# VPC de Amazon y Amazon Aurora
Amazon Virtual Private Cloud (Amazon VPC) hace posible lanzar recursos de AWS, como clústeres de base de datos de Aurora, en una nube privada virtual (VPC).
Cuando utilice una VPC, puede controlar todos los aspectos del entorno de red virtual. Puede elegir su propio rango de direcciones IP, crear subredes y configurar listas de enrutamiento y control de acceso. Es posible ejecutar el clúster de base de datos en una VPC sin ningún coste adicional.
Las cuentas tienen una VPC predeterminada. Todos los nuevos clústeres de bases de datos se crean en la VPC predeterminada, a menos que se especifique lo contrario.
**Topics**
+ [
# Uso de una clúster de base de datos en una VPC
](USER_VPC.WorkingWithRDSInstanceinaVPC.md)
+ [
# Escenarios de acceso a un clúster de base de datos en una VPC
](USER_VPC.Scenarios.md)
+ [
# Tutorial: Creación de una VPC para utilizarla con un clúster de base de datos (solo IPv4)
](CHAP_Tutorials.WebServerDB.CreateVPC.md)
+ [
# Tutorial: Creación de una VPC para utilizarla con un clúster de base de datos (modo de pila doble)
](CHAP_Tutorials.CreateVPCDualStack.md)
A continuación, encontrará una discusión acerca de la funcionalidad de la VPC relevante a clústeres de base de datos de Amazon Aurora. Para obtener más información sobre Amazon VPC, consulte la [guía de introducción de Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/) y la [guía del usuario de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
# Uso de una clúster de base de datos en una VPC
Su clúster de base de datos debe estar dentro de la nube privada virtual (VPC). Una VPC es una red virtual aislada lógicamente de otras redes virtuales en la nube de AWS. Amazon VPC le permite lanzar recursos de AWS, como o una instancia de Amazon EC2, en una VPC. La VPC puede ser una VPC predeterminada que viene con la cuenta o una que se haya creado en ella. Todas las VPC están asociadas a la cuenta de AWS.
La VPC predeterminada tiene tres subredes que se pueden utilizar para aislar recursos dentro de la VPC. La VPC predeterminada también tiene una puerta de enlace de Internet que se puede utilizar para proporcionar acceso a los recursos situados dentro de la VPC desde fuera de la VPC.
Para obtener una lista de los escenarios relacionados con los clústeres de bases de datos de Amazon Aurora fuera de una VPC, consulte [Escenarios de acceso a un clúster de base de datos en una VPC](USER_VPC.Scenarios.md).
**Topics**
+ [
## Uso de una clúster de base de datos en una VPC
](#Overview.RDSVPC.Create)
+ [
## Control de cifrado de VPC
](#USER_VPC.EncryptionControl)
+ [
## Uso de los grupos de subredes de base de datos
](#USER_VPC.Subnets)
+ [
## Subredes compartidas
](#USER_VPC.Shared_subnets)
+ [
## Direccionamiento IP de Amazon Aurora
](#USER_VPC.IP_addressing)
+ [
## Cómo ocultar un clúster de base de datos en una VPC desde Internet.
](#USER_VPC.Hiding)
+ [
## Creación de un clúster de base de datos en una VPC
](#USER_VPC.InstanceInVPC)
En los siguientes tutoriales se explica cómo crear una VPC que se puede utilizar en un escenario de Amazon Aurora habitual:
+ [Tutorial: Creación de una VPC para utilizarla con un clúster de base de datos (solo IPv4)](CHAP_Tutorials.WebServerDB.CreateVPC.md)
+ [Tutorial: Creación de una VPC para utilizarla con un clúster de base de datos (modo de pila doble)](CHAP_Tutorials.CreateVPCDualStack.md)
## Uso de una clúster de base de datos en una VPC
A continuación se ofrecen algunos consejos para utilizar un clúster de base de datos en una VPC:
+ La VPC debe tener dos subredes como mínimo. Estas subredes deben estar en dos zonas de disponibilidad distintas de la Región de AWS en la que desea implementar el clúster de base de datos. Una *subred* es un segmento del rango de direcciones IP de una VPC que puede especificar y que le permite agrupar clústeres de base de datos según sus necesidades operativas y de seguridad.
+ Si desea que un clúster de base de datos de la VPC sea accesible públicamente, debe activar los atributos *DNS hostnames* y *DNS resolution*.
+ La VPC debe tener un grupo de subredes de base de datos que haya creado. Para crear un grupo de subredes de base de datos, especifique las subredes que ha creado. Amazon Aurora elige una subred y una dirección IP dentro de esa subred para asociarla con la instancia de base de datos principal de su clúster de base de datos. La instancia de base de datos principal utiliza la zona de disponibilidad que contiene la subred.
+ La VPC debe tener un grupo de seguridad de VPC que permita el acceso a el clúster de base de datos.
Para obtener más información, consulte [Escenarios de acceso a un clúster de base de datos en una VPC](USER_VPC.Scenarios.md).
+ Los bloques de CIDR de cada una de las subredes deben ser lo suficientemente grandes como para acomodar direcciones IP de repuesto para que Amazon Aurora las use durante las actividades de mantenimiento, incluyendo la conmutación por error y el escalado de recursos de computación. Por ejemplo, un rango como 10.0.0/24 y 10.0.2.0/24 suele ser lo suficientemente grande.
+ El atributo *instance tenancy* de una VPC puede definirse como *default* o *dedicated*. Todas las VPC predeterminadas tienen el atributo de tenencia de instancia definido como default, y una VPC predeterminada puede admitir cualquier clase de instancia de base de datos.
Si opta por tener el clúster de base de datos en una VPC dedicada cuyo atributo de tenencia de instancia está establecido en dedicado, la clase de instancia de base de datos de el clúster debe ser uno de los tipos aprobados de instancia dedicada de Amazon EC2. Por ejemplo, la instancia dedicada r5.large de EC2 corresponde a la clase de instancia de base de datos r5.large. Para obtener información acerca de la tenencia de instancias en una VPC, consulte [Instancias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) en la *Guía del usuario de Amazon Elastic Compute Cloud*.
Para obtener más información acerca de los tipos de instancias que puede haber en una instancia dedicada, consulte [Instancias dedicadas de Amazon EC2](https://aws.amazon.com/ec2/purchasing-options/dedicated-instances/) en la página de precios de Amazon EC2.
**nota**
Cuando establece el atributo de tenencia de instancia en dedicado para un clúster de base de datos, no garantiza que el clúster de base de datos se ejecute en un host dedicado.
## Control de cifrado de VPC
Los controles de cifrado de VPC le permiten aplicar el cifrado en tránsito para todo el tráfico de red dentro de las VPC. Utilice el control de cifrado para cumplir con los requisitos de conformidad normativa, asegurándose de que solo se pueda aprovisionar hardware basado en Nitro con capacidad de cifrado en las VPC designadas. El control de cifrado también detecta los problemas de compatibilidad cuando se solicita la API y no durante el aprovisionamiento. Las cargas de trabajo actuales siguen funcionando y solo se bloquean las nuevas solicitudes incompatibles.
Configure los controles de cifrado de la VPC configurando el modo de control de la VPC en:
+ *desactivado* (predeterminado)
+ *supervisar*
+ *forzado*
Para comprobar el modo de control actual de la VPC, utilice la Consola de administración de AWS o el comando de la API o la CLI [DescribeVpcs](https://docs.aws.amazon.com//AWSEC2/latest/APIReference/API_DescribeVpcs.html).
Si la VPC aplica el cifrado, solo puede aprovisionar clústeres de base de datos basados en Nitro que admitan el cifrado en tránsito en esa VPC. Para obtener más información, consulte [Tipos de clase de instancia de base de datos](Concepts.DBInstanceClass.Types.md). Para obtener información sobre las instancias de Nitro, consulte [Instancias integradas en AWS Nitro System](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html) en la *Guía del usuario de Amazon EC2*.
**nota**
Si intenta aprovisionar clústeres de base de datos incompatibles en una VPC con cifrado, Aurora devuelve una excepción `VpcEncryptionControlViolationException`.
Para Aurora Serverless para MySQL y PostreSQL, el control de cifrado requiere la versión de la plataforma 3 o superior.
## Uso de los grupos de subredes de base de datos
Las *subredes* son segmentos del rango de direcciones IP de una VPC que se definen para agrupar recursos de acuerdo con las necesidades operativas y de seguridad. Un *grupo de subredes de base de datos* es una colección de subredes (normalmente privadas) que se crean en una VPC y que después se asignan a los clústeres de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear clústeres de bases de datos utilizando la AWS CLI o la API de RDS. Si utiliza la consola, solo puede elegir la VPC y los grupos de subredes que desea utilizar.
Cada grupo de subredes de base de datos debe tener subredes como mínimo en dos zonas de disponibilidad de una determinada Región de AWS. Cuando crea un clúster de base de datos en una VPC, debe elegir un grupo de subredes de base de datos. Desde el grupo de subred de base de datos, Amazon Aurora elige una subred y una dirección IP dentro de esa subred para asociarla con la instancia de base de datos principal de su clúster de base de datos. La base de datos utiliza la zona de disponibilidad que contiene la subred. Aurora siempre asigna una dirección IP desde una subred que tiene espacio de dirección IP libre.
Las subredes de un grupo de subredes de base de datos son públicas o privadas. Las subredes son públicas o privadas, en función de la configuración que establezca para sus listas de control de acceso a la red (ACL de red) y tablas de enrutamiento. Para que un clúster de base de datos sea accesible públicamente, todas las subredes del grupo de subredes de base de datos deben ser públicas. Si una subred asociada a un clúster de base de datos de acceso público cambia de pública a privada, eso puede afectar a la disponibilidad de el clúster de base de datos.
Para crear un grupo de subredes de base de datos que admita el modo de pila doble, asegúrese de que cada subred que agregue al grupo de subredes de base de datos tenga un bloque de CIDR de protocolo de Internet versión 6 (IPv6) asociado. Para obtener más información, consulte [Direccionamiento IP de Amazon Aurora](#USER_VPC.IP_addressing) y el tema sobre cómo [migrar a IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) en la *Guía del usuario de Amazon VPC*.
