Tutoriel : Créer un VPC à utiliser avec une instance de base de données (mode double-pile)

Un scénario courant comprend une instance de base de données dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC. Ce VPC partage des données avec une instance publique Amazon EC2 qui fonctionne dans le même VPC.

Dans ce tutoriel, vous créez le VPC pour ce scénario qui fonctionne avec une base de données en mode double pile. Le mode double pile active la connexion via le protocole d'adressage IPv6. Pour plus d'informations sur les adresses IP, consultez Adressage IP Amazon RDS.

Les instances de réseau à double pile sont pris en charge dans la plupart des régions. Pour de plus amples informations, veuillez consulter Disponibilité des régions et des versions. Pour connaître les limites du mode à double pile, consultez Limitations pour les instances de base de données en réseau à double pile.

Le schéma suivant illustre ce scénario.

Pour plus d'informations sur d'autres scénarios, consultez Scénarios d'accès à un(e) instance de base de données d'un VPC.

Votre instance de bases de données doit être disponible uniquement pour votre instance Amazon EC2, et non pour l'Internet public. Vous créez ainsi un VPC avec des sous-réseaux publics et privés. L'instance Amazon EC2 est hébergée dans le sous-réseau public, de sorte qu'elle peut accéder à l'Internet public. L'instance de base de données est hébergé(e) dans un sous-réseau privé. L'instance Amazon EC2 peut se connecter à l'instance de base de données car elle est hébergée dans le même VPC. Cependant, l'instance de base de données n'est pas accessible à l'Internet public, ce qui assure une plus grande sécurité.

Ce tutoriel configure un sous-réseau public et privé supplémentaire dans une zone de disponibilité séparée. Ces sous-réseaux ne sont pas utilisés par le tutoriel. Un groupe de sous-réseaux de base de données RDS nécessite un sous-réseau dans au moins deux zones de disponibilité. Le sous-réseau supplémentaire permet de passer facilement à un déploiement d'instance de base de données Multi-AZ à l'avenir.

Pour créer une instance de base de données qui utilise le mode double pile, spécifiez Dual-stack mode (mode double pile) pour le paramètre Network type (Type de réseau). Vous pouvez également modifier une instance de base de données avec le même paramètre. Pour plus d'informations, consultez Création d'une instance de base de données Amazon RDS et Modification d'une instance de base de données Amazon RDS.

Ce didacticiel décrit la configuration d'un VPC pour les instances de base de données Amazon RDS. Pour en savoir plus sur Amazon VPC, consultez le Guide de l'utilisateur Amazon VPC.

Créer un VPC avec des sous-réseaux publics et privés

Utilisez la procédure suivante pour créer un VPC avec des sous-réseaux publics et privés.

Pour créer un VPC et des sous-réseaux

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le coin supérieur droit de la AWS Management Console, choisissez la région dans laquelle vous souhaitez créer votre VPC. L'exemple utilise la région USA Est (Ohio).

3. Dans le coin supérieur gauche, choisissez VPC Dashboard (Tableau de bord VPC). Pour commencer à créer un VPC, sélectionnez Create VPC (Créer un VPC).

4. Pour Resources to create (Ressources à créer) sous VPC settings (Paramètres VPC), choisissez VPC and more (VPC et plus).

5. Pour les valeurs VPC settings (Paramètres VPC) restantes, définissez ce qui suit :

   • Name tag auto-generation (Génération automatique de balise de nom) : tutorial-dual-stack

   • IPv4 CIDR block (Bloc d'adresse CIDR IPv4) : 10.0.0.0/16

   • IPv6 CIDR block (Bloc d'adresse CIDR IPv6) : Amazon-provided IPv6 CIDR block (Bloc d'adresse CIDR IPv6 fourni par Amazon)

   • Tenancy (Location) : Default (Par défaut)

   • Number of Availability Zones (AZs) [Nombre de zones de disponibilité (AZ)] : 2

   • Customize AZs (Personnaliser les AZ) : conserver les valeurs par défaut.

