Scénarios d'accès à un(e) cluster de base de données d'un VPC - Amazon Aurora
Une instance EC2 du même VPCUne instance EC2 d'un autre VPCUne application cliente via InternetUn réseau privé

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Scénarios d'accès à un(e) cluster de base de données d'un VPC

Amazon Aurora prend en charge les scénarios suivants pour accéder à un(e) cluster de base de données dans un VPC :

Un(e) cluster de base de données dans un VPC auquel accède une instance EC2 dans le même VPC.

Une utilisation courante d'un(e) cluster de base de données d'un VPC consiste à partager les données avec un serveur d'application qui s'exécute dans une instance EC2 du même VPC.

Le schéma suivant illustre ce scénario.

Scénario VPC avec un serveur web public et une base de données privée

La solution la plus simple pour gérer l'accès entre les instances EC2 et les clusters de base de données du même VPC consiste à agir ainsi :

  • Créez un groupe de sécurité VPC dans lequel seront placées vos clusters de base de données. Ce groupe de sécurité peut être utilisé pour restreindre l'accès aux clusters de base de données. Par exemple, vous pouvez créer une règle personnalisée pour ce groupe de sécurité. Cela peut permettre un accès TCP en utilisant le port que vous avez attribué au cluster de la base de données lorsque vous l'avez créé et une adresse IP que vous utilisez pour accéder au cluster de la base de données à des fins de développement ou autres.

  • Créez un groupe de sécurité VPC dans lequel seront placées vos instances EC2 (serveurs web et clients). Ce groupe de sécurité peut, si nécessaire, autoriser l'accès à l'instance EC2 à partir d'Internet à l'aide de la table de routage du VPC. Par exemple, vous pouvez définir des règles sur ce groupe de sécurité pour autoriser l'accès TCP à l'instance EC2 sur le port 22.

  • Créez des règles personnalisées dans le groupe de sécurité pour vos clusters de base de données qui autorisent les connexions depuis le groupe de sécurité que vous avez créé pour vos instances EC2. Ces règles peuvent permettre à tout membre du groupe de sécurité d'accéder aux clusters de la base de données.

Il existe un sous-réseau public et privé supplémentaire dans une zone de disponibilité distincte. Un groupe de sous-réseaux de base de données RDS nécessite un sous-réseau dans au moins deux zones de disponibilité. Le sous-réseau supplémentaire permet de passer facilement à un déploiement d'instance de base de données Multi-AZ à l'avenir.

Pour obtenir un didacticiel qui explique comment créer un VPC avec des sous-réseaux publics et privés pour ce scénario, consultez Tutoriel : créer un VPC à utiliser avec un(e) cluster de base de données (IPv4 uniquement).

Astuce

Vous pouvez configurer la connectivité réseau entre une instance Amazon EC2 et un(e) cluster de base de données automatiquement lorsque vous créez le cluster de base de données. Pour plus d’informations, consultez Configurer la connectivité réseau automatique avec une instance EC2.

Pour créer une règle dans un groupe de sécurité VPC qui autorise les connexions à partir d'un autre groupe de sécurité, procédez comme suit :

  1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/vpc.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Choisissez ou créez un groupe de sécurité auquel vous voulez autoriser les membres d'un autre groupe de sécurité à accéder. Dans le scénario précédent, il s'agit du groupe de sécurité que vous utilisez pour vos clusters de base de données. Sélectionnez l'onglet Inbound Rules (Règles entrantes), puis Edit inbound rules (Modifier les règles entrantes).

  4. Sur la page Edit inbound rules (Modifier les règles entrantes), cliquez sur Add Rule (Ajouter une règle).

  5. Pour Type, choisissez l'entrée qui correspond au port que vous avez utilisé lorsque vous avez créé votre cluster de base de données, par exemple MYSQL/Aurora.

  6. Dans la zone Source, commencez à taper l'ID du groupe de sécurité, qui répertorie les groupes de sécurité correspondants. Choisissez le groupe de sécurité dont vous voulez autoriser les membres à accéder aux ressources protégées par ce groupe de sécurité. Dans le scénario précédent, il s'agit du groupe de sécurité que vous utilisez pour votre instance EC2.

  7. Si nécessaire, répétez les étapes pour le protocole TCP en créant une règle avec Tous TCP comme Type et votre groupe de sécurité dans la zone Source. Si vous prévoyez d'utiliser le protocole UDP, créez une règle avec All UDP (Tous UDP) comme Type et votre groupe de sécurité dans Source.

  8. Sélectionnez Enregistrer les règles.

L'écran suivant affiche une règle entrante, ainsi qu'un groupe de sécurité pour sa source.

Ajout d'un groupe de sécurité aux règles d'un autre groupe de sécurité

Pour plus d'informations sur la connexion à votre cluster de bases de données depuis votre instance EC2, consultez Connexion à un cluster de bases de données Amazon Aurora.

Un(e) cluster de base de données d'un VPC accédée par une instance EC2 d'un autre VPC

Quand vos clusters de base de données se trouvent dans un VPC différent de l'instance EC2 que vous utilisez pour y accéder, vous pouvez utiliser l'appairage de VPC pour accéder au cluster de base de données.

Le schéma suivant illustre ce scénario.

Une instance de base de données d'un VPC accédée par une instance EC2 d'un autre VPC

Une connexion d'appairage de VPC est une connexion de mise en réseau entre deux VPC qui permet de router le trafic entre ces derniers à l'aide d'adresses IP privées. Les ressources des deux VPC peuvent communiquer entre elles comme si elles se trouvaient dans le même réseau. Vous pouvez créer une connexion d'appairage VPC entre vos propres VPC, avec un VPC d'un autre compte ou avec un VPC d'un autre AWS compte. Région AWS Pour plus d'informations sur l'appairage de VPC, consultez Appairage de VPC dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Un(e) cluster de base de données d'un VPC accessible par une application cliente via Internet

Pour accéder à des clusters de base de données d'un VPC à partir d'une application cliente via Internet, vous configurez un VPC avec un seul sous-réseau public et une passerelle Internet pour activer la communication sur Internet.

Le schéma suivant illustre ce scénario.

Un(e) cluster de base de données d'un VPC accessible par une application cliente via Internet

Nous recommandons la configuration suivante :

  • Un VPC de taille /16 (par exemple, CIDR : 10.0.0.0/16). Cette taille fournit 65 536 adresses IP privées.

  • Un sous-réseau de taille /24 (par exemple, CIDR : 10.0.0.0/24). Cette taille fournit 256 adresses IP privées.

  • Un(e) cluster de bases de données Amazon Aurora qui est associé(e) au VPC et au sous-réseau. Amazon RDS affecte à votre cluster de base de données une adresse IP au sein du sous-réseau.

  • Une passerelle Internet qui connecte le VPC à Internet et à d'autres produits AWS .

  • Groupe de sécurité associé au cluster de base de données. Les règles de trafic entrant de votre groupe de sécurité permettent à votre application client d'accéder à votre cluster de base de données.

Pour plus d'informations sur la création de clusters de base de données dans un VPC, consultez Création d'un(e) cluster de base de données dans un VPC.

Un(e) cluster de base de données dans un VPC auquel on accède par un réseau privé.

Si votre cluster de base de données n'est pas accessible publiquement, les options suivantes vous permettent d'y accéder à partir d'un réseau privé :

Le schéma suivant illustre un scénario avec une connexion AWS VPN Site-to-Site.

Des clusters de base de données dans un VPC auxquels on accède par un réseau privé.

Pour plus d'informations, voir Confidentialité du trafic inter-réseau.