Cuando Amazon Aurora crea un clúster de base de datos en una VPC, asigna una interfaz de red a el clúster de base de datos utilizando una dirección IP del grupo de subredes de base de datos. Sin embargo, le recomendamos que utilice el nombre del sistema de nombres de dominio (DNS) para conectarse a el clúster de base de datos. Se recomienda hacerlo porque la dirección IP subyacente cambia durante la conmutación por error.
**nota**
Para cada clúster de base de datos que ejecute en una VPC, asegúrese de reservar al menos una dirección en cada subred del grupo de subredes de base de datos para que la utilice Amazon Aurora para las acciones de recuperación.
## Subredes compartidas
Puede crear un clúster de base de datos en una VPC compartida.
Algunas consideraciones a tener en cuenta al utilizar las VPC compartidas:
+ Puede mover un clúster de base de datos de una subred de VPC compartida a una subred de VPC no compartida y viceversa.
+ Los participantes de una VPC compartida deben crear un grupo de seguridad en la VPC que les permita crear un clúster de base de datos.
+ Los propietarios y los participantes de una VPC compartida pueden acceder a la base de datos mediante consultas SQL. Sin embargo, solo el creador de un recurso puede realizar llamadas a la API en el recurso.
## Direccionamiento IP de Amazon Aurora
Las direcciones IP permiten que los recursos de la VPC se comuniquen entre sí y con otros recursos a través de Internet. Amazon Aurora admite los protocolos de direcciones IPv4 e IPv6. De forma predeterminada, Amazon Aurora y Amazon VPC utilizan el protocolo de direccionamiento IPv4. No puedes desactivar este comportamiento. Al crear una VPC, debe especificar un bloque de CIDR IPv4 (un intervalo de direcciones IPv4 privadas). De manera opcional, puede asignar un bloque de CIDR IPv6 a su VPC y sus subredes y asignar direcciones IPv6 de dicho bloque a clústers de base de datos de su subred
La compatibilidad con el protocolo IPv6 amplía el número de direcciones IP admitidas. Al utilizar el protocolo IPv6, se asegura de tener suficientes direcciones disponibles para el futuro crecimiento de Internet. Los recursos de RDS nuevos y existentes pueden utilizar direcciones IPv4 e IPv6 dentro de su VPC. Configurar, proteger y traducir el tráfico de red entre los dos protocolos utilizados en diferentes partes de una aplicación puede provocar sobrecarga operativa. Puede estandarizar el protocolo IPv6 para los recursos de Amazon RDS para simplificar la configuración de la red.
**Topics**
+ [
### Direcciones IPv4
](#USER_VPC.IP_addressing.IPv4)
+ [
### Direcciones IPv6
](#USER_VPC.IP_addressing.IPv6)
+ [
### Modo de pila doble
](#USER_VPC.IP_addressing.dual-stack-mode)
### Direcciones IPv4
Al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC como bloque de CIDR como `10.0.0.0/16`. Un *grupo de subredes* de base de datos define el rango de direcciones IP de este bloque de CIDR que puede utilizar un clúster de base de datos. Esta dirección IP puede ser privada o pública.
Una dirección IPv4 privada es una dirección IP a la que no se puede obtener acceso desde Internet. Se pueden usar direcciones IPv4 privadas para la comunicación entre el clúster de la base de datos y otros recursos, como instancias de Amazon EC2, en la misma VPC. Cada clúster de base de datos tiene una dirección IP privada para la comunicación en la VPC.
Una dirección IP pública es una dirección IPv4 a la que se puede acceder desde Internet. Se pueden usar direcciones públicas para la comunicación entre el clúster de la base de datos y los recursos en Internet, como un cliente SQL. Debe controlar si un clúster de base de datos recibe una dirección IP pública.
Amazon RDS utiliza direcciones IPv4 públicas elásticas del conjunto de direcciones IPv4 públicas de EC2 para las instancias de bases de datos de acceso público. Estas direcciones IP están visibles en la cuenta de AWS cuando se usa la CLI de `describe-addresses`, la API o se consulta la sección de IP elásticas (EIP) en la Consola de administración de AWS. Cada dirección IP administrada por RDS se marca con un atributo `service_managed` establecido en `"rds"`.
Aunque estas IP están visibles en la cuenta, Amazon RDS las administra en su totalidad y no se pueden modificar ni lanzar. Amazon RDS vuelve a lanzar las IP en el conjunto de direcciones IPv4 públicas cuando ya no se utilizan.
CloudTrail registra las llamadas a la API relacionadas con EIP de RDS, como `AllocateAddress`. La entidad principal del servicio `rds.amazonaws.com` invoca estas llamadas a la API.
**nota**
Las IP asignadas por Amazon RDS no se tienen en cuenta para los límites de EIP de la cuenta.
Para ver un tutorial que muestra cómo crear una VPC con solo direcciones IPv4 privadas que puede utilizar con un escenario habitual de Amazon Aurora, consulte [Tutorial: Creación de una VPC para utilizarla con un clúster de base de datos (solo IPv4)](CHAP_Tutorials.WebServerDB.CreateVPC.md).
### Direcciones IPv6
De manera opcional, puede asociar un bloque de CIDR IPv6 a su VPC y sus subredes y asignar direcciones IPv6 desde dicho bloque a los recursos de su VPC. Cada dirección IPv6 es única a nivel mundial.
El bloque de CIDR IPv6 de su VPC se asigna automáticamente de entre el grupo de direcciones IPv6 de Amazon. Usted no puede elegir el rango.
Al conectarse a una dirección IPv6, asegúrese de que se cumplan las siguientes condiciones:
+ El cliente se ha configurado de manera que se permita el tráfico de la base de datos a través de IPv6.
+ Los grupos de seguridad de RDS utilizados por la instancia de base de datos están configurados correctamente para permitir el tráfico de cliente a la base de datos a través de IPv6.
+ La pila del sistema operativo de cliente permite el tráfico en la dirección IPv6. Además, los controladores y bibliotecas del sistema operativo están configurados para elegir el punto de conexión de la instancia de base de datos predeterminado correcto (IPv4 o IPv6).
Para obtener más información sobre IPv6, consulte el tema sobre [direccionamiento IP](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) en la *Guía del usuario de Amazon VPC*.
### Modo de pila doble
Un clúster de base de datos se ejecuta en modo de pila doble cuando puede comunicarse a través de los protocolos de direcciones tanto IPv4 como IPv6. A continuación, los recursos pueden comunicarse con el clúster de base de datos mediante IPv4, IPv6 o ambos protocolos. Las instancias de base de datos privadas en modo de pila doble tienen puntos de conexión de IPv6 que RDS restringe al acceso de VPC únicamente, lo que garantiza que los puntos de conexión de IPv6 permanezcan privados. Las instancias de base de datos en modo de pila doble público proporcionan puntos de conexión de IPv4 e IPv6 a los que puede acceder desde Internet.
**Topics**
+ [
#### Modo de pila doble y grupos de subredes de base de datos
](#USER_VPC.IP_addressing.dual-stack-db-subnet-groups)
+ [
#### Utilización de instancias de base de datos en modo de pila doble
](#USER_VPC.IP_addressing.dual-stack-working-with)
+ [
#### Modificación de clústeres de base de datos de solo IPv4 para utilizar el modo de pila doble
](#USER_VPC.IP_addressing.dual-stack-modifying-ipv4)
+ [
#### Disponibilidad de clústeres de base de datos de red de pila doble
](#USER_VPC.IP_addressing.dual-stack-availability)
+ [
#### Limitaciones de clústeres de base de datos de red de pila doble
](#USER_VPC.IP_addressing.dual-stack-limitations)
Para ver un tutorial donde se muestra cómo crear una VPC con las direcciones IPv4 y IPv6 que puede utilizar en un escenario habitual de Amazon Aurora, consulte [Tutorial: Creación de una VPC para utilizarla con un clúster de base de datos (modo de pila doble)](CHAP_Tutorials.CreateVPCDualStack.md).
#### Modo de pila doble y grupos de subredes de base de datos
Para utilizar el modo de pila doble, asegúrese de que cada subred del grupo de subredes de base de datos que asocie a el clúster de base de datos tenga un bloque de CIDR de IPv6 asociado. Puede crear un nuevo grupo de subredes de base de datos o modificar un grupo existente de subredes de base de datos para cumplir este requisito. Cuando un clúster de base de datos esté en modo de pila doble, los clientes podrán conectarse como siempre. Asegúrese de que los firewalls de seguridad del cliente y los grupos de seguridad de instancias de base de datos RDS estén configurados correctamente para permitir el tráfico a través de IPv6. Para conectarse, los clientes utilizan el punto de conexión de la instancia principal del clúster de base de datos. Las aplicaciones de cliente pueden especificar qué protocolo prefieren al conectarse a una base de datos. En modo de pila doble, el clúster de base de datos detecta el protocolo de red preferido del cliente (IPv4 o IPv6) y utiliza ese protocolo para la conexión.
Si un grupo de subredes de base de datos deja de admitir el modo de pila doble debido a la eliminación de subredes o a la disociación de CIDR, existe el riesgo de que se produzca un estado de red incompatible para las instancias de base de datos asociadas al grupo de subredes de base de datos. Además, no puede utilizar el grupo de subredes de base de datos al crear un clúster nuevo de base de datos en modo de pila doble.
Para determinar si un grupo de subredes de base de datos admite el modo de pila doble mediante la Consola de administración de AWS, consulte **Network type** (Tipo de red) en la página de detalles del grupo de subredes de base de datos. Para determinar si un grupo de subredes de base de datos admite el modo de pila doble mediante la AWS CLI, ejecute el comando [describe-db-subnet-groups](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-subnet-groups.html) y la vista `SupportedNetworkTypes` en la salida.
Las réplicas de lectura se tratan como instancias de base de datos independientes y pueden tener un tipo de red diferente al de la instancia de base de datos principal. Si cambia el tipo de red de la instancia de base de datos principal de una réplica de lectura, la réplica de lectura no se verá afectada. Al restaurar una instancia de base de datos, puede restaurarla a cualquier tipo de red compatible.
#### Utilización de instancias de base de datos en modo de pila doble
Al crear o modificar un clúster de base de datos, puede especificar que el modo de pila doble permita que los recursos se comuniquen con su clúster de base de datos a través de IPv4, IPv6 o ambos.