   • Number of public subnet (Nombre de sous-réseaux publics) : 2

   • Number of private subnets (Nombre de sous-réseaux privés) : 2

   • Customize subnets CIDR blocks (Personnaliser les blocs CIDR des sous-réseaux) : conserver les valeurs par défaut.

   • NAT gateways ($) [Passerelles NAT ($)] : None (Aucune)

   • Egress only internet gateway (Passerelle Internet de sortie uniquement) : No (Non)

   • VPC endpoints (Points de terminaison VPC) : None (Aucun)

   • DNS options (Options DNS) : conservez les valeurs par défaut.

   Note

   Amazon RDS nécessite au moins deux sous-réseaux dans deux zones de disponibilité différentes pour prendre en charge les déploiements d'instances de base de données Multi-AZ. Ce tutoriel crée un déploiement Mono-AZ, mais l'exigence permet de le convertir facilement en un déploiement d'instance de base de données Multi-AZ à l'avenir.

6. Sélectionnez Create VPC (Créer un VPC).

Créer un groupe de sécurité VPC pour une instance publique Amazon EC2

Ensuite, vous créez un groupe de sécurité pour l'accès public. Pour vous connecter aux instance EC2 publiques de votre VPC, ajoutez des règles entrantes à votre groupe de sécurité VPC qui autorisent le trafic à se connecter depuis Internet.

Pour créer un groupe de sécurité VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Choisissez successivement VPC Dashboard (Tableau de bord VPC), Security Groups (Groupes de sécurité) et Create Security Group (Créer un groupe de sécurité).

3. Sur la page Create Security Group (Créer un groupe de sécurité), définissez les valeurs suivantes :

   • Nom du groupe de sécurité : tutorial-dual-stack-securitygroup

   • Description : Tutorial Dual-Stack Security Group

   • VPC : choisissez le VPC que vous avez créé précédemment, par exemple : vpc-identifier (tutorial-dual-stack-vpc)

4. Ajoutez des règles entrantes au groupe de sécurité.

   1. Déterminez l'adresse IP à utiliser pour vous connecter aux instances EC2 de votre VPC à l'aide de Secure Shell (SSH).

      203.0.113.25/32 est un exemple d'adresse IPv4 (Internet Protocol version 4). 2001:db8:1234:1a00::/64 est un exemple de plage d'adresses IPv6 (Internet Protocol version 6).

      Dans de nombreux cas, votre connexion s'effectue via un fournisseur de services Internet (FSI) ou derrière votre pare-feu sans adresse IP statique. Dans ce cas, trouvez la plage d'adresses IP utilisées par les ordinateurs clients.

      Avertissement

      Si vous utilisez 0.0.0.0/0 pour IPv4 ou ::0 pour IPv6, vous permettez à toutes les adresses IP d'accéder à vos instances publiques à l'aide de SSH. Cette approche est acceptable pour une brève durée dans un environnement de test, mais n'est pas sécurisée pour les environnements de production. Dans un environnement de production, autorisez uniquement une adresse IP ou une plage d'adresses IP spécifiques à accéder à vos instances.

   2. Dans la section Règles entrantes, choisissez Ajouter une règle.

   3. Définissez les valeurs suivantes pour que votre nouvelle règle entrante autorise l'accès Secure Shell (SSH) à votre instance Amazon EC2. Si vous faites cela, vous pouvez vous connecter à votre instance EC2 pour installer des clients SQL et d'autres applications. Indiquez une adresse IP pour accéder à votre instance EC2 :

      • Type : SSH

      • Source : l'adresse IP ou la plage de l'étape a. Exemple d'adresse IP IPv4 : 203.0.113.25/32. Exemple d'adresse IP IPv6 : 2001:DB8::/32.

5. Choisissez Create security group (Créer un groupe de sécurité) pour créer le groupe de sécurité.

   Notez l'ID du groupe de sécurité, car vous en aurez besoin ultérieurement dans ce didacticiel.

Créer un groupe de sécurité VPC pour une instance de base de données privé(e)

Pour que votre instance de base de données demeure privé(e), créez un deuxième groupe de sécurité pour l'accès privé. Pour vous connecter aux instances de bases de données privé(e)s de votre VPC, ajoutez des règles entrantes à votre groupe de sécurité VPC. Elles autorisent le trafic provenant de votre instance Amazon EC2 uniquement.

