# Escenarios de acceso a una instancia de base de datos en una VPC
<a name="USER_VPC.Scenarios"></a>

Amazon RDS admite los siguientes escenarios para acceder a una instancia de base de datos en una VPC:
+ [Una instancia de Amazon EC2 de la misma VPC](#USER_VPC.Scenario1)
+ [Una instancia EC2 de otra VPC](#USER_VPC.Scenario3)
+ [Una aplicación cliente a través de Internet](#USER_VPC.Scenario4)
+ [Una red privada](#USER_VPC.NotPublic)

## Acceso a una instancia de base de datos en una VPC desde una instancia de Amazon EC2 de la misma VPC
<a name="USER_VPC.Scenario1"></a>

Un uso común de una instancia de base de datos en una VPC es compartir datos con un servidor de aplicaciones que se ejecuta en una instancia de Amazon EC2 de la misma VPC.

En el siguiente diagrama se muestra este escenario.

![\[Escenario de una VPC con un servidor web público y una base de datos privada.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/con-VPC-sec-grp.png)


La forma más sencilla de administrar el acceso entre instancias EC2 e instancias de bases de datos en la misma VPC es la siguiente:
+ Cree el grupo de seguridad de VPC al que pertenecerán las instancias de bases de datos. Este grupo de seguridad se puede utilizar para restringir el acceso a las instancias de bases de datos. Por ejemplo, puede crear una regla personalizada para este grupo de seguridad. Esto puede permitir el acceso TCP utilizando el puerto que asignó a la instancia de base de datos cuando lo creó y una dirección IP que utiliza para acceder a la instancia de base de datos para el desarrollo u otras finalidades.
+ Cree el grupo de seguridad de VPC al que pertenecerán las instancias EC2 (clientes y servidores web). Este grupo de seguridad puede, si es necesario, permitir el acceso a la instancia EC2 desde Internet a través de la tabla de enrutamiento de la VPC. Por ejemplo, puede establecer reglas en este grupo de seguridad para permitir el acceso mediante TCP a la instancia EC2 a través del puerto 22.
+ Cree reglas personalizadas en el grupo de seguridad para las instancias de bases de datos que permitan las conexiones desde el grupo de seguridad que creó para las instancias EC2. Estas reglas podrían permitir a cualquier miembro del grupo de seguridad acceder a las instancias de base de datos.

Hay una subred pública y privada adicional en una zona de disponibilidad independiente. Un grupo de subredes de base de datos de RDS requiere una subred en al menos dos zonas de disponibilidad. La subred adicional facilita el cambio a una implementación de instancia de base de datos multi-AZ en el futuro.

Para ver un tutorial que muestra cómo crear una VPC con subredes públicas y privadas para este escenario, consulte [Tutorial: Creación de una VPC para utilizarla con una instancia de base de datos (solo IPv4)](CHAP_Tutorials.WebServerDB.CreateVPC.md). 

**sugerencia**  
Puede configurar la conectividad de red entre una instancia de Amazon EC2 y una instancia de base de datos automáticamente al crear la instancia de base de datos. Para obtener más información, consulte [Configurar la conectividad de red automática con una instancia de EC2](USER_CreateDBInstance.md#USER_CreateDBInstance.Prerequisites.VPC.Automatic).

**Para crear una regla en un grupo de seguridad de VPC que permita establecer conexiones desde otro grupo de seguridad, haga lo siguiente:**

1.  Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc](https://console.aws.amazon.com/vpc).

1.  En el panel de navegación, elija **Grupos de seguridad**.

1. Elija o cree el grupo de seguridad al que desea que puedan tener acceso los miembros de otro grupo de seguridad. En el escenario anterior, este es el grupo de seguridad que utiliza para las instancias de base de datos. Elija la pestaña **Inbound Rules (Reglas de entrada)** y, a continuación, elija **Edit inbound rules (Editar reglas de entrada)**.

1. En la página **Edit inbound rules (Editar reglas de entrada)**, elija **Add Rule (Agregar regla)**.

1. En **Type (Tipo)**, elija la entrada que corresponda al puerto que utilizó al crear la instancia de base de datos, como **MySQL/Aurora**.

1. En el cuadro **Origen**, comience a escribir el ID del grupo de seguridad, que enumera los grupos de seguridad coincidentes. Elija el grupo de seguridad cuyos miembros desea que tengan acceso a los recursos protegidos por este grupo de seguridad. En el escenario anterior, este es el grupo de seguridad que utiliza para su instancia EC2.