Al utilizar la Consola de administración de AWS para crear o modificar una instancia de base de datos, puede especificar el modo de pila doble en la sección **Network type** (Tipo de red). En la imagen siguiente se muestra la sección **Network type** (Tipo de red) en la consola.
![\[Sección Tipo de red de la consola con la opción Modo de pila doble seleccionada.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/dual-stack-mode.png)
Si utiliza la AWS CLI para crear o modificar un clúster de base de datos, establezca la opción `--network-type` en `DUAL` para utilizar el modo de pila doble. Si utiliza la API de RDS para crear o modificar un clúster de base de datos, establezca el parámetro `NetworkType` en `DUAL` para utilizar el modo de pila doble. Al modificar el tipo de red de una instancia de base de datos, puede haber un tiempo de inactividad. Si el modo de pila doble no es compatible con la versión del motor de base de datos o el grupo de subredes de base de datos especificados, se devuelve el error `NetworkTypeNotSupported`.
Para obtener más información acerca de la creación de un clúster de base de datos, consulte [Creación de un clúster de base de datos de Amazon Aurora](Aurora.CreateInstance.md). Para obtener más información sobre la modificación de un clúster de base de datos, consulte [Modificación de un clúster de base de datos de Amazon Aurora](Aurora.Modifying.md).
Para determinar si un clúster de base de datos está en modo de pila doble mediante la consola, consulte **Network type** (Tipo de red) en la pestaña **Connectivity & security** (Conectividad y seguridad) de el clúster de base de datos.
#### Modificación de clústeres de base de datos de solo IPv4 para utilizar el modo de pila doble
Puede modificar el clúster de base de datos solo IPv4 para utilizar el modo de pila doble. Para ello, cambie el tipo de red de el clúster de base de datos. La modificación podría dar lugar a un tiempo de inactividad.
Se recomienda cambiar el tipo de red de los clústeres de base de datos de Amazon Aurora durante un período de mantenimiento. Actualmente, no se admite la configuración del tipo de red de las nuevas instancias en el modo de doble pila. Puede configurar el tipo de red manualmente mediante el comando `modify-db-cluster`.
Antes de modificar un clúster de base de datos para utilizar el modo de pila doble, asegúrese de que su grupo de subredes de base de datos admite el modo de pila doble. Si el grupo de subredes de base de datos asociado a el clúster de base de datos no admite el modo de pila doble, especifique otro grupo de subredes de base de datos que lo admita cuando modifique el clúster de base de datos. La modificación del grupo de subredes de base de datos de un clúster de base de datos puede provocar un tiempo de inactividad.
Si modifica el grupo de subredes de base de datos de un clúster de base de datos antes de cambiar el clúster de base de datos para utilizar el modo de doble pila, asegúrese de que el grupo de subredes de base de datos sea válido para el clúster de base de datos antes y después del cambio.
Le recomendamos que ejecute la API [modify-db-clúster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html) únicamente con el parámetro `--network-type` con el valor `DUAL` para cambiar la red de un clúster de Amazon Aurora al modo de doble pila. Si se añaden otros parámetros junto con el parámetro `--network-type` en la misma llamada a la API, se podría producir un tiempo de inactividad.
Si no puede conectarse a el clúster de base de datos después del cambio, asegúrese de que los firewalls de seguridad de la base de datos y del cliente y las tablas de enrutamiento se hayan configurado correctamente para permitir el tráfico a la base de datos de la red seleccionada (IPv4 o IPv6). Es posible que también tenga que modificar los parámetros, las bibliotecas o los controladores del sistema operativo para conectarse mediante una dirección IPv6.
**Para modificar un clúster de base de datos solo IPv4 para utilizar el modo de pila doble**
1. Modifique un grupo de subredes de base de datos para admitir el modo de pila doble o cree un grupo de subredes de base de datos que admita el modo de pila doble:
1. Asocie un bloque de CIDR IPv6 a su VPC.
Para obtener más información, consulte el tema [Agregue un bloque CIDR de IPv6 a su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/modify-vpcs.html#vpc-associate-ipv6-cidr) en la *Guía del usuario de Amazon VPC*.
1. Adjunte el bloque de CIDR IPv6 a todas las subredes de su grupo de subredes de base de datos.
Para obtener más información, consulte el tema [Agregue un bloque CIDR de IPv6 a su subred](https://docs.aws.amazon.com/vpc/latest/userguide/modify-subnets.html#subnet-associate-ipv6-cidr) en la *Guía del usuario de Amazon VPC*.
1. Confirme que el grupo de subredes de base de datos admita el modo de pila doble.
Si utiliza la Consola de administración de AWS, seleccione el grupo de subredes de base de datos y asegúrese de que el valor **Supported network types** (Tipos de redes compatibles) sea **Dual, IPv4** (Doble, IPv4).
Si utiliza la AWS CLI, ejecute el comando [describe-db-subnet-groups](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-subnet-groups.html) y asegúrese de que el valor `SupportedNetworkType` de la instancia de base de datos sea `Dual, IPv4`.
1. Modifique el grupo de seguridad asociado a el clúster de base de datos para permitir conexiones IPv6 a la base de datos o cree un nuevo grupo de seguridad que permita conexiones IPv6.
Para obtener instrucciones, consulte el tema sobre cómo [crear un grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) en la *Guía del usuario de Amazon VPC*.
1. Modifique la instancia base de datos para admitir el modo de pila doble. Para ello, defina **Network type** (Tipo de red) en **Dual-stack mode** (Modo de pila doble).
Si utiliza la consola, asegúrese de que la siguiente configuración sea correcta:
+ **Network type** (Tipo de red): **Dual-stack mode** (Modo de pila doble)
![\[Sección Tipo de red de la consola con la opción Modo de pila doble seleccionada.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/dual-stack-mode.png)
+ **DB subnet group** (Grupo de subredes de base de datos): el grupo de subredes de base de datos que configuró en un paso anterior
+ **Security group (Grupo de seguridad)**: la seguridad que configuró en el paso anterior
Si utiliza la AWS CLI, asegúrese de que la siguiente configuración sea correcta:
+ `--network-type` – `dual`
+ `--db-subnet-group-name`: el grupo de subredes de base de datos que configuró en un paso anterior
+ `--vpc-security-group-ids`: el grupo de seguridad de la VPC que configuró en un paso anterior
Por ejemplo:
```
aws rds modify-db-cluster --db-cluster-identifier my-cluster --network-type "DUAL"
```
1. Confirme que el clúster de base de datos admite el modo de pila doble.
Si utiliza la consola, elija la pestaña **Configuration** (Configuración) para la instancia de base de datos. En esa pestaña, asegúrese de que el valor de **Network type** (Tipo de red) es **Dual-stack mode** (Modo de pila doble).
Si utiliza la AWS CLI, ejecute al comando [describe-db-clústers](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html) y asegúrese de que el valor `NetworkType` del clúster de base de datos sea `dual`.
Ejecute el comando `dig` en el punto de conexión de la instancia de base de datos del escritor para identificar la dirección IPv6 que tiene asociada.
```
dig db-instance-endpoint AAAA
```
Utilice el punto de conexión de la instancia de base de datos del escritor (no la dirección IPv6) para conectarse a el clúster de base de datos.
#### Disponibilidad de clústeres de base de datos de red de pila doble
Los clústeres de base de datos de red de doble pila están disponibles en todas las Regiones de AWS, a excepción de las siguientes:
+ Asia-Pacífico (Hyderabad)
+ Asia-Pacífico (Malasia)
+ Asia-Pacífico (Melbourne)
+ Asia-Pacífico (Tailandia)
+ Oeste de Canadá (Calgary)
+ Europa (España)
+ Europa (Zúrich)
+ Israel (Tel Aviv)
+ México (centro)
+ Medio Oriente (EAU)
Las siguientes versiones del motor de base de datos admiten clústeres de base de datos de red de doble pila:
+ Versiones de Aurora MySQL:
+ Versiones 3.02 y posteriores a la 3
+ Versión 2.09.1 y posteriores a la 2
Para obtener más información sobre Aurora MySQL, consulte las [https://docs.aws.amazon.com/AmazonRDS/latest/AuroraMySQLReleaseNotes/Welcome.html](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraMySQLReleaseNotes/Welcome.html).
+ Versiones de Aurora PostgreSQL:
+ Versiones 15.2 y posteriores
+ Versión 14.3 y versiones posteriores a la 14
+ Versión 13.7 y versiones posteriores a la 13
Para obtener más información sobre Aurora PostgreSQL, consulte las [https://docs.aws.amazon.com/AmazonRDS/latest/AuroraPostgreSQLReleaseNotes/Welcome.html](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraPostgreSQLReleaseNotes/Welcome.html).
#### Limitaciones de clústeres de base de datos de red de pila doble
Las siguientes limitaciones se aplican a los clústeres de base de datos de red de pila doble:
+ Los clústeres de base de datos no pueden utilizar el protocolo IPv6 exclusivamente. Pueden utilizar IPv4 exclusivamente o utilizar el protocolo IPv4 y IPv6 (modo de pila doble).
+ Amazon RDS no admite subredes IPv6 nativas.
+ No puede utilizar RDS Proxy con clústeres de base de datos en modo de pila doble.
## Cómo ocultar un clúster de base de datos en una VPC desde Internet.
Un escenario común de Amazon Aurora consiste en tener una VPC en la que hay una instancia de Amazon EC2 con una aplicación web abierta al público y un clúster de base de datos con una base de datos que no es de acceso público. Por ejemplo, puede crear una VPC que tenga una subred pública y una subred privada. Las instancias de EC2 que funcionan como servidores web se pueden implementar en la subred pública. Los Las instancias de base de datos se implementan en la subred privada. En una implementación de este tipo, solo los servidores web tienen acceso a los clústeres de bases de datos. Para ver una ilustración de este escenario, consulte [Acceso a un clúster de base de datos en una VPC desde una instancia de Amazon EC2 de la misma VPC](USER_VPC.Scenarios.md#USER_VPC.Scenario1).