Pour créer un groupe de sécurité VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Choisissez successivement VPC Dashboard (Tableau de bord VPC), Security Groups (Groupes de sécurité) et Create Security Group (Créer un groupe de sécurité).

3. Sur la page Create Security Group (Créer un groupe de sécurité), définissez les valeurs suivantes :

   • Nom du groupe de sécurité : tutorial-dual-stack-db-securitygroup

   • Description : Tutorial Dual-Stack DB Instance Security Group

   • VPC : choisissez le VPC que vous avez créé précédemment, par exemple : vpc-identifier (tutorial-dual-stack-vpc)

4. Ajoutez des règles entrantes au groupe de sécurité :

   1. Dans la section Règles entrantes, choisissez Ajouter une règle.

   2. Définissez les valeurs suivantes pour que votre nouvelle règle entrante autorise le trafic MySQL sur le port 3306 à partir de votre instance Amazon EC2. Dans ce cas, vous pouvez vous connecter de votre instance EC2 à votre instance de bases de données. Cela signifie que vous pouvez envoyer des données de votre instance EC2 vers votre base de données.

      • Type : MySQL/Aurora

      • Source : identifiant du groupe de sécurité tutorial-dual-stack-securitygroup que vous avez créé précédemment dans ce tutoriel, par exemple : sg-9edd5cfb.

5. Pour créer le groupe de sécurité, choisissez Créer un groupe de sécurité.

Création d'un groupe de sous-réseaux DB

Un groupe de sous-réseaux de base de données désigne une collection de sous-réseaux que vous créez dans un VPC et que vous spécifiez alors pour vos instances de bases de données. En utilisant un groupe de sous-réseau de base de données, vous pouvez spécifier un VPC particulier lors de la création d'instances de base de données. Pour créer un groupe de sous-réseaux de la base de données qui soit compatible DUAL, tous les sous-réseaux doivent être compatibles DUAL. Pour être compatible DUAL, un sous-réseau doit être associé à un CIDR IPv6.

Pour créer un groupe de sous-réseaux

1. Identifiez les sous-réseaux privés pour votre base de données dans le VPC.

   1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

   2. Choisissez VPC Dashboard (Tableau de bord du VPC), puis Subnets (Sous-réseaux).

   3. Notez les ID des sous-réseaux nommés tutorial-dual-stack-subnet-private1-us-west-2a et tutorial-dual-stack-subnet-private2-us-west-2b.

      Vous aurez besoin des ID de sous-réseau lorsque vous créerez votre groupe de sous-réseau de base de données.

2. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

   Assurez-vous de vous connecter à la console Amazon RDS et non à la console Amazon VPC.

3. Dans le panneau de navigation, choisissez Subnet groups (Groupes de sous-réseaux).

4. Choisissez Create DB Subnet Group (Créer groupe de sous-réseaux de base de données).

5. Sur la page Create DB subnet group (Créer groupe de sous-réseaux de base de données), définissez ces valeurs dans Subnet group details (Détails de groupe de sous-réseaux) :

   • Nom: tutorial-dual-stack-db-subnet-group

   • Description: Tutorial Dual-Stack DB Subnet Group

   • VPC : tutorial-dual-stack-vpc (vpc-identifier)

6. Dans la section Add subnets (Ajouter des sous-réseaux), choisissez des valeurs pour les options Availability Zones (Zones de disponibilité) et Subnets (Sous-réseaux).

   Pour ce tutoriel, choisissez us-east-2a et us-east-2b pour les Availability Zones (Zones de disponibilité). Pour Subnets (Sous-réseaux), choisissez les sous-réseaux privés que vous avez identifiés à l'étape précédente.

7. Sélectionnez Créer.

Votre nouveau groupe de sous-réseaux DB apparaît dans la liste des groupes de sous-réseaux sur la console RDS. Vous pouvez choisir le groupe de sous-réseau de base de données pour afficher ses détails. Il s'agit notamment des protocoles d'adressage pris en charge, de tous les sous-réseaux associés au groupe et du type de réseau pris en charge par le groupe de sous-réseaux de base de données.

