Группы безопасности RDS и EC2 не совместимы между классическим и vpc EC2. Если у вас есть RDS со ссылкой на группу EC2 sec, вы не сможете добавить классическую группу ec2 sec в вашу группу sec vpc RDS sec.
Различия между группами безопасности для EC2-Classic и EC2-VPC
Лучше всего перенести инфраструктуру EC2 в VPC вместе с RDS. Конечно, вы можете предоставить глобальный доступ к вашей RDS, если вы хотите отделить процесс, а затем заблокировать его, когда вы перенесли свою инфраструктуру EC2, но это большое «нет» (огромный риск для безопасности).
Это нетривиальный процесс, и я чувствую вашу боль. Наименее сложная вещь - это простои во время миграции, чтобы не было расхождений между экземплярами RDS. Но это не идеально, особенно если у вас большой объем памяти RDS. Кстати, вы захотите проверить, сколько времени занимает процесс создания снимка и восстановления RDS, поскольку это может занять некоторое время.
Альтернативой, если вы можете управлять им, является принуждение вашего приложения использовать реплики только для чтения во время миграции RDS. Таким образом, ваше приложение все еще может функционировать (вроде), и вам не придется беспокоиться о согласовании между экземплярами RDS после миграции. Но, очевидно, ваше приложение должно знать, что оно находится в режиме «только для чтения», иначе вы столкнетесь с ошибками.
Забыл упомянуть, что есть нечто, называемое classic-link, которое может помочь, но я лично никогда не использовал classic-link. Проверьте это в техническом описании AWS, напишите здесь:
Перемещение Amazon RDS MySQL
Базы данных для Amazon VPC
используя Amazon EC2
ClassicLink and Read
Реплики