Dlaczego nie mogę połączyć się z usługą Amazon RDS po skonfigurowaniu?

Właśnie utworzyłem konto Amazon RDS. I zacząłem instancję bazy danych.

The "endpoint" is:
abcw3n-prod.cbmbuiv8aakk.us-east-1.rds.amazonaws.com

Wspaniały! Teraz staram się połączyć z jednym z moich innych wystąpień EC2.

mysql -uUSER -pPASS -habcw3n-prod.cbmbuiv8aakk.us-east-1.rds.amazonaws.com

Ale nic nie działa i po prostu się zawiesza.

Próbowałem pingować i nic też nie działa. Nic się nie dzieje.

Czy muszę zmienić niektóre ustawienia?

Domyślnie RDS nie zezwala na żadne połączenia, które nie są określone w grupie zabezpieczeń (SG). Możesz zezwolić na podstawie adresu CIDR lub numeru konta Amazon, co umożliwiłoby dostęp do niego każdemu EC2 na tym koncie.

Jest „po prostu zawieszony”, ponieważ nie skonfigurowano zapory ogniowej do akceptowania połączeń mySQL z drugiej instancji, ponieważ pakiet jest upuszczany na poziomie zapory ogniowej, aby rozwiązać ten problem, należy:

1. przejdź do konsoli AWS
2. Karta EC2
3. Zanotuj grupę zabezpieczeń swojego serwera mySQL (na razie nazywaj to SG-MYSQL)
4. kliknij grupy zabezpieczeń po lewej stronie konsoli
5. kliknij swoją grupę w środkowym menu SG-MYSQL
6. kliknij kartę przychodzącą
7. wybierz mySQL z listy, dodaj szczegóły serwera klienta i zapisz regułę

UWAGA źródłowy adres IP serwera nie będzie twoim elastycznym adresem IP (w większości przypadków i tak) będziesz mieć wewnętrzny adres IP na urządzeniu (pokaże to ifconfig na Linuksie).

Dużo tu mówimy o grupach bezpieczeństwa, ale sprawdź także:

• Czy powiązane podsieci wydają się poprawnie skonfigurowane?
• Czy podsieci są częścią grupy routingu, która wydaje się poprawnie skonfigurowana (określono bramę internetową itp.)?
• Czy RDS twierdzi, że jest publicznie dostępny?
• I oczywiście sprawdź RDS Security Group i EC2 Security Group
  • Nie zapominaj, że rzeczywisty źródłowy adres IP może być wewnętrznym adresem IP (w przypadku uzyskiwania dostępu wewnętrznego przez VPC) lub zewnętrznym adresem IP (którym może być adres IP routera lub adres IP wystąpienia instancji EC2, który różni się od jego modułu równoważenia obciążenia / elastycznego adresu IP) - w celu rozwiązania problemu możesz spróbować zezwolić na dostęp do wszystkich adresów IP i portów.

(Grupa routingu była moim problemem; tworząc nową podsieć zaniedbałem dodawanie jej do grupy routingu z bramą).

Naprawiony.

Musiałem udzielić dostępu do tego w grupach zabezpieczeń w DB ...

Miałem ten sam problem;

1. Grupy zabezpieczeń> rds-launch-wizard (lub dowolna nazwa wybrana dla db SG)
2. wybierz kartę Przychodzące> edytuj
3. dodaj nową rolę
4. MySQL
5. Źródło -> wstaw aws vm ip (na przykład: 12.3.14.80/32)

pracował dla mnie ...

Próbując całkowicie otworzyć zabezpieczenia w celu przetestowania przed zablokowaniem dostępu, zarówno moja instancja bazy danych, jak i moja instancja EC2 korzystały z tej samej grupy zabezpieczeń, a zarówno port przychodzący, jak i wychodzący 3306 zostały skonfigurowane tak, aby zezwalały na połączenia z dowolnego miejsca. Problem - udało mi się połączyć z Aurorą z mojego notebooka, ale co dziwne, nie z mojej instancji EC2, tak jakby instancja EC2 nie była nigdzie. Rozwiązaniem było dodanie kolejnej reguły przychodzącej mysql / Aurora i określenie tego samego identyfikatora grupy zabezpieczeń jako źródła połączeń przychodzących. Moja grupa zabezpieczeń ma regułę, która odnosi się do samej siebie, i mogę się połączyć z mojego notebooka lub instancji EC2.

Reguła ruchu przychodzącego mysql powinna wyglądać jak poniżej

taki jest problem z grupą bezpieczeństwa.