Créer une instance Amazon EC2 en mode double pile

Pour créer une instance Amazon EC2, suivez les instructions de la section Launch an instance using the new launch instance wizard (Lancer une instance à l'aide du nouvel assistant de lancement d'instance) du Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Sur la page Configure Instance Details (Configurer les détails d'instance), spécifiez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

• Réseau – Choisissez un VPC existant avec des sous-réseaux publics et privés, tels que tutorial-dual-stack-vpc (vpc-identifier), créés dans Créer un VPC avec des sous-réseaux publics et privés.

• Subnet (Sous-réseau) : choisissez un sous-réseau public existant, tel que subnet-identifier | tutorial-dual-stack-subnet-public1-us-east-2a | us-east-2a créé dans Créer un groupe de sécurité VPC pour une instance publique Amazon EC2.

• Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique) : choisissez Enable (Activer).

• Auto-assign IPv6 IP (Affectation automatique de l'IPv6) : choisissez Enable (Activer).

• Firewall (security groups) [Pare-feu (groupes de sécurité)] : choisissez Select an existing security group (Sélectionnez un groupe de sécurité existant).

• Common security groups (Groupes de sécurité communs) : choisissez un groupe de sécurité existant, tel que le tutorial-securitygroup créé dans Créer un groupe de sécurité VPC pour une instance publique Amazon EC2. Assurez-vous que le groupe de sécurité que vous choisissez inclut des règles entrantes pour l'accès SSH (Secure Shell) et HTTP.

Création d'un(e) instance de base de données en mode double pile

Dans cette étape, vous créez un(e) instance de base de données qui fonctionne en mode double pile.

Pour créer une instance de base de données

1. Connectez-vous à l'AWS Management Console et ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

2. Dans le coin supérieur droit de la console, choisissez la Région AWS dans laquelle vous voulez créer l'instance de base de données. L'exemple utilise la région USA Est (Ohio).

3. Dans la panneau de navigation, choisissez Databases (Bases de données).

4. Choisissez Create database (Créer une base de données).

5. Sur la page Create database (Créer une base de données), vérifiez que l'option Standard create (Création standard) est activée, puis choisissez le type de moteur de base de données MySQL.

6. Dans la section Connectivity (Connectivité), définissez les valeurs suivantes :

   • Network type (Type de réseau) – choisissez Dual-stack mode (Mode double pile)

     

   • Virtual private cloud (VPC) (Cloud privé virtuel (VPC)) – choisissez un VPC existant avec des sous-réseaux publics et privés, tel que tutorial-dual-stack-vpc (vpc-identifier) créé dans Créer un VPC avec des sous-réseaux publics et privés.

     Le VPC doit avoir des sous-réseaux dans des zones de disponibilité différentes.

   • DB Subnet group (Groupe de sous-réseau de la base de données) : choisissez un groupe de sous-réseau de base de données pour le VPC, tel que tutorial-dual-stack-db-subnet-group créé dans Création d'un groupe de sous-réseaux DB.

   • Public access (Accès public) : choisissez No (Non).

   • VPC security group (firewall) [Groupe de sécurité VPC (pare-feu)] : sélectionnez Choose existing (Choisir l'existant).

   • Existing VPC security groups (Groupes de sécurité VPC existants) – choisissez un groupe de sécurité VPC existant qui est configuré pour un accès privé, tel que tutorial-dual-stack-db-securitygroup créé dans Créer un groupe de sécurité VPC pour une instance de base de données privé(e).

     Supprimez les autres groupes de sécurité, tels que le groupe de sécurité par défaut, en cliquant sur le signe X qui lui est associé.

   • Availability Zone (Zone de disponibilité) : choisissez us-west-2a.

     Pour éviter le trafic inter-zones, assurez-vous que l'instance de base de données et l'instance EC2 se trouvent dans la même zone de disponibilité.

7. Pour les sections restantes, spécifiez vos paramètres d'instance de base de données. Pour obtenir des informations sur chaque paramètre, consultez Paramètres des instances de base de données.

