¿Cómo soluciono los problemas de conexión con la instancia de base de datos de Amazon RDS?

Última actualización: 21-12-2020

No puedo conectarme a mi instancia de base de datos de Amazon Relational Database Service (Amazon RDS). ¿Por qué no puedo conectarme y cómo puedo resolverlo?

Descripción corta

La imposibilidad de conectarse a una instancia de base de datos de Amazon RDS puede tener varias causas raíz. Estos son algunos de los motivos más habituales:

  • La instancia de base de datos de RDS está en un estado que no es disponible, por lo que no puede aceptar conexiones.
  • La fuente que usa para conectarse a la instancia de base de datos no está en las fuentes autorizadas a acceder a la instancia de base de datos en el grupo de seguridad, las listas de control de acceso (ACL) o los firewalls locales.
  • Se ha usado un nombre DNS o punto de enlace incorrecto para la conexión a la instancia de base de datos.
  • Se ha producido un error en la instancia de base de datos Multi-AZ y la instancia de base de datos secundaria usa una subred o tabla de enrutamiento que no permite las conexiones de entrada.
  • La autenticación del usuario es incorrecta.

Consejo: Puede seguir los pasos de solución de problemas siguientes para identificar el origen del problema de conectividad. O bien, puede usar el documento de AWS Systems Manager Automation AWSSupport-TroubleshootConnectivityToRDS para diagnosticar el problema. Este documento de automatización puede diagnosticar los ACL de red basados en la dirección IP principal de la instancia Amazon Elastic Compute Cloud (Amazon EC2), pero no se verifican los puertos efímeros. El documento de automatización también verifica los grupos de seguridad basados en la dirección IP principal de la instancia EC2, pero la automatización no verifica puertos específicos. Para obtener más información, consulte Ejecución de un flujo de trabajo de automatización sencillo.

Resolución

Asegurarse de que su instancia de base de datos esté disponible

Si ha lanzado o reiniciado su instancia de base de datos recientemente, confirme que la instancia de base de datos esté disponible en la consola de Amazon RDS. En función del tamaño de su instancia de base de datos, la instancia de base de datos puede tardar hasta 20 minutos en estar disponible para las conexiones de red.

Si su instancia de base de datos tiene errores, consulte ¿Por qué la instancia de base de datos de Amazon RDS se encuentra en estado de error?

Asegurarse de que su instancia de base de datos permita las conexiones

Asegúrese de que el tráfico de la fuente que se conecte a su instancia de base de datos no quede interrumpido por uno o más de los motivos siguientes:

  • Cualquier grupo de seguridad de Amazon Virtual Private Cloud (Amazon VPC) asociado a la instancia de base de datos. Si es necesario, agregue reglas al grupo de seguridad asociado a la VPC que permitan la entrada y salida del tráfico relacionado con la fuente a la instancia de base de datos. Puede especificar una dirección IP, un intervalo de direcciones IP u otro grupo de seguridad de VPC. Para obtener información general sobre VPC y las instancias de base de datos, consulte Situaciones para el acceso a una instancia de base de datos situada en una VPC.
  • Cualquier grupo de seguridad de base de datos asociado a la instancia de base de datos. Si la instancia de base de datos no está en una VPC, es posible que la instancia esté usando un grupo de seguridad de base de datos para interrumpir el tráfico. Actualice su grupo de seguridad de base de datos para permitir el tráfico del intervalo de direcciones IP, el grupo de seguridad de Amazon EC2 o la instancia EC2-Classic que usa para conectarse.
  • Conexiones fuera de una VPC. Asegúrese de que la instancia de base de datos sea accesible públicamente y que la instancia de base de datos esté asociada a una subred pública (por ejemplo, la tabla de enrutamiento permite el acceso desde una puerta de enlace de Internet). Para obtener más información, consulte Situaciones para el acceso a una instancia de base de datos situada en una VPC.
  • ACL de red. Las ACL de red actúan como firewall para los recursos en una subred específica en una VPC. Si usa ACL en su VPC, asegúrese de tener reglas que permitan el tráfico de entrada y salida a la instancia de base de datos.
  • Firewalls de red o locales. Consulte a su administrador de red si su red permite el tráfico de entrada y salida en los puertos que usa la instancia de base de datos para la comunicación de entrada y salida.
    Nota: Amazon RDS no acepta el tráfico del protocolo de mensajes de control de Internet (ICMP), incluido ping.

Solucionar problemas potenciales de nombre de DNS o punto de enlace

Al conectarse a su instancia de base de datos, usa un nombre de DNS (punto de enlace) proporcionado por la consola de Amazon RDS. Asegúrese de usar el punto de enlace correcto y de proporcionar el punto de enlace en el formato correcto para que el cliente que use se conecte a la instancia de base de datos. Para ver una lista de tutoriales de conexión de motores de base de datos que incluye instrucciones sobre cómo encontrar y usar de forma adecuada un punto de enlace en varias aplicaciones de cliente, consulte Introducción a Amazon RDS.

Por ejemplo, use nslookup en el punto de enlace de la instancia de base de datos desde una instancia Amazon EC2 en la VPC:

nslookup myexampledb.xxxx.us-east-1.rds.amazonaws.com 
Server: xx.xx.xx.xx 
Address: xx.xx.xx.xx#53

Consulte el ejemplo siguiente de una respuesta no autoritativa:

Name: myexampledb.xxxx.us-east-1.rds.amazonaws.com 
Address: 172.31.xx.x"

Verificar las tablas de enrutamiento asociadas a la implementación Multi-AZ

Cuando crea una implementación Multi-AZ, lanza varias instancias de base de datos de réplica en varias zonas de disponibilidad para mejorar la tolerancia a errores de su aplicación. Asegúrese de que las subredes asociadas a cada instancia de base de datos estén asociadas a las mismas tablas de enrutamiento o similares. En caso contrario, si su instancia de base de datos primaria conmuta por error a una réplica en espera y la réplica en espera está asociada a una tabla de enrutamiento diferente, es posible que el tráfico que anteriormente se enrutaba a su instancia de base de datos ya no se enrute correctamente.

Para obtener más información sobre cómo configurar las tablas de enrutamiento, consulte Tablas de enrutamiento. Para obtener más información acerca de las implementaciones Multi-AZ, consulte Alta disponibilidad (Multi-AZ) para Amazon RDS.

Nota: Si puede conectarse a su instancia de base de datos, pero obtiene errores de autenticación, consulte ¿Cómo restablezco la contraseña maestra de usuario para mi instancia de base de datos de Amazon RDS?

Verificar la conectividad

Ejecute uno de los comandos siguientes para verificar la conexión:

telnet <RDS endpoint> <port number>
nc <RDS endpoint> <port number>

Si uno de los comandos telnet o nc funciona correctamente, se ha establecido una conexión de red. Esto significa que el problema se debe probablemente a la autenticación del usuario en la base de datos, como el nombre de usuario o la contraseña.