer oder Ihrer Instance zulassen. Vergewissern Sie sich, dass die Subnetze jeder DB-Instance denselben oder ähnlichen Routing-Tabellen zugeordnet sind.

Wenn Ihre primäre DB-Instance ein Failover zu einem Standby-Replikat durchführt, das mit einer anderen Routing-Tabelle verknüpft ist, wird der Datenverkehr möglicherweise nicht korrekt weitergeleitet. Wenn dieser Datenverkehr zuvor ohne Probleme weitergeleitet wurde, überprüfen Sie, ob er immer noch korrekt weitergeleitet wird.

Falscher DNS-Name oder Endpunkt

Vergewissern Sie sich, dass Sie den richtigen DNS-Namen oder Endpunkt verwenden, um eine Verbindung zum Amazon-DocumentDB-Cluster herzustellen. Vergewissern Sie sich dann, dass der Endpunkt das richtige Format für den Client aufweist, den Sie für die Verbindung mit der DB-Instance verwenden.

Führen Sie beispielsweise von einer EC2-Instance innerhalb der VPC aus einen nslookup zum DB-Instance-Endpunkt durch:

nslookup docdb-2022-12-16-09-10-582.cuh2dlyxxxxx.us-east-1.docdb.amazonaws.com
Server: x.x.x.x
Address: x.x.x.x#53
Non-authoritative answer:
Name: docdb-2022-12-16-09-10-582.cuh2dlyrdizy.us-east-1.docdb.amazonaws.com
Address: x.x.x.x

Informationen zur Behebung von DNS- und Verbindungsproblemen finden Sie unter Es kann keine Verbindung zu einem Amazon DocumentDB-Endpunkt hergestellt werden.

Prüfen, ob eine Verbindung hergestellt wurde

Führen Sie einen der folgenden Befehle aus, um Ihre Verbindung zu überprüfen:

telnet <DocDB endpoint> <port number>
nc -zv <DocDB endpoint> <port number>

Wenn einer der Befehle telnet oder nc erfolgreich war, wird eine Netzwerkverbindung hergestellt. Das Problem wird dann wahrscheinlich durch die Benutzerauthentifizierung bei der Datenbank verursacht, z. B. durch den Benutzernamen und das Passwort.

Überprüfen der Anmeldeinformationen, die Sie für die Verbindung verwenden

Vergewissern Sie sich, dass Sie den richtigen Benutzernamen und das richtige Passwort eingeben, wenn Sie eine Verbindung zum Cluster herstellen. Wenn Sie Ihr Passwort vergessen haben, können Sie den Amazon-DocumentDB-Cluster ändern, um das Passwort zurückzusetzen.

Deaktivieren der TLS-Konfiguration

Standardmäßig ist die TLS-Konfiguration für Amazon-DocumentDB-Cluster aktiviert. Wenn Ihre Anwendung keine TLS/SSL-Verbindungen verwendet, deaktivieren Sie die TLS-Konfiguration der benutzerdefinierten Parametergruppe des Amazon-DocumentDB-Clusters. Weitere Informationen finden Sie unter Amazon DocumentDB-Cluster-Parametergruppen verwalten.

**Hinweis:**TLS ist ein statischer Parameter, bei dem ein Neustart des Clusters erforderlich ist, damit die Änderungen an der Cluster-Parametergruppe wirksam werden. Weitere Informationen finden Sie unter Amazon DocumentDB-Cluster-Parametergruppen ändern.

Beheben von Problemen bei anderen Anwendungsfällen

Fehler „lokales Ausstellerzertifikat kann nicht abgerufen werden‘‘

Möglicherweise erhalten Sie den Fehler „lokales Ausstellerzertifikat kann nicht abgerufen werden‘‘, der auf die Kompatibilität des MongoDB-Treibers mit dem CA-Zertifikat zurückzuführen ist. Stellen Sie sicher, dass Sie die richtigen Parameter verwenden, wie unter Connect with TLS turned on beschrieben.