Se connecter à votre instance Amazon EC2 et à votre instance de base de données

Une fois votre instance Amazon EC2 et votre instance de base de données créées en mode double pile, vous pouvez vous connecter à chacune d'elles à l'aide du protocole IPv6. Pour vous connecter à une instance Amazon EC2 à l'aide du protocole IPv6, suivez les instructions de la section Connect to your Linux instance (Connexion à votre instance Linux) du Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Pour vous connecter à votre instance de base de données RDS for MySQL depuis l'instance Amazon EC2, suivez les instructions dans Se connecter à une instance de base de données MySQL.

Suppression du VPC

Après avoir créé le VPC et d'autres ressources pour ce didacticiel, vous pouvez les supprimer si elles ne sont plus nécessaires.

Si vous avez ajouté des ressources dans le VPC que vous avez créé pour ce tutoriel, vous devrez peut-être les supprimer avant de pouvoir supprimer le VPC. Les instances Amazon EC2 ou les instances de bases de données sont des exemples de ressources. Pour plus d'informations, consultez Supprimer votre VPC dans le Guide de l'utilisateur Amazon VPC.

Pour supprimer un VPC et les ressources associées

1. Supprimez le groupe de sous-réseaux de base de données :

   1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

   2. Dans le panneau de navigation, choisissez Subnet groups (Groupes de sous-réseaux).

   3. Sélectionnez le groupe de sous-réseaux de base de données à supprimer, par exemple tutorial-db-subnet-group.

   4. Choisissez Supprimer, puis Supprimer dans la fenêtre de confirmation.

2. Notez l'ID du VPC :

   1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

   2. Choisissez Tableau de bord du VPC, puis VPC.

   3. Dans la liste, identifiez le VPC que vous avez créé, tel que tutorial-dual-stack-vpc.

   4. Notez la valeur VPC ID (ID de VPC) du VPC que vous avez créé. Il vous servira dans les étapes suivantes.

3. Supprimez les groupes de sécurité :

   1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

   2. Choisissez Tableau de bord du VPC, puis Groupes de sécurité.

   3. Sélectionnez le groupe de sécurité pour l'instance de base de données Amazon RDS, par exemple tutorial-dual-stack-db-securitygroup.

   4. Pour Actions, choisissez Delete security groups (Supprimer des groupes de sécurité), puis Delete (Supprimer) sur la page de confirmation.

   5. Sur la page Security Groups (Groupes de sécurité), sélectionnez le groupe de sécurité pour l'instance Amazon EC2, par exemple tutorial-dual-stack-securitygroup.

   6. Pour Actions, choisissez Delete security groups (Supprimer des groupes de sécurité), puis Delete (Supprimer) sur la page de confirmation.

4. Supprimez la passerelle NAT :

   1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

   2. Choisissez Tableau de bord du VPC, puis Passerelles NAT.

   3. Sélectionnez la passerelle NAT du VPC que vous avez créé. Utilisez l'ID de VPC pour identifier la passerelle NAT correcte.

   4. Pour Actions, choisissez Delete NAT gateway (Supprimer la Passerelle NAT).

   5. Sur la page de confirmation, entrez delete et choisissez Supprimer.

5. Supprimer le VPC

   1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

   2. Choisissez Tableau de bord du VPC, puis VPC.

   3. Sélectionnez le VPC que vous voulez supprimer, tel que tutorial-dual-stack-vpc.

   4. Pour Actions, choisissez Supprimer le numéro VPC.

      La page de confirmation affiche les autres ressources associées au VPC qui seront également supprimées, y compris les sous-réseaux qui lui sont associés.

   5. Sur la page de confirmation, entrez delete et choisissez Supprimer.

6. Libérez les adresses IP élastiques :

   1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

   2. Choisissez Tableau de bord EC2, puis Adresses IP Elastic.

   3. Sélectionnez l'adresse IP élastique à libérer.

   4. Pour Actions, choisissez Release Elastic IP addresses (Libérer les adresses IP élastiques).

   5. Sur la page de confirmation, sélectionnez Libérer.