Como soluciono problemas ao me conectar à minha instância de banco de dados Amazon RDS?

Breve descrição

A seguir estão os motivos mais comuns que bloqueiam sua conexão à instância de banco de dados do Amazon RDS:

• A instância de banco de dados está em um estado diferente de Disponível, Otimização de armazenamento ou Em backup.
• Sua fonte para se conectar à instância de banco de dados não tem acesso de autorização em seu grupo de segurança, listas de controle de acesso (ACLs) à rede ou firewalls locais.
• Você usa o nome DNS ou o endpoint incorreto para se conectar à instância de banco de dados.
• A instância de banco de dados multi-AZ teve failover, e a instância de banco de dados secundária usa uma sub-rede ou tabela de rotas que não permite conexões de entrada.
• A autenticação do usuário não está correta.

Resolução

Para solucionar o problema de conexão, conclua uma ou mais das seguintes tarefas.

Use um runbook de automação

Use o documento AWSSupport-TroubleshootConnectivityToRDS do AWS Systems Manager Automation para diagnosticar o problema.

Este documento de automação pode diagnosticar ACLs de rede com base no endereço IP principal da instância do Amazon Elastic Compute Cloud (Amazon EC2). No entanto, as portas efêmeras não são verificadas. O documento de automação também verifica grupos de segurança com base no endereço IP principal da instância do Amazon EC2, mas essa automação não verifica portas específicas. Para obter mais informações, consulte Executar uma operação automatizada com o Systems Manager Automation.

Para obter instruções sobre como executar o runbook e detalhes sobre o que ele verifica, consulte AWSSupport-TroubleshootConnectivityToRDS.

Quando a automação for concluída, revise a seção Saídas para obter resultados detalhados. Se o runbook não conseguir identificar o problema, continue com as etapas manuais a seguir.

Certifique-se de que sua instância de banco de dados esteja no estado disponível

Se você iniciou ou reinicializou recentemente sua instância de banco de dados, confirme se a instância de banco de dados está no estado disponível no console do Amazon RDS. Dependendo do tamanho da sua instância de banco de dados, podem decorrer até 20 minutos antes que a instância de banco de dados esteja disponível para conexões de rede.

Certifique-se de que sua instância de banco de dados permita conexões

Certifique-se de que um ou mais dos seguintes requisitos de configuração não estejam bloqueando o tráfego da origem que se conecta à sua instância de banco de dados:

• Grupos de segurança da Amazon Virtual Private Cloud (Amazon VPC) associados à instância de banco de dados: Adicione regras ao grupo de segurança associado à Amazon VPC que permitam o tráfego relacionado à origem para dentro e para fora da instância de banco de dados. É possível especificar um endereço IP, um intervalo de endereços IP ou outro grupo de segurança da VPC. Para obter informações gerais sobre VPC e instâncias de banco de dados, consulte Cenários para acessar uma instância de banco de dados em uma VPC.
• ACLs de rede: As ACLs de rede atuam como um firewall para recursos em uma sub-rede específica em uma VPC. Para as ACLs em sua VPC, certifique-se de que elas tenham regras que permitam tráfego de entrada e saída de e para a instância de banco de dados.
• Conexões fora de uma VPC: Certifique-se de que a instância de banco de dados seja publicamente acessível e esteja associada a uma sub-rede pública. Por exemplo, a tabela de rotas permite o acesso a partir de um gateway da Internet. Para obter mais informações, consulte Cenários para acessar uma instância de banco de dados em uma VPC.
  Para instâncias de banco de dados em uma sub-rede privada, use o emparelhamento da VPC ou o AWS Site-to-Site VPN para se conectar com segurança à sua instância. Com o Site-to-Site VPN, você configura um gateway do cliente que permite conectar sua VPC à sua rede remota. Use o emparelhamento da VPC para criar uma conexão de emparelhamento entre sua VPC de origem e a VPC da sua instância para acessar a instância de fora da VPC. Também é possível usar uma instância do Amazon EC2 como um host bastion (jump).
• Firewalls de rede ou locais: Pergunte ao seu administrador de rede se sua rede permite tráfego de e para as portas que a instância de banco de dados usa para comunicação de entrada e saída.
  Observação: o Amazon RDS não aceita tráfego pelo protocolo de mensagens de controle da Internet (ICMP), incluindo ping.

Para ajudar a solucionar problemas de conectividade entre o Amazon RDS e sua VPC, é possível usar o Reachability Analyzer.

