Amazon Relational Database Service
Guide de l'utilisateur

Didacticiel : créer un Amazon VPC à utiliser avec une instance de base de données

Un scénario fréquent inclut une instance de base de données dans un Amazon VPC, qui partage les données avec un serveur web s'exécutant dans le même VPC. Dans ce didacticiel, vous créez le VPC pour ce scénario.

Le schéma suivant illustre ce scénario. Pour plus d'informations sur d'autres scénarios, consultez Scénarios d'accès à une instance de base de données d'un VPC.


            Scénario de groupe de sécurité VPC et EC2

Comme votre instance de base de données a uniquement besoin d'être accessible par votre serveur web, et non par Internet, vous créez un VPC avec les sous-réseaux publics et privés. Le serveur web étant hébergé dans le sous-réseau public, il peut atteindre Internet. L'instance de base de données est hébergée dans un sous-réseau privé. Le serveur web peut se connecter à l'instance de base de données, car il est hébergé au sein du même VPC, mais l'instance de base de données n'est pas accessible par Internet, ce qui offre une plus grande sécurité.

Créer un VPC avec des sous-réseaux publics et privés

Utilisez la procédure suivante pour créer un VPC avec des sous-réseaux publics et privés.

Pour créer un VPC et des sous-réseaux

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le coin supérieur droit d'AWS Management Console, choisissez la région où vous voulez créer le VPC. Cet exemple utilise la région USA Ouest (Oregon).

  3. Dans le coin supérieur gauche, choisissez VPC Dashboard (Tableau de bord VPC). Pour démarrer la création d'un VPC, choisissez Launch VPC Wizard (Lancer l'assistant VPC).

  4. Sur la page Step 1: Select a VPC Configuration (Étape 1 : Sélectionner une configuration de VPC), choisissez VPC with Public and Private Subnets (VPC avec sous-réseaux publics et privés), puis Sélectionner.

  5. Sur la page Step 2: VPC with Public and Private Subnets (Étape 2 : VPC avec sous-réseaux publics et privés), définissez ces valeurs :

    • Bloc d'adresse CIDR IPv4 : 10.0.0.0/16

    • Bloc d'adresse CIDR IPv6 : Pas de bloc d'adresse CIDR IPv6

    • Nom VPC : tutorial-vpc

    • Bloc d'adresse CIDR IPv4 du sous-réseau public : 10.0.0.0/24

    • Zone de disponibilité : us-west-2a

    • Nom du sous-réseau public : Tutorial public

    • CIDR IPv4 du sous-réseau privé : 10.0.1.0/24

    • Zone de disponibilité : us-west-2a

    • Nom de sous-réseau privé : Tutorial Private 1

    • Type d'instance : t2.small

      Important

      Si la zone Instance type (Type d'instance) n'apparaît pas dans la console, choisissez Use a NAT instance instead (Utiliser à la place une instance NAT). Ce lien se trouve à droite.

      Note

      Si le type d'instance t2.small n'est pas répertorié, vous pouvez choisir une instance d'un type différent.

    • Nom de paire de clés : No key pair

    • Points de terminaison de service : Ignorez ce champ.

    • Activez les nom d'hôtes DNS : Yes

    • Location matérielle : Default

  6. Lorsque vous avez terminé, choisissez Créer un VPC.

Création de sous-réseaux supplémentaires

Vous devez avoir deux sous-réseaux privés ou deux sous-réseaux publics pour créer un groupe de sous-réseaux de base de données qu'une instance de base de données puisse utiliser dans un VPC. Comme l'instance de base de données de ce didacticiel est privée, ajoutez un deuxième sous-réseau privé au VPC.

Pour créer un sous-réseau supplémentaire

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Pour ajouter le deuxième sous-réseau privé à votre VPC, choisissez successivement VPC Dashboard (Tableau de bord VPC), Subnets (Sous-réseaux) et Create Subnet (Créer un sous-réseau).

  3. Sur la page Create subnet (Créer un sous-réseau), définissez les valeurs suivantes :

    • Balise de nom : Tutorial private 2

    • VPC : choisissez le VPC que vous avez créé dans l'étape précédente : par exemple, vpc-identifier (10.0.0.0/16) | tutorial-vpc.

    • Zone de disponibilité : us-west-2b

      Note

      Choisissez une zone de disponibilité différente de celle que vous avez choisie pour le premier sous-réseau privé.

    • Bloc d'adresse CIDR IPv4 : 10.0.2.0/24

  4. Lorsque vous avez terminé, choisissez Create (Créer). Ensuite, choisissez Fermer sur la page de confirmation.

  5. Pour garantir que le deuxième sous-réseau que vous avez créé utilise la même table de routage que le premier sous-réseau privé, choisissez successivement VPC Dashboard (Tableau de bord VPC), Subnets (Sous-réseaux) et le premier sous-réseau privé que vous avez créé pour le VPC, Tutorial private 1.

  6. Sous la liste des sous-réseaux, choisissez l'onglet Table de routage, et notez la valeur de Table de routage—, par exemple : rtb-98b613fd.

