Creación de una réplica de lectura en una Región de AWS distinta

Con Amazon RDS, puede crear una réplica de lectura en una región de Región de AWS diferente que la de la instancia de base de datos de origen.

Cree una réplica de lectura en una Región de AWS diferente para lo siguiente:

Crear una réplica de lectura en una Región de AWS distinta a la de la instancia de origen es similar a crear una réplica en la misma Región de AWS. Puede utilizar la AWS Management Console, ejecutar el comando create-db-instance-read-replica o llamar a la operación CreateDBInstanceReadReplica de la API.

Disponibilidad en regiones y versiones

La disponibilidad de las características varía según las versiones específicas de cada motor de base de datos y entre Regiones de AWS. Para obtener más información sobre la disponibilidad en versiones y regiones de la replicación entre regiones, consulte Regiones y motores de bases de datos admitidos para réplicas de lectura entre regiones en Amazon RDS.

Creación de una réplica de lectura entre regiones

Los siguientes procedimientos muestran cómo crear una réplica de lectura a partir de una instancia de base de datos de MariaDB, Microsoft SQL Server, MySQL, Oracle o PostgreSQL de origen en una Región de AWS diferente.

arn:aws:rds:us-east-1:123456789012:db:mydbinstance

aws rds create-db-instance-read-replica \
    --db-instance-identifier myreadreplica \
    --region us-west-2 \
    --source-db-instance-identifier arn:aws:rds:us-east-1:123456789012:db:mydbinstance

aws rds create-db-instance-read-replica ^
    --db-instance-identifier myreadreplica ^
    --region us-west-2 ^
    --source-db-instance-identifier arn:aws:rds:us-east-1:123456789012:db:mydbinstance

aws rds create-db-instance-read-replica \
    --db-instance-identifier myreadreplica \
    --region us-west-2 \
    --source-db-instance-identifier arn:aws:rds:us-east-1:123456789012:db:mydbinstance \
    --kms-key-id my-us-west-2-key

aws rds create-db-instance-read-replica ^
    --db-instance-identifier myreadreplica ^
    --region us-west-2 ^
    --source-db-instance-identifier arn:aws:rds:us-east-1:123456789012:db:mydbinstance ^
    --kms-key-id my-us-west-2-key
 

arn:aws:rds:us-east-1:123456789012:db:mydbinstance

https://us-west-2.rds.amazonaws.com/
    ?Action=CreateDBInstanceReadReplica
    &KmsKeyId=my-us-east-1-key
    &PreSignedUrl=https%253A%252F%252Frds.us-west-2.amazonaws.com%252F
         %253FAction%253DCreateDBInstanceReadReplica
         %2526DestinationRegion%253Dus-east-1
         %2526KmsKeyId%253Dmy-us-east-1-key
         %2526SourceDBInstanceIdentifier%253Darn%25253Aaws%25253Ards%25253Aus-west-2%123456789012%25253Adb%25253Amydbinstance
         %2526SignatureMethod%253DHmacSHA256
         %2526SignatureVersion%253D4%2526SourceDBInstanceIdentifier%253Darn%25253Aaws%25253Ards%25253Aus-west-2%25253A123456789012%25253Ainstance%25253Amydbinstance
         %2526Version%253D2014-10-31
         %2526X-Amz-Algorithm%253DAWS4-HMAC-SHA256
         %2526X-Amz-Credential%253DAKIADQKE4SARGYLE%252F20161117%252Fus-west-2%252Frds%252Faws4_request
         %2526X-Amz-Date%253D20161117T215409Z
         %2526X-Amz-Expires%253D3600
         %2526X-Amz-SignedHeaders%253Dcontent-type%253Bhost%253Buser-agent%253Bx-amz-content-sha256%253Bx-amz-date
         %2526X-Amz-Signature%253D255a0f17b4e717d3b67fad163c3ec26573b882c03a65523522cf890a67fca613
    &DBInstanceIdentifier=myreadreplica
    &SourceDBInstanceIdentifier=&region-arn;rds:us-east-1:123456789012:db:mydbinstance
    &Version=2012-01-15						
    &SignatureVersion=2
    &SignatureMethod=HmacSHA256
    &Timestamp=2012-01-20T22%3A06%3A23.624Z
    &AWSAccessKeyId=<&AWS; Access Key ID>
    &Signature=<Signature>

Cómo realiza Amazon RDS la replicación entre regiones

Amazon RDS usa el siguiente proceso para crear una réplica de lectura entre regiones. En función de las Regiones de AWS implicadas y de la cantidad de datos de la base de datos, este proceso puede tardar horas en completarse. Puede usar esta información para determinar cuánto ha avanzado el proceso cuando cree una réplica de lectura entre regiones:

Consideraciones relativas a la replicación entre regiones

Todas las consideraciones relativas a la realización de la replicación dentro de una Región de AWS son válidas para la replicación entre regiones. Las siguientes consideraciones adicionales se deben tener en cuenta al replicar entre Regiones de AWS:

Solicitud de una réplica de lectura entre regiones

Para comunicarse con la región de origen y solicitar la creación de una réplica de lectura entre regiones, el solicitante (rol de IAM o usuario de IAM) debe tener acceso a la instancia de base de datos de origen y a la región de origen.