Cuando lanza un clúster de base de datos dentro de una VPC, el clúster de base de datos tiene una dirección IP privada para el tráfico dentro de la VPC. Esta dirección IP privada no es accesible públicamente. Puede utilizar la opción **Public access** (Acceso público) para designar si el clúster de base de datos también tiene una dirección IP pública además de la dirección IP privada. Si el clúster se designa como de acceso público, su punto de conexión DNS se resuelve en la dirección IP privada desde dentro de la VPC. Se resuelve en la dirección IP pública desde fuera de la VPC. Acceso a la instancia de base de datos está controlado en última instancia por el grupo de seguridad que utiliza. No se permite el acceso público si el grupo de seguridad asignado al clúster de la base de datos no incluye reglas de entrada que lo permitan. Además, para que un clúster de base de datos sea accesible públicamente, las subredes del grupo de subredes de base de datos deben tener una puerta de enlace de Internet. Para obtener más información, consulte [No puede conectarse a la instancia de base de datos de Amazon RDS](CHAP_Troubleshooting.md#CHAP_Troubleshooting.Connecting).
Es posible modificar un clúster de base de datos para activar o desactivar la accesibilidad pública modificando la opción **Public access** (Acceso público). En la ilustración siguiente se muestra la opción **Public access (Acceso público)** en la sección **Additional connectivity configuration (Configuración de conectividad adicional)**. Para definir la opción, abra la sección **Additional connectivity configuration (Configuración de conectividad adicional)** en la sección **Connectivity (Conectividad)**.
![\[Ponga la opción Acceso público de la base de datos en la sección Configuración de conectividad adicional en No.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/VPC-example4.png)
Para obtener información sobre cómo modificar una instancia de base de datos para establecer la opción **Public access (Acceso público)**, consulte [Modificación de una instancia de base de datos en un clúster de base de datos](Aurora.Modifying.md#Aurora.Modifying.Instance).
## Creación de un clúster de base de datos en una VPC
Los siguientes procedimientos le ayudan a crear un clúster de base de datos en una VPC. Para utilizar la VPC predeterminada, puede comenzar con el paso 2, y utilizar la VPC y el grupo de subredes de la base de datos que ya se han creado para usted. Si desea crear una VPC adicional, puede crear una VPC nueva.
**nota**
Si desea que un clúster de base de datos de la VPC sea accesible públicamente, debe actualizar la información de DNS para la VPC activando los atributos *DNS hostnames* y *DNS resolution* de la VPC. Para obtener información acerca de cómo actualizar la información de DNS para una instancia de VPC, consulte [Actualización de la compatibilidad de DNS para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html).
Siga estos pasos para crear una instancia de base de datos en una VPC:
+ [Paso 1: Crear una VPC](#USER_VPC.CreatingVPC)
+ [Paso 2: Crear un grupo de subredes de base de datos](#USER_VPC.CreateDBSubnetGroup)
+ [Paso 3: Crear un grupo de seguridad de VPC](#USER_VPC.CreateVPCSecurityGroup)
+ [Paso 4: Crear la instancia de base de datos en la VPC](#USER_VPC.CreateDBInstanceInVPC)
### Paso 1: Crear una VPC
Cree una VPC con subredes en al menos dos zonas de disponibilidad. Utilizará estas subredes cuando cree un grupo de subredes de base de datos. Si tiene una VPC predeterminada, se crea automáticamente una subred en cada zona de disponibilidad de la Región de AWS.
Para obtener más información, consulte [Creación de una VPC con subredes públicas y privadas](CHAP_Tutorials.WebServerDB.CreateVPC.md#CHAP_Tutorials.WebServerDB.CreateVPC.VPCAndSubnets) o [Creación de una VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) en la *Guía del usuario de Amazon VPC*.
### Paso 2: Crear un grupo de subredes de base de datos
Un grupo de subredes de base de datos es una colección de subredes (normalmente privadas) que se crean para una VPC y que después se asignan a los clústeres de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear clústeres de bases de datos utilizando la AWS CLI o API. Si utiliza la consola, solo puede elegir la VPC y las subredes que desea utilizar. Cada grupo de subredes de base de datos debe tener como mínimo una subred en al menos dos zonas de disponibilidad de la Región de AWS. Como práctica recomendada, cada grupo de subredes de base de datos debería tener al menos una subred por cada una de las zonas de disponibilidad en la Región de AWS.
Para que un clúster de base de datos sea accesible públicamente, las subredes del grupo de subredes de base de datos deben tener una puerta de enlace de Internet. Para obtener más información sobre las puertas de enlace de Internet, consulte [Conectar subredes a Internet por medio de una puerta de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) en la *Guía del usuario de Amazon VPC*.
Cuando crea una clúster de base de datos en una VPC, debe elegir un grupo de subredes de base de datos. Amazon Aurora elige una subred y una dirección IP dentro de esa subred para asociarla con el clúster de base de datos. Si no existen grupos de subredes de base de datos, Amazon Aurora crea un grupo de subredes predeterminado cuando se crea un clúster de base de datos. Amazon Aurora crea y asocia una interfaz de red elástica a su clúster de base de datos con esa dirección IP. El clúster de base de datos utiliza la zona de disponibilidad que contiene la subred.
En este paso, debe crear un grupo de subredes de base de datos y debe agregar las subredes que creó para la VPC.
**Para crear un grupo de subredes de base de datos**
1. Abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. En el panel de navegación, elija **Subnet groups**.
1. Elija **Create DB Subnet Group**.
1. En **Name**, escriba el nombre del grupo de subredes de base de datos.
1. En **Description**, escriba la descripción del grupo de opciones de base de datos.
1. Para la **VPC**, elija la VPC predeterminada o la VPC que ha creado.
1. En la sección **Agregar subredes**, elija las zonas de disponibilidad que incluyen las subredes en **Zonas de disponibilidad**, y, a continuación, elija las subredes en **Subredes**.
![\[Creación de un grupo de subredes de base de datos.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/RDSVPC101.png)
1. Seleccione **Create (Crear)**.
El nuevo grupo de subredes de base de datos aparece en la lista de grupos de subredes de base de datos de la consola de RDS. Puede elegir el grupo de subredes de base de datos para ver los detalles, incluidas todas las subredes asociadas al grupo, en el panel de detalles de la parte inferior de la ventana.
### Paso 3: Crear un grupo de seguridad de VPC
Antes de crear el clúster de base de datos, debe crear un grupo de seguridad de VPC para asociarlo a el clúster de base de datos. Si no crea un grupo de seguridad de VPC, puede utilizar el grupo de seguridad predeterminado cuando cree un clúster de base de datos. Para obtener instrucciones sobre cómo crear un grupo de seguridad para el clúster de base de datos, consulte [Creación de un grupo de seguridad de VPC para un clúster de base de datos privada](CHAP_Tutorials.WebServerDB.CreateVPC.md#CHAP_Tutorials.WebServerDB.CreateVPC.SecurityGroupDB) o consulte [Controlar el tráfico hacia los recursos mediante grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) en la *Guía del usuario de Amazon VPC*.
### Paso 4: Crear la instancia de base de datos en la VPC
En este paso, se crea un clúster de base de datos y se utiliza el nombre de la VPC, el grupo de subredes de base de datos y el grupo de seguridad de VPC creados en los pasos anteriores.
**nota**
Si desea que un clúster de base de datos de la VPC sea accesible públicamente, debe activar los atributos *DNS hostnames* y *DNS resolution* de la VPC. Para obtener más información, consulte [Atributos de DNS para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) en la *Guía del usuario de Amazon VPC*.
Para obtener más información sobre cómo crear un clúster de base de datos, consulte [Creación de un clúster de base de datos de Amazon Aurora](Aurora.CreateInstance.md).
Cuando la sección **Connectivity** (Conectividad) se lo pida, introduzca el nombre de la VPC, el grupo de subredes de base de datos y el grupo de seguridad de la VPC.
**nota**
La actualización de VPC no se admite actualmente para los clústeres de Aurora.
# Escenarios de acceso a un clúster de base de datos en una VPC
Amazon Aurora admite los siguientes escenarios para acceder a un clúster de base de datos en una VPC:
+ [Una instancia de Amazon EC2 de la misma VPC](#USER_VPC.Scenario1)
+ [Una instancia EC2 de otra VPC](#USER_VPC.Scenario3)
+ [Una aplicación cliente a través de Internet](#USER_VPC.Scenario4)
+ [Una red privada](#USER_VPC.NotPublic)
## Acceso a un clúster de base de datos en una VPC desde una instancia de Amazon EC2 de la misma VPC
Un uso común de un clúster de base de datos en una VPC es compartir datos con un servidor de aplicaciones que se ejecuta en una instancia de Amazon EC2 de la misma VPC.
En el siguiente diagrama se muestra este escenario.
![\[Escenario de una VPC con un servidor web público y una base de datos privada.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/con-VPC-sec-grp-aurora.png)
La forma más sencilla de administrar el acceso entre instancias EC2 e clústeres de bases de datos en la misma VPC es la siguiente:
+ Cree el grupo de seguridad de VPC al que pertenecerán los clústeres de bases de datos. Este grupo de seguridad se puede utilizar para restringir el acceso a los clústeres de bases de datos. Por ejemplo, puede crear una regla personalizada para este grupo de seguridad. Esto puede permitir el acceso TCP utilizando el puerto que asignó a el clúster de base de datos cuando lo creó y una dirección IP que utiliza para acceder a el clúster de base de datos para el desarrollo u otras finalidades.
+ Cree el grupo de seguridad de VPC al que pertenecerán las instancias EC2 (clientes y servidores web). Este grupo de seguridad puede, si es necesario, permitir el acceso a la instancia EC2 desde Internet a través de la tabla de enrutamiento de la VPC. Por ejemplo, puede establecer reglas en este grupo de seguridad para permitir el acceso mediante TCP a la instancia EC2 a través del puerto 22.
+ Cree reglas personalizadas en el grupo de seguridad para los clústeres de bases de datos que permitan las conexiones desde el grupo de seguridad que creó para las instancias EC2. Estas reglas podrían permitir a cualquier miembro del grupo de seguridad acceder a los clústeres de base de datos.
Hay una subred pública y privada adicional en una zona de disponibilidad independiente. Un grupo de subredes de base de datos de RDS requiere una subred en al menos dos zonas de disponibilidad. La subred adicional facilita el cambio a una implementación de instancia de base de datos multi-AZ en el futuro.
