¿Cómo puedo solucionar los problemas de conexión con la instancia de base de datos de Amazon RDS?

8 minutos de lectura

No puedo conectarme a mi instancia de base de datos de Amazon Relational Database Service (Amazon RDS).

Descripción corta

A continuación se enumeran los motivos más comunes por los que se bloquea la conexión a la instancia de base de datos de Amazon RDS:

El estado de la instancia de base de datos de Amazon RDS no es disponible, por lo que no puede aceptar conexiones.
El origen para conectarse a la instancia de base de datos no tiene autorización de acceso en el grupo de seguridad, las listas de control de acceso (ACL) de red ni los firewalls locales.
Estás utilizando un nombre de DNS o un punto de enlace incorrectos para conectarte a la instancia de base de datos.
Se ha producido un error en la instancia de base de datos Multi-AZ y la instancia de base de datos secundaria utiliza una subred o tabla de enrutamiento que no permite conexiones de entrada.
La autenticación del usuario es incorrecta.

Resolución

Usa uno o varios de los métodos siguientes para solucionar el problema de conexión.

Usa un runbook

Usa el documento AWSSupport-TroubleshootConnectivityToRDS de Automatización de AWS Systems Manager para diagnosticar el problema.

Este documento de automatización puede diagnosticar las ACL de red en función de la dirección IP principal de la instancia de Amazon Elastic Compute Cloud (Amazon EC2). Sin embargo, los puertos efímeros no se verifican. El documento de automatización también comprueba los grupos de seguridad en función de la dirección IP principal de la instancia de Amazon EC2, pero la automatización no verifica puertos específicos. Para obtener más información, consulta Ejecución de una operación automatizada con la tecnología de automatización de Systems Manager.

Para obtener instrucciones sobre cómo usar el runbook y detalles sobre lo que comprueba, consulta AWSSupport-TroubleshootConnectivityToRDS.

Una vez finalizada la automatización, revisa la sección Salidas para obtener resultados detallados. Si el manual no puede identificar el problema, continúa con los siguientes pasos manuales.

Confirma que la instancia de base de datos se encuentre en estado disponible

Si has lanzado o reiniciado la instancia de base de datos recientemente, confirma que tenga el estado disponible en la consola de Amazon RDS. Según el tamaño de la instancia de base de datos, pueden transcurrir hasta 20 minutos antes de que la instancia de base de datos pueda usar conexiones de red. Si el estado de la instancia de base de datos es error, consulta Why is my Amazon RDS DB instance in a failed state?

Confirma si la instancia de base de datos permite las conexiones

Asegúrate de que el tráfico del origen que se conecta a la instancia de base de datos no esté bloqueado por uno o varios de los siguientes requisitos de configuración:

Un grupo de seguridad de Amazon Virtual Private Cloud (Amazon VPC) asociado a la instancia de base de datos. Añade reglas al grupo de seguridad asociado a la VPC que permitan que el tráfico relacionado con el origen entre y salga de la instancia de base de datos. Puedes especificar una dirección IP, un intervalo de direcciones IP u otro grupo de seguridad de VPC. Para obtener información general sobre las instancias de base de datos y VPC, consulta Escenarios de acceso a una instancia de base de datos en una VPC.
**Un grupo de seguridad de base de datos asociado a la instancia de base de datos.**Si la instancia de base de datos no está en una VPC, es posible que esté utilizando un grupo de seguridad de base de datos para bloquear el tráfico. Actualiza el grupo de seguridad de base de datos para permitir el tráfico del intervalo de direcciones IP o el grupo de seguridad de Amazon EC2 que utilizas para conectarte.
**Conexiones fuera de una VPC.**Asegúrate de que la instancia de base de datos sea de acceso público y esté asociada a una subred pública. Por ejemplo, la tabla de enrutamiento permite el acceso desde una puerta de enlace de Internet. Para obtener más información, consulta Escenarios de acceso a una instancia de base de datos en una VPC.
En el caso de las instancias de base de datos de una subred privada, usa el emparejamiento de VPC o AWS Site-to-Site VPN para conectarte de forma segura a la instancia. Con AWS Site-to-Site VPN, puedes configurar una puerta de enlace de cliente que te permite conectar la VPC a la red remota. Usa el emparejamiento de VPC para crear una conexión de emparejamiento entre la VPC de origen y la VPC de tu instancia y así acceder a la instancia desde fuera de tu VPC. También puedes usar una instancia de Amazon EC2 como host bastión (salto).
ACL de red. Las ACL de red funcionan como un firewall para los recursos de una subred específica en una VPC. Si utilizas ACL en tu VPC, asegúrate de que tengan reglas que permitan el tráfico de entrada y salida desde y hacia la instancia de la base de datos.
Firewalls de red o locales. Pregunta al administrador de red si la red permite el tráfico hacia y desde los puertos que la instancia de base de datos utiliza para la comunicación de entrada y salida.
Nota: Amazon RDS no acepta el tráfico del protocolo de mensajes de control de Internet (ICMP), incluido ping.