1. Si es necesario, repita los pasos para el protocolo TCP creando una regla con **Todo TCP** en el campo **Tipo** y con el grupo de seguridad en el campo **Origen**. Si va a utilizar el protocolo UDP, cree una regla con **All UDP (Todo UDP)** en el campo **Type (Tipo)** y con el grupo de seguridad en el campo **Source (Origen)**.

1. Seleccione **Guardar reglas**.

La siguiente pantalla muestra una regla de entrada con un grupo de seguridad para su origen.

![\[Adición de un grupo de seguridad a las reglas de otro grupo de seguridad.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/con-vpc-add-sg-rule.png)


Para obtener más información sobre cómo conectarse a la instancia de base de datos desde su instancia de EC2, consulte [Conexión a una instancia de base de datos de Amazon RDS](CHAP_CommonTasks.Connect.md) .

## Acceso a una instancia de base de datos en una VPC desde una instancia EC2 de otra VPC
<a name="USER_VPC.Scenario3"></a>

Cuando una instancia de base de datos está en una VPC que no coincide con la de la instancia EC2 que se está utilizando para obtener acceso a ella, puede usar la interconexión con VPC para obtener acceso a la instancia de base de datos.

En el siguiente diagrama se muestra este escenario. 

![\[Acceso a una instancia de base de datos en una VPC desde una instancia de Amazon EC2 de otra VPC.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/RDSVPC2EC2VPC.png)


Una conexión de emparejamiento de VPC es una conexión de redes entre dos VPC que permite direccionar el tráfico entre ellas mediante direcciones IP privadas. Los recursos de ambas VPC se pueden comunicar entre sí siempre que se encuentren en la misma red. Puede crear una conexión de emparejamiento de VPC entre sus propias VPC, con una VPC de otra cuenta de AWS o con una VPC de otra Región de AWS. Para obtener más información sobre las interconexiones de VPC, consulte [Interconexión con VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) en la *Guía de usuario de Amazon Virtual Private Cloud*.

## Acceso a una instancia de base de datos en una VPC desde una aplicación cliente a través de internet
<a name="USER_VPC.Scenario4"></a>

Para acceder a una instancia de base de datos en una VPC desde una aplicación cliente a través de internet, configure una VPC con una subred pública única y una puerta de enlace de Internet para permitir la comunicación a través de internet.

En el siguiente diagrama se muestra este escenario.

![\[Acceso a una instancia de base de datos en una VPC desde una aplicación cliente a través de internet.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/GS-VPC-network.png)


Recomendamos la siguiente configuración:

 
+ Una VPC de tamaño /16 (por ejemplo, CIDR: 10.0.0.0/16). Este tamaño proporciona 65 536 direcciones IP privadas.
+ Una subred de tamaño /24 (por ejemplo, CIDR: 10.0.0.0/24). Este tamaño proporciona 256 direcciones IP privadas.
+ Una instancia de base de datos de Amazon RDS que se ha asociado a la VPC y a la subred. Amazon RDS asigna una dirección IP de la subred a la instancia de base de datos.
+ Una gateway de Internet que conecte la VPC a Internet y a otros productos de AWS.
+ Un grupo de seguridad asociado a la instancia de base de datos. Las reglas de entrada del grupo de seguridad permiten a la aplicación cliente obtener acceso a la instancia de base de datos.

Para obtener información acerca de la creación de una instancia de base de datos en una VPC, consulte [Creación de una instancia de base de datos en una VPC](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.InstanceInVPC).

## Una instancia de base de datos en una VPC a la que se accede mediante una red privada
<a name="USER_VPC.NotPublic"></a>

Si su instancia de base de datos no es accesible públicamente, tiene las siguientes opciones para acceder a ella desde una red privada:
+ Una conexión de Site-to-Site VPN de AWS. Para obtener más información, consulte [¿Qué es AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Una conexión de Direct Connect. Para obtener más información, consulte [¿Qué es Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ Una conexión de AWS Client VPN. Para obtener más información, consulte [¿Qué es AWS Client VPN?](https://docs.aws.amazon.com//vpn/latest/clientvpn-admin/what-is.html)

El siguiente diagrama muestra un escenario con una conexión de Site-to-site VPN AWS. 

![\[Acceso a instancias de bases de datos en una VPC desde una red privada.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/site-to-site-vpn-connection.png)


Para obtener más información, consulte [Privacidad del tráfico entre redes](inter-network-traffic-privacy.md).