Para ver un tutorial que muestra cómo crear una VPC con subredes públicas y privadas para este escenario, consulte [Tutorial: Creación de una VPC para utilizarla con un clúster de base de datos (solo IPv4)](CHAP_Tutorials.WebServerDB.CreateVPC.md).
**sugerencia**
Puede configurar la conectividad de red entre una instancia de Amazon EC2 y un clúster de base de datos automáticamente al crear el clúster de base de datos. Para obtener más información, consulte [Configurar la conectividad de red automática con una instancia de EC2](Aurora.CreateInstance.md#Aurora.CreateInstance.Prerequisites.VPC.Automatic) .
**Para crear una regla en un grupo de seguridad de VPC que permita establecer conexiones desde otro grupo de seguridad, haga lo siguiente:**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc](https://console.aws.amazon.com/vpc).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Elija o cree el grupo de seguridad al que desea que puedan tener acceso los miembros de otro grupo de seguridad. En el escenario anterior, este es el grupo de seguridad que utiliza para los clústeres de base de datos. Elija la pestaña **Inbound Rules (Reglas de entrada)** y, a continuación, elija **Edit inbound rules (Editar reglas de entrada)**.
1. En la página **Edit inbound rules (Editar reglas de entrada)**, elija **Add Rule (Agregar regla)**.
1. En **Type (Tipo)**, elija la entrada que corresponda al puerto que utilizó al crear el clúster de base de datos, como **MySQL/Aurora**.
1. En el cuadro **Origen**, comience a escribir el ID del grupo de seguridad, que enumera los grupos de seguridad coincidentes. Elija el grupo de seguridad cuyos miembros desea que tengan acceso a los recursos protegidos por este grupo de seguridad. En el escenario anterior, este es el grupo de seguridad que utiliza para su instancia EC2.
1. Si es necesario, repita los pasos para el protocolo TCP creando una regla con **Todo TCP** en el campo **Tipo** y con el grupo de seguridad en el campo **Origen**. Si va a utilizar el protocolo UDP, cree una regla con **All UDP (Todo UDP)** en el campo **Type (Tipo)** y con el grupo de seguridad en el campo **Source (Origen)**.
1. Seleccione **Guardar reglas**.
La siguiente pantalla muestra una regla de entrada con un grupo de seguridad para su origen.
![\[Adición de un grupo de seguridad a las reglas de otro grupo de seguridad.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/con-vpc-add-sg-rule.png)
Para obtener más información sobre cómo conectarse al clúster de base de datos desde su instancia de EC2, consulte [Conexión a un clúster de base de datos Amazon Aurora](Aurora.Connecting.md).
## Acceso a un clúster de base de datos en una VPC desde una instancia EC2 de otra VPC
Cuando un clúster de base de datos está en una VPC que no coincide con la de la instancia EC2 que se está utilizando para obtener acceso a ella, puede usar la interconexión con VPC para obtener acceso a el clúster de base de datos.
En el siguiente diagrama se muestra este escenario.
![\[Acceso a una instancia de base de datos en una VPC desde una instancia de Amazon EC2 de otra VPC.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/RDSVPC2EC2VPC-aurora.png)
Una conexión de emparejamiento de VPC es una conexión de redes entre dos VPC que permite direccionar el tráfico entre ellas mediante direcciones IP privadas. Los recursos de ambas VPC se pueden comunicar entre sí siempre que se encuentren en la misma red. Puede crear una conexión de emparejamiento de VPC entre sus propias VPC, con una VPC de otra cuenta de AWS o con una VPC de otra Región de AWS. Para obtener más información sobre las interconexiones de VPC, consulte [Interconexión con VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) en la *Guía de usuario de Amazon Virtual Private Cloud*.
## Acceso a un clúster de base de datos en una VPC desde una aplicación cliente a través de internet
Para acceder a un clúster de base de datos en una VPC desde una aplicación cliente a través de internet, configure una VPC con una subred pública única y una puerta de enlace de Internet para permitir la comunicación a través de internet.
En el siguiente diagrama se muestra este escenario.
![\[Acceso a un clúster de base de datos en una VPC desde una aplicación cliente a través de internet.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/GS-VPC-network-aurora.png)
Recomendamos la siguiente configuración:
+ Una VPC de tamaño /16 (por ejemplo, CIDR: 10.0.0.0/16). Este tamaño proporciona 65 536 direcciones IP privadas.
+ Una subred de tamaño /24 (por ejemplo, CIDR: 10.0.0.0/24). Este tamaño proporciona 256 direcciones IP privadas.
+ Un clúster de base de datos de Amazon Aurora que se ha asociado a la VPC y a la subred. Amazon RDS asigna una dirección IP de la subred a el clúster de base de datos.
+ Una gateway de Internet que conecte la VPC a Internet y a otros productos de AWS.
+ Un grupo de seguridad asociado a el clúster de base de datos. Las reglas de entrada del grupo de seguridad permiten a la aplicación cliente obtener acceso a el clúster de base de datos.
Para obtener información acerca de la creación de un clúster de base de datos en una VPC, consulte [Creación de un clúster de base de datos en una VPC](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.InstanceInVPC).
## Un clúster de base de datos en una VPC a la que se accede mediante una red privada
Si su clúster de base de datos no es accesible públicamente, tiene las siguientes opciones para acceder a ella desde una red privada:
+ Una conexión de Site-to-Site VPN de AWS. Para obtener más información, consulte [¿Qué es AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Una conexión de Direct Connect. Para obtener más información, consulte [¿Qué es Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ Una conexión de AWS Client VPN. Para obtener más información, consulte [¿Qué es AWS Client VPN?](https://docs.aws.amazon.com//vpn/latest/clientvpn-admin/what-is.html)
El siguiente diagrama muestra un escenario con una conexión de Site-to-site VPN AWS.
![\[Acceso a clústeres de bases de datos en una VPC desde una red privada.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/site-to-site-vpn-connection-aurora.png)
Para obtener más información, consulte [Privacidad del tráfico entre redes](inter-network-traffic-privacy.md).
# Tutorial: Creación de una VPC para utilizarla con un clúster de base de datos (solo IPv4)
Un escenario común incluye un clúster de base de datos en una nube privada virtual (VPC) basada en el servicio Amazon VPC. Esta VPC comparte datos con un servidor web que se ejecuta en la misma VPC. En este tutorial se crea la VPC para este escenario.
En el siguiente diagrama se muestra este escenario. Para obtener información acerca de otros escenarios, consulte [Escenarios de acceso a un clúster de base de datos en una VPC](USER_VPC.Scenarios.md).
![\[Escenario de VPC única\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/con-VPC-sec-grp-aurora.png)
Su clúster de bases de datos debe estar disponible únicamente para su servidor web, y no para la Internet pública. Además, cree de una VPC con subredes públicas y privadas. El servidor web está alojado en la subred pública, para que pueda obtener acceso a la red pública de internet. El clúster de base de datos se aloja en una subred privada. El servidor web puede conectarse a el clúster de base de datos porque se aloja en la misma VPC. Sin embargo, el clúster de base de datos no está disponible en la red pública de internet, lo que proporciona mayor seguridad.
Este tutorial configura una subred pública y privada adicional en una zona de disponibilidad independiente. En el tutorial no se utilizan estas subredes. Un grupo de subredes de base de datos de RDS requiere una subred en al menos dos zonas de disponibilidad. La subred adicional facilita la configuración de más de una instancia de base de datos de Aurora.
En este tutorial se describe la configuración de una VPC para clústeres de bases de datos de Amazon Aurora de . Para ver un tutorial que muestra cómo crear un servidor web para este escenario de la VPC, consulte [Explicación: crear un servidor web y un clúster de base de datos de Amazon Aurora](TUT_WebAppWithRDS.md). Para obtener más información sobre Amazon VPC, consulte la [guía de introducción de Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/) y la [guía del usuario de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
**sugerencia**
Puede configurar la conectividad de red entre una instancia de Amazon EC2 y un clúster de base de datos automáticamente al crear el clúster de base de datos. La configuración de red es similar a la que se describe en este tutorial. Para obtener más información, consulte [Configurar la conectividad de red automática con una instancia de EC2](Aurora.CreateInstance.md#Aurora.CreateInstance.Prerequisites.VPC.Automatic).
## Creación de una VPC con subredes públicas y privadas
Utilice el siguiente procedimiento para crear una VPC con subredes públicas y privadas.
**Para crear una VPC y las subredes**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En la esquina superior derecha de la Consola de administración de AWS, elija la región en la que desea crear la VPC. En este ejemplo se utiliza la región Oeste de EE. UU. (Oregón).
1. En la esquina superior izquierda, elija **VPC Dashboard (Panel de control VPC)**. Para comenzar a crear una VPC, elija **Create VPC (Crear una VPC)**.
1. En **Resources to create (Recursos para crear)**, en **VPC settings (Configuración VPC)**, elija **VPC and more (VPC y más)**.
1. En **VPC settings (Configuración de la VPC)**, establezca estos valores:
+ **Name tag auto-generation (Generación automática de etiquetas de nombre)**: **tutorial**
+ **IPv4 CIDR block (Bloque de CIDR IPv4)**: **10.0.0.0/16**
+ **IPv6 CIDR block (Bloque de CIDR IPv6)**: **ningún bloque de CIDR IPv6**
+ **Tenancy (Tenencia)**: **predeterminada**
+ **Number of Availability Zones (AZs) (Número de zonas de disponibilidad)**: **2**
+ **Customize AZs (Personalizar AZ)**: conserve los valores predeterminados.
+ **Number of public subnet (Número de subredes públicas)**: **2**
+ **Number of private subnets (Número de subredes privadas)**: **2**
+ **Customize subnets CIDR blocks (Personalizar bloques CIDR de subredes)**: conserve los valores predeterminados.
+ **NAT gateways (\$1) (Puertas de enlace NAT)**: **ninguna**
+ **VPC endpoints (Puntos de conexión de VPC)**: **ninguna**
+ **DNS options (Opciones de DNS)**: conserve los valores predeterminados.
1. Seleccione **Creación de VPC**.
## Creación de un grupo de seguridad de VPC para un servidor web público
Primero debe crear un grupo de seguridad para el acceso público. Para conectarse a instancias de EC2 públicas en su VPC, añada reglas de entrada a su grupo de seguridad de VPC. Permiten que el tráfico se conecte desde Internet.
