Amazon RDS データベースインスタンスに接続できません。
Amazon RDS DB インスタンスに接続できないのは、多くの要因による場合があります。最も一般的な要因を以下にいくつか示します。
- ローカルファイアウォールによって適用されるアクセスルールと、RDS DB インスタンスへのアクセスを許可した IP アドレスとの不一致。
- RDS DB インスタンスの作成時に指定したポートを介した通信を禁止するローカルファイアウォールの制限。
- RDS DB インスタンスは、まだ作成中であり、利用できない。
- VPC にない EC2 インスタンスから接続しようとすると、EC2 インスタンスによるアクセスを許可するように、DB インスタンスのセキュリティグループが設定されていない。
- VPC にある RDS インスタンスに接続しようとすると、ソースからのアクセスを許可するように、VPC セキュリティグループが設定されていない。
- DNS の名前解決が失敗する。
番号を振った各問題は、それぞれ対応する以下の手順に従って解決します。
- デフォルトでは、DB インスタンスはアクセスを許可していません。アクセスはセキュリティグループを介して許可されます。アクセスを許可するには、特定の Ingress ルールと Egress ルールを設定した独自のセキュリティグループを作成する必要があります。セキュリティグループの設定の詳細については、「セキュリティグループを作成して VPC 内の DB インスタンスへのアクセスを提供する」と「Amazon RDS セキュリティグループ」を参照してください。
- RDS DB インスタンスの作成時に指定したポートをインバウンドおよびアウトバウンド通信に使用することがネットワークで許可されているかどうか調べるには、ネットワーク管理者に確認します。
- DB インスタンスのサイズに応じて、インスタンスがネットワーク接続に利用可能になるまで 20 分ほどかかる場合があります。DB インスタンスで接続が受け入れられることを確認します。そのためには、RDS のコンソールで DB インスタンスの正常性と RDS DB インスタンスのライフサイクルを確認します。
- EC2 Classic インスタンスから接続しようして失敗した場合は、DB インスタンスのセキュリティグループからのユーザーアクセスを許可します。詳細については、「Amazon EC2 インスタンスから DB インスタンスへのネットワークアクセスの許可」を参照してください。
- 接続に使用しているソースからの接続を許可するように、RDS DB インスタンスの VPC セキュリティグループが設定されていることを確認します。IP アドレス、IP アドレスの範囲、または別の VPC セキュリティグループを指定できます。DB インスタンスに接続できるが、認証エラーが発生する場合は、「接続認証のトラブルシューティング」で説明しているように、DB インスタンスのマスターユーザーパスワードをリセットできます。
- 考えられる DNS 名前解決の問題のトラブルシューティングを行うには、「Amazon RDS DB インスタンスへの接続のテスト」で説明しているツールと方法を使用します。正しい DNS 名前解決の確認に使用できる他のツールとしては、nslookup、dig、netcat (nc)、Linux traceroute、Windows tracert などがあります。ping ツールは使用しないでください。ping ツールで必要な ICMP トラフィックが RDS によってブロックされるためです。
Amazon RDS, 接続の問題, VPC セキュリティグループ, ファイアウォール, DB セキュリティグループ, 接続認証, 名前解決