Ciertas condiciones en la política de IAM del solicitante pueden generar un error en la solicitud. En los siguientes ejemplos se supone que la instancia de base de datos de origen está en EE.UU. Este (Ohio) y que la réplica de lectura se crea en US East (N. Virginia). Estos ejemplos muestran condiciones en la política de IAM del solicitante que generan un error en la solicitud:

Si es necesario utilizar una de las condiciones anteriores que generarían un error en una solicitud, se puede incluir una segunda instrucción con aws:CalledVia en la política para que la solicitud se realice correctamente. Por ejemplo, se puede usar aws:CalledVia con aws:SourceVpce, como se muestra aquí:

...
"Effect": "Allow",
"Action": "rds:CreateDBInstanceReadReplica",
"Resource": "*",
"Condition": {
    "Condition" : { 
        "ForAnyValue:StringEquals" : {
          "aws:SourceVpce": "vpce-1a2b3c4d"
        }
     }
},
{
    "Effect": "Allow",
    "Action": [
        "rds:CreateDBInstanceReadReplica"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": [
                "rds.amazonaws.com"
            ]
        }
    }
}

Para obtener más información, consulte Políticas y permisos en IAM en la Guía del usuario de IAM.

Autorización de la réplica de lectura

Luego de que una solicitud de creación de réplica de lectura de base de datos en varias regiones devuelva success, RDS iniciará la creación de la réplica en segundo plano. Se crea una autorización para que RDS acceda a la instancia de base de datos de origen. Esta autorización vincula la instancia de base de datos de origen a la réplica de lectura y permite que RDS copie solo en la réplica de lectura especificada.

La autorización es verificada por RDS mediante el permiso rds:CrossRegionCommunication en el rol de IAM vinculado al servicio. Si la réplica es autorizada, RDS se comunica con la región de origen y completa la creación de la réplica.

RDS no tiene acceso a instancias de base de datos que no hayan sido autorizadas previamente por una solicitud CreateDBInstanceReadReplica. La autorización se revoca cuando se completa la creación de la réplica de lectura.

RDS utiliza el rol vinculado a servicios para verificar la autorización en la región de origen. Si se elimina el rol vinculado a servicios durante el proceso de creación de replicación, se produce un error en la creación.

Para obtener más información, consulte Usar roles vinculados a servicios en la Guía del usuario de IAM.

Uso de credenciales de AWS Security Token Service

Los tokens de sesión del punto de conexión global de AWS Security Token Service (AWS STS) son válidos únicamente en Regiones de AWS que están habilitadas de forma predeterminada (regiones comerciales). Si utiliza credenciales de la operación de la API assumeRole en AWS STS, utilice el punto de conexión regional si la región de origen es una región registrada. De lo contrario, la solicitud devuelve un error. Esto ocurre porque las credenciales deben ser válidas en ambas regiones, lo cual se cumple para las regiones registradas solo cuando se utiliza el punto de conexión regional de AWS STS.

Para utilizar el punto de conexión global, asegúrese de que está habilitado para operaciones en ambas regiones. Establezca el punto de conexión global en Valid in all Regiones de AWS en la configuración de la cuenta de AWS STS.

La misma regla se aplica a las credenciales del parámetro URL prefirmado.

Para obtener más información, consulte Administración de AWS STS en una Región de AWS en la guía del usuario de IAM.

Costos de la replicación entre regiones

Los datos transferidos para la replicación entre regiones incurren en cargos por transferencia de datos de Amazon RDS. Las siguientes acciones de replicación entre regiones generan cargos para los datos transferidos fuera de la Región de AWS de origen:

Para obtener más información acerca de los precios de las transferencias de datos, consulte Precios de Amazon RDS.

Para las instancias de MySQL y MariaDB, puede limitar los costos de transferencia de datos reduciendo el número de réplicas de lectura entre regiones que crea. Por ejemplo, imagine que tiene una instancia de base de datos de origen en una Región de AWS y que quiere tres réplicas de lectura en otra Región de AWS. En ese caso, cree solo una de las réplicas de lectura de la instancia de base de datos de origen. Cree las otras dos réplicas a partir de la primera réplica de lectura en lugar de la instancia de base de datos de origen.

Por ejemplo, si tiene source-instance-1 en una Región de AWS, puede hacer lo siguiente:

En este ejemplo, solo se le cobrará por los datos transferidos desde source-instance-1 a read-replica-1. No se le cobrará por los datos transferidos desde read-replica-1 a las otras dos réplicas porque todas están en la misma Región de AWS. Si crea las tres réplicas directamente desde source-instance-1, se le cobrará por las transferencias de datos a las tres réplicas.