**Para crear un grupo de seguridad de VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Elija **VPC Dashboard (Panel VPC)**, seguido de **Security Groups (Grupos de seguridad)** y, por último, **Create Security Group (Crear grupo de seguridad)**.
1. En la página **Create Security Group (Crear grupo de seguridad)**, establezca estos valores:
+ **Security group name (Nombre de grupo de seguridad:** **tutorial-securitygroup**
+ **Description:** **Tutorial Security Group**
+ **VPC**: elija la VPC que creó en el paso anterior, por ejemplo, **vpc-*identificador*(tutorial-vpc)**
1. Agregar reglas de entrada al grupo de seguridad
1. Determine la dirección IP que usará para conectarse a las instancias de EC2 mediante Secure Shell (SSH). Para determinar su dirección IP pública, en una ventana o pestaña distinta del navegador, puede utilizar el servicio en [https://checkip.amazonaws.com](https://checkip.amazonaws.com). Un ejemplo de dirección IP es `203.0.113.25/32`.
En muchos casos, puede conectarse a través de un proveedor de servicios de internet (ISP) o protegido por un firewall sin una dirección IP estática. Si es así, busque el rango de direcciones IP utilizadas por los ordenadores cliente.
**aviso**
Si utiliza `0.0.0.0/0` para el acceso SSH, permita que todas las direcciones IP accedan a sus instancias públicas mediante SSH. Este método es aceptable para un periodo de tiempo corto en un entorno de prueba, pero no es seguro en entornos de producción. En entornos de producción, solo debe autorizar una dirección IP específica o un intervalo de direcciones para acceder a sus instancias mediante SSH.
1. En la sección **Inbound rules (Reglas de entrada)**, elija **Add rule (agregar regla)**.
1. Establezca los siguientes valores para la regla de entrada nueva con objeto de permitir el acceso SSH a la instancia de Amazon EC2. Si lo hace, puede conectarse a la instancia de Amazon EC2 para instalar el servidor web y otras utilidades. También puede conectarse a su instancia de EC2 para cargar contenido para el servidor web.
+ **Tipo:** **SSH**
+ **Origen:** la dirección IP o el rango de direcciones del Paso a, por ejemplo **203.0.113.25/32**.
1. Seleccione **Add rule (Agregar regla)**.
1. Establezca los siguientes valores para la regla de entrada nueva con objeto de permitir el acceso HTTP al servidor web.
+ **Tipo:** **HTTP**
+ **Source:** **0.0.0.0/0**
1. Para crear el grupo de seguridad, elija **Create security group (Crear grupo de seguridad)**.
Anote el ID del grupo de seguridad, ya que lo necesitará más tarde en este tutorial.
## Creación de un grupo de seguridad de VPC para un clúster de base de datos privada
Para que un clúster de base de datos sea privada, debe crear un segundo grupo de seguridad para el acceso privado. Para conectarse a clústeres de base de datos privada en la VPC, agregue reglas de entrada al grupo de seguridad de la VPC que permitan el tráfico solo desde el servidor web.
**Para crear un grupo de seguridad de VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Elija **VPC Dashboard (Panel VPC)**, seguido de **Security Groups (Grupos de seguridad)** y, por último, **Create Security Group (Crear grupo de seguridad)**.
1. En la página **Create Security Group (Crear grupo de seguridad)**, establezca estos valores:
+ **Security group name (Nombre de grupo de seguridad:** **tutorial-db-securitygroup**
+ **Description:** **Tutorial DB Instance Security Group**
+ **VPC**: elija la VPC que creó en el paso anterior, por ejemplo, **vpc-*identificador*(tutorial-vpc)**
1. Agregar reglas de entrada al grupo de seguridad
1. En la sección **Inbound rules (Reglas de entrada)**, elija **Add rule (gregar regla)**.
1. Establezca los siguientes valores para la regla de entrada nueva con objeto de permitir el tráfico de MySQL en el puerto 3306 desde la instancia de Amazon EC2. Si lo hace, podrá conectarse desde su servidor web a su clúster de base de datos. Si lo hace, puede almacenar y recuperar datos en la base de datos desde la aplicación web.
+ **Tipo:** **MySQL/Aurora**
+ **Source (Origen):** el identificador del grupo de seguridad **tutorial-securitygroup** que creó anteriormente en este tutorial, por ejemplo, **sg-9edd5cfb**.
1. Para crear el grupo de seguridad, elija **Create security group (Crear grupo de seguridad)**.
## Creación de un grupo de subredes de base de datos
Un *grupo de subredes de base de datos* es una colección de subredes que se crea en una VPC y que después se asigna a los clústeres de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear clústeres de bases de datos.
**Para crear un grupo de subredes de base de datos**
1. Identifique las subredes privadas de la base de datos en la VPC.
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **VPC Dashboard (Panel de control de VPC)** y, a continuación, seleccione **Subnets (Subredes)**.
1. Observe los ID de subred de las subredes denominadas **tutorial-subred-private1-us-west-2a** y**tutorial-subnet-private2-us-west-2b**.
Necesitará los ID de subred cuando cree el grupo de subredes de base de datos.
1. Abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
Asegúrese de conectarse a la consola de Amazon RDS, no a la consola de Amazon VPC.
1. En el panel de navegación, elija **Subnet groups**.
1. Elija **Create DB Subnet Group (Crear grupo de subredes de base de datos)**.
1. En la página **Create DB subnet group (Crear grupo de subredes de base de datos)**, establezca estos valores en **Subnet group details (Detalles del grupo de subredes)**:
+ **Name:** **tutorial-db-subnet-group**
+ **Description:** **Tutorial DB Subnet Group**
+ **VPC:** **tutorial-vpc (vpc-*identificador*)**
1. En la sección **Agregar subredes** elija las **Zonas de disponibilidad** y **Subredes**.
Para este tutorial, elija **us-west-2a** y **us-west-2b** en **Availability Zones (Zonas de disponibilidad)**. En **Subnets (Subredes)**, elija las subredes privadas que identificó en el paso anterior.
1. Seleccione **Crear**.
El nuevo grupo de subredes de base de datos aparece en la lista de grupos de subredes de base de datos de la consola de RDS. Puede elegir el grupo de subredes de base de datos para ver los detalles en el panel de detalles de la parte inferior de la ventana. Estos detalles incluyen todas las subredes asociadas al grupo.
**nota**
Si creó esta VPC para completar [Explicación: crear un servidor web y un clúster de base de datos de Amazon Aurora](TUT_WebAppWithRDS.md), cree el clúster de la de base de datos siguiendo las instrucciones que se indican en [Crear un clúster de base de datos de Amazon Aurora](CHAP_Tutorials.WebServerDB.CreateDBCluster.md).
## Eliminación de la VPC
Después de crear la VPC y otros recursos para este tutorial, puede eliminarlos si ya no son necesarios.
**nota**
Si agregó recursos en la VPC que creó para este tutorial, es posible que primero tenga que eliminar estos para poder eliminar la VPC. Por ejemplo, estos recursos pueden incluir instancias de Amazon EC2 o clústeres de base de datos de Amazon RDS. Para obtener más información, consulte [Eliminación de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting) en la *Guía del usuario de Amazon VPC*.
**Para eliminar una VPC y los recursos relacionados**
1. Elimine el grupo de subred de base de datos.
1. Abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. En el panel de navegación, elija **Subnet groups**.
1. Seleccione el grupo de subred de base de datos que desea eliminar, como **tutorial-db-subnet-group**.
1. Elija **Eliminar** y, a continuación, elija **Eliminar** en la ventana de confirmación.
1. Anote el ID de la VPC.
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **VPC Dashboard (Panel de control de VPC)** y, a continuación, seleccione **VPCs**.
1. En la lista, identifique la VPC que creó, como, por ejemplo, **tutorial-vpc**.
1. Anote el **ID de la VPC** que ha creado. Necesitará el ID de la VPC en pasos posteriores.
1. Elimine los grupos de seguridad.
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **Panel de control de VPC** y, a continuación, seleccione **Grupos de seguridad**.
1. Seleccione el grupo de seguridad de la instancia de base de datos de Amazon RDS, como, por ejemplo, **tutorial-db-securitygroup**.
1. En **Actions (Acciones)**, elija **Delete security groups (Eliminar grupos de seguridad)** y, a continuación, seleccione **Delete (Eliminar)** en la página de confirmación.
1. En la página **Grupos de seguridad**, seleccione el grupo de seguridad para la instancia de Amazon EC2, como, por ejemplo, **tutorial-securitygroup**.
1. En **Actions (Acciones)**, elija **Delete security groups (Eliminar grupos de seguridad)** y, a continuación, seleccione **Delete (Eliminar)** en la página de confirmación.
1. Eliminación de la VPC
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **VPC Dashboard (Panel de control de VPC)** y, a continuación, seleccione **VPCs**.
1. Seleccione la VPC que desea eliminar, como, por ejemplo **tutorial-vpc**.
1. En **Actions (Acciones)**, elija **Delete VPC (Eliminar VPC)**.
La página de confirmación muestra otros recursos asociados a la VPC que también se eliminarán, incluidas las subredes asociadas a ella.
1. En la página de confirmación, introduzca **delete** y elija **Eliminar**.
# Tutorial: Creación de una VPC para utilizarla con un clúster de base de datos (modo de pila doble)
Un escenario común incluye un clúster de base de datos en una nube privada virtual (VPC) basada en el servicio Amazon VPC. Esta VPC comparte datos con una instancia de Amazon EC2 pública que se ejecuta en la misma VPC.
En este tutorial, creará la VPC para este escenario que funciona con una base de datos que se ejecuta en modo de pila doble. Modo de doble pila para permitir la conexión a través del protocolo de direccionamiento IPv6. Para obtener más información sobre el direccionamiento de IP, consulte [Direccionamiento IP de Amazon Aurora](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.IP_addressing).
Los clústeres de red de doble pila se admiten en la mayoría de las regiones. Para obtener más información consulte () [Disponibilidad de clústeres de base de datos de red de pila doble](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.IP_addressing.dual-stack-availability). Para ver las limitaciones del modo de doble pila, consulte [Limitaciones de clústeres de base de datos de red de pila doble](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.IP_addressing.dual-stack-limitations).
