Amazon RDS SSL/TLS証明書をrds-ca-2015からrds-ca-2019へ更新
Amazon RDS SSL/TLS証明書をrds-ca-2015からrds-ca-2019への更新作業を行ったので手順等を共有します。ぜひご覧ください。
今回はフェイルオーバーさせる手順でダウンタイムを最小限に抑える方法です。
- DBクラスターへリードレプリカを追加する
- 追加したリードレプリカの証明書を更新する
- ライターをフェイルオーバーさせる
- そうするとリーダーとライターが入れ替わる
- ※この時に数分ダウンタイムが発生する
- ライターに切り替わった元ライターのDBインスタンスを削除
Amazon RDS SSL/TLS 証明書の更新する手順
AWS RDSのSSL/TLS証明書を更新する際に、ダウンタイムを減らすようリードレプリカを追加し、フェイルオーバーでリーダーとライターを切り替える手順を紹介します。
ライターのDBインスタンスに障害が発生すると、フェイルオーバーでリーダーのDBインスタンスをライターへ昇格させる仕組み
DBクラスタへリードレプリカを追加
- RDSのマネージメントコンソールを開く
- DBクラスターを選択
- [アクション]の[リーダーの追加]を選択
追加したリーダのSSL/TLS証明書を更新する
- SSL/TLS証明書を更新するDBインスタンスを選択
- [変更]ボタンをクリック
DBインスタンスの変更画面
- ネットワーク&セキュリティにある証明機関をrds-ca-2015をrds-ca-2019へ変更
- 画面下部にある[次へ]ボタンを押下します。
- 変更のスケジュールを[すぐに適用]を選択
- [変更]ボタンをクリック
証明書の更新にはDBインスタンスの再起動が必要です。
DBインスタンスのライターをフェイルオーバー
- DBクラスタに紐づいているライターのDBインスタンスを選択
- [アクション]の[フェイルオーバー]を選択
これで数秒するとリーダーとライターが切り替わります。
フェイルオーバーのダウンタイムについて
AWSのよくある質問ページに数十秒でフェイルオーバーは完了すると記載があります。
Amazon Aurora レプリカを同一の、または異なるアベイラビリティーゾーンに作成しておくと、フェイルオーバーが発生した場合、Aurora は DB インスタンスの正規名レコード (CNAME) を切り替えて正常なレプリカを指定します。指定されたレプリカはこれにより新しいプライマリに昇格します。フェイルオーバーは開始から終了まで通常 30 秒以内に完了します。https://aws.amazon.com/jp/rds/aurora/faqs/
- SSL/TLS証明書の更新
- 15秒程度
- フェイルオーバーによるリードレプリカの切り替え
- 30秒程度
AWS RDSのSSL/TLS証明書に関して
AWS RDSのSSL/TLS証明書に関して紹介します。
AWS RDSのSSL/TLS証明書について
AWSのRDSでは、SSL/TLSを使用してRDSのDBインスタンスへ接続を行っています。
更新について
このSSL/TLS証明書において新しい認証機関(CA)の証明書が発行されたので、更新する必要があります。
アプリケーションが SSL/TLS プロトコルを使用して RDS DB インスタンスに接続している場合
MySQLなどのクライアントアプリケーションを利用してRDSのDBインスタンスへ接続する際に、SSL/TLSで接続している場合は、別途トラストストアへCA証明書を追加する作業が必要みたいです。
RDSのSSL/TLS更新に関する詳しい内容については、AWSのドキュメントに記載されています。
- RDSの場合
- Auroraの場合
Webプログラマ兼ブロガー | プログラミング基礎知識を発信|Webプログラマ歴は10年以上|JavaScript,PHP.HTML | 「人生の時間は有限。悪いことをしている時間はない」
→プロフィール