Posibles problemas con el nombre o el punto de enlace de DNS

Al conectarte a tu instancia de base de datos, usas un nombre de DNS (punto de enlace) proporcionado por la consola de Amazon RDS. Asegúrate de utilizar el punto de enlace correcto. Además, proporciona el punto de enlace en el formato correcto al cliente que utilices para conectarte a la instancia de base de datos. Para obtener más información sobre las conexiones del motor de base de datos y sobre cómo utilizar un punto de enlace en varias aplicaciones de cliente, consulta Introducción a Amazon RDS.

Por ejemplo, utiliza nslookup para ver el punto de enlace de la instancia de base de datos desde una instancia de Amazon EC2 dentro de la VPC:

nslookup myexampledb.xxxx.us-east-1.rds.amazonaws.com
Server: xx.xx.xx.xx
Address: xx.xx.xx.xx#53

Ejemplo de una respuesta no autoritativa:

Name: myexampledb.xxxx.us-east-1.rds.amazonaws.com
Address: 172.31.xx.x

Problemas de la base de datos

Comprueba que las siguientes opciones correspondientes a la base de datos estén configuradas correctamente:

Tienes la contraseña y el nombre de usuario correctos para acceder a la instancia desde tu cliente de base de datos.
El usuario tenga los permisos de base de datos para conectarse a la instancia de base de datos.
No hay ninguna limitación de recursos en Amazon RDS, como contención de CPU o memoria. La contención de memoria puede provocar problemas al establecer conexiones más nuevas con la instancia.
La instancia no ha alcanzado el límite de max_connections.

Comprueba las tablas de enrutamiento asociadas a la instancia

Asegúrate de que las subredes asociadas a cada instancia de la base de datos estén asociadas a las mismas tablas de enrutamiento o a tablas similares. Si la instancia principal de la base de datos se conmuta por error a una réplica en espera asociada a una tabla de enrutamiento diferente, es posible que el tráfico no se enrute correctamente. Aunque ese tráfico se haya enrutado anteriormente sin problemas, es posible que ya no se enrute de manera correcta.

Para obtener más información, consulta Configurar tablas de enrutamiento. Para obtener más información, consulta Configuración y administración de una implementación multi-AZ para Amazon RDS.

Nota: Si te conectas a la instancia de base de datos, pero se producen errores, consulta ¿Cómo puedo restablecer la contraseña del usuario administrador de mi instancia de base de datos de Amazon RDS?

Verifica tu conectividad

Usa uno de los siguientes comandos para comprobar la conexión:

telnet <RDS endpoint> <port number>
nc -zv <RDS endpoint> <port number>

Los comandos telnet y nc prueban la conexión entre el cliente y el servidor. Si el comando telnet o el comando nc se procesan correctamente, se ha establecido una conexión de red. Esto significa que el problema se debe a la autenticación del usuario en la base de datos, por ejemplo, por problemas con el nombre de usuario o la contraseña.