Nach dem Neustart kann keine Verbindung zu Ihrer Instance hergestellt werden

Möglicherweise können Sie nach einem Neustart keine Verbindung zu Ihrer Instance herstellen. Wenn Sie eine Instance neu starten, kann sich die private IP-Adresse der Instance ändern. Dies kann zu Verbindungsproblemen führen. Es hat sich bewährt, Cluster- oder Instance-Endpunkte anstelle der DNS-aufgelösten IP-Adressen der Amazon-DocumentDB-Ressource zu verwenden.

Fehler bei der Authentifizierung

Möglicherweise erhalten Sie die Fehlermeldung „Authentifizierung fehlgeschlagen“, wenn Sie eine Verbindung zu Ihrer Instance herstellen. Dieser Fehler wird durch Probleme mit dem Passwort verursacht, etwa ein falsches Passwort oder ein falscher Benutzername. Gehen Sie wie folgt vor, um diesen Fehler zu beheben:

  1. Vergewissern Sie sich, dass der richtige Benutzername und das richtige Passwort eingegeben wurden.
  2. Geben Sie das Passwort manuell ein, statt es zu kopieren und einzufügen.
  3. Setzen Sie das Passwort über die Amazon-DocumentDB-Konsole oder mithilfe von AWS CLI zurück.

Nach einer Reihe von Verbindungen kann keine Verbindung mehr hergestellt werden

Wenn Sie keine Verbindung mehr herstellen können, hat Ihre Instance möglicherweise die maximale Anzahl von Datenbankverbindungen für ihre Instance-Klasse erreicht. Um mehr Verbindungen zuzulassen, führen Sie ein Upgrade Ihrer Instance-Klasse durch.

Es hat sich bewährt, das Verbindungsmanagement von der Client-Seite aus zu untersuchen. Vergewissern Sie sich, dass das Verbindungspooling und die zugehörigen Timeout-Einstellungen korrekt konfiguriert sind. Die Einstellungen müssen ausreichen, damit Sie die Anzahl der Verbindungen zu Ihrem Amazon DocumentDB-Cluster verwalten können. Die Einstellungen müssen außerdem verhindern, dass Sie das Verbindungslimit erreichen.

Es kann mit AWS Client VPN keine Verbindung von einem lokalen System hergestellt werden

Möglicherweise können Sie von einem lokalen System aus keine Verbindung zu Ihrem Amazon-DocumentDB-Cluster herstellen, wenn Sie ein Virtual Private Network (VPN) verwenden. Stellen Sie sicher, dass Sie AWS Client VPN korrekt verwenden. Mit AWS Client VPN können Sie von Ihrer VPC aus eine Verbindung zu Ihrem Remote-Netzwerk herstellen und das Routing so konfigurieren, dass der Datenverkehr über die Verbindung geleitet wird.

Zeitweise auftretende Verbindungsprobleme

Wenn bei Ihrer Anwendung ein zeitweiliges Verbindungsproblem auftritt, überprüfen Sie, ob Ihr Cluster stark ausgelastet ist. Überprüfen Sie beispielsweise Amazon-CloudWatch-Metriken wie VolumeWriteIOPs, VolumeReadIOPs, OpcountersCommand und CPUUtilization.

Wenn Sie Spitzenwerte bei diesen CloudWatch-Metriken feststellen, sind Ihre Verbindungsprobleme möglicherweise auf Blocking zurückzuführen. Benutzerabfragen können aufgrund suboptimaler Abfragepläne verlangsamt oder durch Ressourcenkonflikte blockiert werden. Verwenden Sie Performance Insights und Profiler-Protokolle, um die Abfrage zu ermitteln, die dieses Problem verursacht hat.

Verwandte Informationen

Probleme mit der Verbindung

Verwenden Sie Amazon EC2, um eine Verbindung herzustellen

Überwachen Sie Amazon DocumentDB mit CloudWatch

Sicherheit in Amazon DocumentDB

Themen
Datenbank
Tags
Amazon DocumentDB
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 8 Monaten

Relevanter Inhalt