Possíveis problemas com nome de DNS ou endpoint

Ao se conectar à sua instância de banco de dados, você usa um nome DNS (endpoint) fornecido pelo console do Amazon RDS. Certifique-se de usar o endpoint correto. Além disso, forneça o endpoint no formato correto ao cliente que você usa para se conectar à instância de banco de dados. Para obter mais informações sobre conexões de mecanismos de banco de dados e como usar um endpoint em várias aplicações clientes, consulte Conceitos básicos do Amazon RDS.

Por exemplo, use nslookup para visualizar o endpoint da instância de banco de dados a partir de uma instância do Amazon EC2 dentro da VPC:

nslookup myexampledb.xxxx.us-east-1.rds.amazonaws.com Server: xx.xx.xx.xx
Address: xx.xx.xx.xx#53

Exemplo de uma resposta não autorizada:

Name: myexampledb.xxxx.us-east-1.rds.amazonaws.comAddress: 172.31.xx.x

Verifique sua conectividade

Para verificar sua conexão, execute um dos comandos a seguir:

telnet <RDS endpoint> <port number>
nc -zv <RDS endpoint> <port number>

Os comandos telnet e nc testam a conexão entre o cliente e o servidor. Se os comandos telnet ou nc forem bem-sucedidos, uma conexão de rede foi estabelecida. Essa conexão significa que a autenticação do usuário no banco de dados causa esse problema, como um problema com o nome de usuário ou a senha.

Problemas no nível do banco de dados

Verifique se as seguintes configurações em nível de banco de dados estão configuradas corretamente:

• Você tem o nome de usuário e a senha corretos para acessar a instância a partir do seu cliente de banco de dados.
• O usuário tem as permissões do banco de dados para se conectar à instância de banco de dados.
• Não há controle de utilização de recursos no Amazon RDS, como contenção de CPU ou de memória. A contenção de memória pode causar problemas quando você estabelece novas conexões com a instância. Considere uma solução de agrupamento de conexões que melhore a capacidade de escalabilidade das aplicações, como o Amazon RDS Proxy, para evitar a sobrecarga de memória e CPU ao abrir novas conexões a cada vez.
• Para Amazon RDS compatível com MySQL, a instância não atingiu o limite max_connections.
• Para Amazon RDS compatível com MySQL, verifique se você não excedeu os limites de recursos da conta, como max_user_connections e max_updates.
• Para Amazon RDS compatível com MySQL, os erros do processo de conexão do cliente que ocorrem sucessivamente em um host são contados na variável de sistema max_connect_errors. Depois que você excede essa variável, o host é bloqueado e as conexões do mesmo host são negadas. Para resolver esse problema, nas versões 8.0.23 e anteriores do MySQL, limpe o cache do host. Ou, para versões posteriores, trunque a tabela performance_schema host_cache. Para obter mais informações, consulte Troubleshoot Amazon RDS for MySQL and Amazon RDS for MariaDB Errors (Solucionar problemas de erros do Amazon RDS para MySQL e do Amazon RDS para MariaDB).

Verifique as tabelas de rotas associadas à sua instância

Certifique-se de que as sub-redes associadas a cada instância de banco de dados estejam associadas às mesmas tabelas de rotas ou a tabelas de rotas semelhantes. Se sua instância de banco de dados primária tiver failover para uma réplica em espera associada a uma tabela de rotas diferente, o tráfego poderá não ser roteado corretamente. Mesmo que esse tráfego tenha sido roteado corretamente anteriormente, ele ainda pode não estar sendo roteado corretamente.

Para obter mais informações, consulte Configurar tabelas de rotas e Configurar e gerenciar uma implantação multi-AZ para o Amazon RDS.

Observação: se você conseguir se conectar à sua instância de banco de dados, mas receber erros, consulte Como faço para redefinir a senha de usuário administrador da minha instância de banco de dados do Amazon RDS?

Informações relacionadas

Não é possível conectar-se à instância de banco de dados do Amazon RDS

Como posso solucionar problemas de conectividade a uma instância de banco de dados do Amazon RDS que usa uma sub-rede pública ou privada de uma VPC?

Usar SSL/TLS para criptografar uma conexão com uma instância ou cluster de banco de dados

Solucionar problemas de conectividade de rede com bancos de dados do Amazon RDS usando o VPC Reachability Analyzer