En el siguiente diagrama se muestra este escenario.
![\[Escenario de VPC para el modo de pila doble\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/con-VPC-sec-grp-dual-stack-aurora.png)
Para obtener información acerca de otros escenarios, consulte [Escenarios de acceso a un clúster de base de datos en una VPC](USER_VPC.Scenarios.md).
Su clúster de base de datos debe estar disponible únicamente para su instancia de Amazon EC2, y no para la Internet pública. Además, cree de una VPC con subredes públicas y privadas. La instancia de Amazon EC2 está alojada en la subred pública, para que pueda acceder a la red pública de internet. El clúster de base de datos se aloja en una subred privada. La instancia de Amazon EC2 se puede conectar a el clúster de base de datos porque se aloja en la misma VPC. Sin embargo, el clúster de base de datos no está disponible en la red pública de internet, lo que proporciona mayor seguridad.
Este tutorial configura una subred pública y privada adicional en una zona de disponibilidad independiente. En el tutorial no se utilizan estas subredes. Un grupo de subredes de base de datos de RDS requiere una subred en al menos dos zonas de disponibilidad. La subred adicional facilita la configuración de más de una instancia de base de datos de Aurora.
Para crear un clúster de base de datos que utilice el modo de pila doble, especifique **Dual-stack mode (Modo pila doble)** en el ajuste **Network type (Tipo de red)**. También puede modificar un clúster de base de datos con el mismo ajuste. Para obtener más información acerca de la creación de un clúster de base de datos, consulte [Creación de un clúster de base de datos de Amazon Aurora](Aurora.CreateInstance.md). Para obtener más información sobre la modificación de un clúster de base de datos, consulte [Modificación de un clúster de base de datos de Amazon Aurora](Aurora.Modifying.md).
En este tutorial se describe la configuración de una VPC para clústeres de bases de datos de Amazon Aurora de . Para obtener más información acerca de Amazon VPC, consulte la [Guía del usuario de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
## Creación de una VPC con subredes públicas y privadas
Utilice el siguiente procedimiento para crear una VPC con subredes públicas y privadas.
**Para crear una VPC y las subredes**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En la esquina superior derecha de la Consola de administración de AWS, elija la región en la que desea crear la VPC. En este ejemplo se utiliza la región Este de EE. UU. (Ohio).
1. En la esquina superior izquierda, elija **VPC Dashboard (Panel de control VPC)**. Para comenzar a crear una VPC, elija **Create VPC (Crear una VPC)**.
1. En **Resources to create (Recursos para crear)**, en **VPC settings (Configuración VPC)**, elija **VPC and more (VPC y más)**.
1. Para el resto de opciones de **VPC settings (Configuración de la VPC)**, defina estos valores:
+ **Name tag auto-generation (Generación automática de etiquetas de nombre** – **tutorial-dual-stack**
+ **IPv4 CIDR block (Bloque de CIDR IPv** – **10.0.0.0/16**
+ **IPv6 CIDR block (Bloque de CIDR IPv6)**: **bloque de CIDR IPv6 proporcionado por Amazon**
+ **Tenancy (Tenencia)**: **predeterminada**
+ **Number of Availability Zones (AZs) (Número de zonas de disponibilidad)** – **2**
+ **Customize AZs (Personalizar AZ)**: conserve los valores predeterminados.
+ **Number of public subnet (Número de subredes públicas** – **2**
+ **Number of private subnets (Número de subredes privadas** – **2**
+ **Customize subnets CIDR blocks (Personalizar bloques CIDR de subredes)**: conserve los valores predeterminados.
+ **NAT gateways (\$1) (Puertas de enlace NAT)**: **ninguna**
+ **Egress only internet gateway (Puerta de enlace de internet solo de salida)**: **no**
+ **VPC endpoints (Puntos de conexión de VPC)**: **ninguna**
+ **DNS options (Opciones de DNS)**: conserve los valores predeterminados.
**nota**
Amazon RDS requiere al menos dos subredes en dos zonas de disponibilidad diferentes para admitir implementaciones de instancias de base de datos multi-AZ. En este tutorial se crea una implementación Single-AZ, pero el requisito facilita la conversión a una implementación de instancia de base de datos Multi-AZ en el futuro.
1. Seleccione **Creación de VPC**.
## Para crear un grupo de seguridad de la VPC para una instancia de Amazon EC2 pública
Primero debe crear un grupo de seguridad para el acceso público. Para conectarse a instancias EC2 públicas, añada reglas de entrada al grupo de seguridad de la VPC que permitan el tráfico para las conexiones desde internet.
**Para crear un grupo de seguridad de VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Elija **VPC Dashboard (Panel VPC)**, seguido de **Security Groups (Grupos de seguridad)** y, por último, **Create Security Group (Crear grupo de seguridad)**.
1. En la página **Create Security Group (Crear grupo de seguridad)**, establezca estos valores:
+ **Security group name (Nombre de grupo de seguridad:** **tutorial-dual-stack-securitygroup**
+ **Description:** **Tutorial Dual-Stack Security Group**
+ **VPC**: elija la VPC que creó en el paso anterior, por ejemplo, **vpc-*identificador*(tutorial-dual-stack-vpc)**
1. Agregar reglas de entrada al grupo de seguridad
1. Determine la dirección IP que usará para conectarse a las instancias de EC2 mediante Secure Shell (SSH).
Un ejemplo de dirección del protocolo de internet versión 4 (IPv4) es `203.0.113.25/32`. Un ejemplo de rango de direcciones del protocolo de internet versión 6 (IPv6) es `2001:db8:1234:1a00::/64`.
En muchos casos, puede conectarse a través de un proveedor de servicios de internet (ISP) o protegido por un firewall sin una dirección IP estática. Si es así, busque el rango de direcciones IP utilizadas por los ordenadores cliente.
**aviso**
Si utiliza `0.0.0.0/0` para IPv4 o `::0` para IPv6, permitirá que todas las direcciones IP tengan acceso a las instancias públicas mediante SSH. Este método es aceptable para un periodo de tiempo corto en un entorno de prueba, pero no es seguro en entornos de producción. En los entornos de producción, debe autorizar el acceso a sus instancias únicamente a una dirección IP o a un rango de direcciones IP específicos.
1. En la sección **Inbound rules (Reglas de entrada)**, elija **Add rule (agregar regla)**.
1. Establezca los siguientes valores para la regla de entrada nueva con objeto de permitir el acceso Secure Shell (SSH) a la instancia de Amazon EC2. Si lo hace, podrá conectarse a la instancia de EC2 para instalar clientes SQL y otras aplicaciones. Especifique una dirección IP para permitir poder acceder a su instancia de EC2:
+ **Tipo:** **SSH**
+ **Origen:** la dirección IP o el rango del paso a. Un ejemplo de dirección IP IPv4 es **203.0.113.25/32**. Un ejemplo de dirección IP IPv6 es **2001:DB8::/32**.
1. Para crear el grupo de seguridad, elija **Create security group (Crear grupo de seguridad)**.
Anote el ID del grupo de seguridad, ya que lo necesitará más tarde en este tutorial.
## Creación de un grupo de seguridad de VPC para un clúster de base de datos privada
Para que un clúster de base de datos sea privada, debe crear un segundo grupo de seguridad para el acceso privado. Para conectarse a clústeres de base de datos privadas en su VPC, añada reglas de entrada a su grupo de seguridad de VPC. Estos permiten el tráfico de su instancia de Amazon EC2 solamente.
**Para crear un grupo de seguridad de VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Elija **VPC Dashboard (Panel VPC)**, seguido de **Security Groups (Grupos de seguridad)** y, por último, **Create Security Group (Crear grupo de seguridad)**.
1. En la página **Create Security Group (Crear grupo de seguridad)**, establezca estos valores:
+ **Security group name (Nombre de grupo de seguridad:** **tutorial-dual-stack-db-securitygroup**
+ **Description:** **Tutorial Dual-Stack DB Instance Security Group**
+ **VPC**: elija la VPC que creó en el paso anterior, por ejemplo, **vpc-*identificador*(tutorial-dual-stack-vpc)**
1. Agregar reglas de entrada al grupo de seguridad:
1. En la sección **Inbound rules (Reglas de entrada)**, elija **Add rule (gregar regla)**.
1. Establezca los siguientes valores para la regla de entrada nueva con objeto de permitir el tráfico de MySQL en el puerto 3306 desde la instancia de Amazon EC2. Si lo hace, podrá conectarse desde su instancia de EC2 a su clúster de base de datos. Esto significa que puede enviar datos desde la instancia de EC2 a la base de datos.
+ **Type** (Tipo): **MySQL/Aurora**
+ **Source (Origen):** identificador del grupo de seguridad **tutorial-dual-stack-securitygroup** que creó anteriormente en este tutorial, por ejemplo, **sg-9edd5cfb**.
1. Para crear el grupo de seguridad, elija **Crear grupo de seguridad**.
## Creación de un grupo de subredes de base de datos
Un *grupo de subredes de base de datos* es una colección de subredes que se crea en una VPC y que después se asigna a los clústeres de bases de datos. Un grupo de subredes de base de datos le permite especificar una VPC específica al crear clústeres de bases de datos. Para crear un grupo de subredes de base de datos que sea compatible con `DUAL`, todas las subredes deben ser compatibles con `DUAL`. Para que sea compatible con `DUAL`, una subred debe tener asociado un CIDR IPv6.
**Para crear un grupo de subredes de base de datos**
1. Identifique las subredes privadas de la base de datos en la VPC.
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **VPC Dashboard (Panel de control de VPC)** y, a continuación, seleccione **Subnets (Subredes)**.
1. Anote los ID de subred de las subredes denominadas **tutorial-subred-dual-stack-private1-us-west-2a** y **tutorial-subred-dual-stack-private2-us-west-2b**.
Necesitará los ID de subred cuando cree el grupo de subredes de base de datos.
1. Abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
Asegúrese de conectarse a la consola de Amazon RDS, no a la consola de Amazon VPC.
1. En el panel de navegación, elija **Subnet groups**.
1. Elija **Create DB Subnet Group (Crear grupo de subredes de base de datos)**.
1. En la página **Create DB subnet group (Crear grupo de subredes de base de datos)**, establezca estos valores en **Subnet group details (Detalles del grupo de subredes)**:
+ **Name:** **tutorial-dual-stack-db-subnet-group**
+ **Description:** **Tutorial Dual-Stack DB Subnet Group**
+ **VPC:** **tutorial-dual-stack-vpc (vpc-*identificador*)**
1. En la sección **Add subnets (Agregar subredes)** elija las **Availability Zones (Zonas de disponibilidad)** y las **Subnets (Subredes)**.
Para este tutorial, elija **us-east-2a** y **us-east-2b** en **Availability Zones (Zonas de disponibilidad)**. En **Subnets (Subredes)**, elija las subredes privadas que identificó en el paso anterior.
1. Seleccione **Crear**.
El nuevo grupo de subredes de base de datos aparece en la lista de grupos de subredes de base de datos de la consola de RDS. Puede elegir el grupo de subredes de base de datos para ver la información detallada, que incluye los protocolos de direcciones compatibles y todas las subredes asociadas al grupo y al tipo de red admitidos por el grupo de subredes de base de datos.
## Crear una instancia de Amazon EC2 en el modo de pila doble
Para crear una instancia de Amazon EC2, siga las instrucciones indicadas en [Lanzar una instancia con el nuevo asistente de inicialización de instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance-wizard.html) en la *Guía del usuario de Amazon EC2*.
En la página **Configure Instance Details (Configurar detalles de instancia)**, defina estos valores y mantenga los demás con sus valores predeterminados:
+ **Red**: elija una VPC existente con las subredes pública y privada, como **tutorial-dual-stack-vpc** (vpc-*identificador*) creada en [Creación de una VPC con subredes públicas y privadas](#CHAP_Tutorials.CreateVPCDualStack.VPCAndSubnets)
+ **Subnet (Subred)**: elija una subred pública existente, como **subnet-*identificador* \$1 tutorial-dual-stack-subnet-public1-us-east-2a \$1 us-east-2a**, creada en [Para crear un grupo de seguridad de la VPC para una instancia de Amazon EC2 pública](#CHAP_Tutorials.CreateVPCDualStack.SecurityGroupEC2).
+ **Auto-assign Public IP (Asignar automáticamente IP pública)**: elija **Enable (Habilitar)**.
+ **Auto-assign IPv6 IP (Asignar automáticamente IP IPv6)**: elija **Enable (Habilitar)**.
+ **Firewall (security groups) (Firewall [grupos de seguridad])**: elija **Select an existing security group (Seleccionar un grupo de seguridad existente)**.
+ **Common security groups** (Grupos de seguridad comunes): elija un grupo de seguridad existente, como el `tutorial-securitygroup` creado en [Para crear un grupo de seguridad de la VPC para una instancia de Amazon EC2 pública](#CHAP_Tutorials.CreateVPCDualStack.SecurityGroupEC2). Asegúrese de que el grupo de seguridad que elija incluya reglas de entrada para acceso Secure Shell (SSH) y HTTP.
## Crear un clúster de base de datos en el modo de pila doble
En este paso, debe crear un clúster de base de datos que se ejecute en modo de pila doble.
**Para crear una instancia de base de datos**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. En la esquina superior derecha de la consola, elija la Región de AWS en la que desea crear el clúster de base de datos. En este ejemplo se utiliza la región Este de EE. UU. (Ohio).
1. En el panel de navegación, elija **Databases** (Bases de datos).
1. Elija **Create database (Creación de base de datos)**.
1. En la página **Create database (Crear base de datos)**, asegúrese de que la opción **Standard Create (Creación estándar)** esté seleccionada y luego, elija el tipo de motor de base de datos Aurora MySQL.
1. En la sección **Conectivity (Conectividad)**, establezca estos valores:
+ **Network type (Tipo de red)**: elija **Dual-stack mode (Modo de pila doble)**
![\[Sección Network type (Tipo de red) de la consola con Dual-stack mode (Modo de pila doble) seleccionado\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/dual-stack-mode.png)
+ **Virtual private cloud (VPC) (Nube privada virtual [VPC])**: elija una VPC existente con las subredes pública y privada, como **tutorial-dual-stack-vpc** (vpc-*identificador*) creada en [Creación de una VPC con subredes públicas y privadas](#CHAP_Tutorials.CreateVPCDualStack.VPCAndSubnets)
La VPC debe tener subredes en diferentes zonas de disponibilidad.
+ **DB subnet group (Grupo de subredes de base de datos)**: grupo de subredes de base de datos para la VPC, como **tutorial-dual-stack-db-subnet-group**, creado en [Creación de un grupo de subredes de base de datos](#CHAP_Tutorials.CreateVPCDualStack.DBSubnetGroup)
+ **Public access (Acceso público)**: elija **No**.
+ **VPC security group (firewall) (Grupo de seguridad de VPC [firewall])**: seleccione **Choose existing (Elegir existente)**.
+ **Existing VPC security groups (Grupos de seguridad de la VPC existentes)**: elija un grupo de seguridad de la VPC existente configurado para el acceso público, como **tutorial-dual-stack-db-securitygroup** creado en [Creación de un grupo de seguridad de VPC para un clúster de base de datos privada](#CHAP_Tutorials.CreateVPCDualStack.SecurityGroupDB).
Elimine otros grupos de seguridad, como el grupo de seguridad predeterminado, seleccionando la **X** asociada con cada uno de ellos.
+ **Availability Zone (Zona de disponibilidad)**: elija **us-west-2a**.
Para evitar el tráfico entre zonas de disponibilidad, asegúrese de que la instancia de base de datos y la instancia de EC2 estén en la misma zona de disponibilidad.
1. En el resto de secciones, especifique los ajustes de configuración del clúster de base de datos. Para obtener más información acerca de cada ajuste, consulte [Configuración de clústeres de bases de datos de Aurora](Aurora.CreateInstance.md#Aurora.CreateInstance.Settings).
## Conectarse a la instancia de Amazon EC2 y a el clúster de base de datos
Después de crear el clúster de base de datos y la instancia de Amazon EC2 en el modo de pila doble, puede conectarse a cada una mediante el protocolo IPv6. Para conectarse a una instancia de Amazon EC2 mediante el protocolo IPv6, siga las instrucciones indicadas en [Conexión con la instancia de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html) en la *Guía del usuario de Amazon EC2*.
Para conectarse al clúster de base de datos de Aurora MySQL desde la instancia de Amazon EC2, siga las instrucciones de [Conectarse a un clúster de base de datos de Aurora MySQL](CHAP_GettingStartedAurora.CreatingConnecting.Aurora.md#CHAP_GettingStartedAurora.Aurora.Connect).
## Eliminación de la VPC
Después de crear la VPC y otros recursos para este tutorial, puede eliminarlos si ya no son necesarios.
Si agregó recursos en la VPC que creó para este tutorial, es posible que primero tenga que eliminar estos para poder eliminar la VPC. Algunos ejemplos de recursos son las instancias de Amazon EC2 o los clústeres de base de datos. Para obtener más información, consulte [Eliminación de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting) en la *Guía del usuario de Amazon VPC*.
**Para eliminar una VPC y los recursos relacionados**
1. Elimine el grupo de subredes de base de datos:
1. Abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. En el panel de navegación, elija **Subnet groups**.
1. Seleccione el grupo de subredes de base de datos a eliminar, como **tutorial-db-subnet-group**.
1. Elija **Delete (Eliminar)** y, a continuación, elija **Delete (Eliminar)** en la ventana de confirmación.
1. Anote el ID de la VPC:
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **VPC Dashboard (Panel de control de VPC)** y, a continuación, seleccione **VPCs**.
1. En la lista, identifique la VPC que creó, como, por ejemplo, **tutorial-dual-stack-vpc**.
1. Anote el **ID de la VPC** que ha creado. Necesitará el ID de la VPC en los pasos subsiguientes.
1. Elimine los grupos de seguridad:
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **VPC Dashboard (Panel de control de VPC)** y, a continuación, seleccione **Security Groups (Grupos de seguridad)**.
1. Seleccione el grupo de seguridad de la instancia de base de datos de Amazon RDS, como, por ejemplo, **tutorial-dual-stack-db-securitygroup**.
1. En **Actions (Acciones)**, elija **Delete security groups (Eliminar grupos de seguridad)** y, a continuación, seleccione **Delete (Eliminar)** en la página de confirmación.
1. En la página **Security Groups (Grupos de seguridad)**, seleccione el grupo de seguridad para la instancia de Amazon EC2, como, por ejemplo, **tutorial-dual-stack-securitygroup**.
1. En **Actions (Acciones)**, elija **Delete security groups (Eliminar grupos de seguridad)** y, a continuación, seleccione **Delete (Eliminar)** en la página de confirmación.
1. Elimine la puerta de enlace NAT:
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **VPC Dashboard (Panel de control de VPC)** y, a continuación, seleccione **NAT Gateways (Puertas de enlace NAT)**.
1. Seleccione la puerta de enlace NAT de la VPC que creó. Utilice el ID de VPC para identificar la puerta de enlace NAT correcta.
1. En ** Actions (Acciones)**, seleccione **Delete NAT gateway (Eliminar puerta de enlace NAT)**.
1. En la página de confirmación, introduzca **delete** y elija **Eliminar**.
1. Elimine la VPC:
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **VPC Dashboard (Panel de control de VPC)** y, a continuación, seleccione **VPCs**.
1. Seleccione la VPC que desea eliminar, como, por ejemplo **tutorial-dual-stack-vpc**.
1. En **Actions (Acciones)**, elija **Delete VPC (Eliminar VPC)**.
La página de confirmación muestra otros recursos asociados a la VPC que también se eliminarán, incluidas las subredes asociadas a ella.
1. En la página de confirmación, introduzca **delete** y elija **Eliminar**.
1. Libere las direcciones IP elásticas:
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Seleccione **EC2 Dashboard (Panel de EC2)** y, a continuación, seleccione **Elastic IPs (Direcciones IP elásticas)**.
1. Seleccione la dirección IP elástica que desea liberar.
1. Desde **Actions (Acciones)**, elija **Release Elastic IP addresses (Liberar direcciones IP elásticas)**.
1. En la página de confirmación, seleccione **Release (Liberar)**.