  7. Dans la liste des sous-réseaux, désélectionnez le premier sous-réseau privé.

  8. Dans la liste des sous-réseaux, choisissez le deuxième sous-réseau privé Tutorial private 2, puis l'onglet Table de routage.

  9. Si la table de routage active n'est pas la même que la table de routage du premier sous-réseau privé, choisissez Edit route table association (Modifier l'association de la table de routage). Pour Route Table ID (ID de la table de routage), choisissez la table de routage que vous avez notée précédemment (par exemple : rtb-98b613fd). Ensuite, pour enregistrer votre sélection, choisissez Save (Enregistrer).

Créer un groupe de sécurité VPC pour un serveur web public

Ensuite, vous créez un groupe de sécurité pour l'accès public. Pour vous connecter aux instance publiques de votre VPC, vous ajoutez des règles entrantes à votre groupe de sécurité VPC qui autorisent le trafic à se connecter depuis Internet.

Pour créer un groupe de sécurité VPC

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Choisissez successivement VPC Dashboard (Tableau de bord VPC), Security Groups (Groupes de sécurité) et Create Security Group (Créer un groupe de sécurité).

  3. Sur la page Create Security Group (Créer un groupe de sécurité), définissez les valeurs suivantes :

    • Nom du groupe de sécurité : tutorial-securitygroup

    • Description : Tutorial Security Group

    • VPC : choisissez le VPC que vous avez créé précédemment : par exemple, vpc-identifier (10.0.0.0/16) | tutorial-vpc.

  4. Pour créer le groupe de sécurité, choisissez Create (Créer). Ensuite, choisissez Fermer sur la page de confirmation.

    Notez l'ID du groupe de sécurité, car vous en aurez besoin ultérieurement dans ce didacticiel.

Pour ajouter des règles entrantes au groupe de sécurité

  1. Déterminez l'adresse IP que vous utiliserez pour la connexion aux instances de votre VPC. Pour déterminer votre adresse IP publique, vous pouvez utiliser le service à l'adresse https://checkip.amazonaws.com. Exemple d'adresse IP : 203.0.113.25/32.

    Si votre connexion s'effectue via un fournisseur de services Internet (ISP) ou derrière votre pare-feu sans adresse IP statique, vous devez déterminer la plage d'adresses IP utilisée par les ordinateurs clients.

    Avertissement

    Si vous utilisez 0.0.0.0/0, vous permettez à toutes les adresses IP d'accéder à vos instances publiques. Cette approche est acceptable pour une brève durée dans un environnement de test, mais n'est pas sécurisée pour les environnements de production. Dans un environnement de production, vous autoriserez uniquement l'accès à vos instances pour une adresse IP ou une plage d'adresses spécifiques.

  2. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  3. Choisissez successivement VPC Dashboard (Tableau de bord VPC), Security Groups (Groupes de sécurité) et le groupe de sécurité tutorial-securitygroup que vous avez créé dans la procédure précédente.

  4. Dans la liste des groupes de sécurité, choisissez l'onglet Inbound Rules (Règles entrantes), puis Edit rules (Modifier les règles).

  5. Sur la page Edit inbound rules (Modifier les règles entrantes), choisissez Add Rule (Ajouter une règle).

  6. Définissez les valeurs suivantes pour que votre nouvelle règle entrante autorise l'accès Secure Shell (SSH) à votre instance EC2. Pour ce faire, vous pouvez vous connecter à votre instance EC2 pour installer le serveur web et autres utilitaires, et pour charger le contenu de votre serveur web.

    • Type : SSH

    • Source : l'adresse IP ou la plage d'adresses IP de l'étape 1 ; par exemple : 203.0.113.25/32.

  7. Choisissez Add rule.

  8. Définissez les valeurs suivantes pour que votre nouvelle règle entrante autorise HTTP à accéder à votre serveur Web.

    • Type : HTTP

    • Source : 0.0.0.0/0.

  9. Pour enregistrer vos paramètres, choisissez Save rules (Enregistrer les règles). Ensuite, choisissez Fermer sur la page de confirmation.

Créer un groupe de sécurité VPC pour une instance de base de données privée

Pour que votre instance de base de données demeure privée, créez un deuxième groupe de sécurité pour l'accès privé. Pour vous connecter aux instance privées de votre VPC, vous ajoutez des règles entrantes à votre groupe de sécurité VPC qui autorisent le trafic depuis votre serveur web uniquement.

Pour créer un groupe de sécurité VPC

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Choisissez successivement VPC Dashboard (Tableau de bord VPC), Security Groups (Groupes de sécurité) et Create Security Group (Créer un groupe de sécurité).

  3. Sur la page Create Security Group (Créer un groupe de sécurité), définissez les valeurs suivantes :

    • Nom du groupe de sécurité : tutorial-db-securitygroup

    • Description : Tutorial DB Instance Security Group

    • VPC : choisissez le VPC que vous avez créé précédemment : par exemple, vpc-identifier (10.0.0.0/16) | tutorial-vpc.

  4. Pour créer le groupe de sécurité, choisissez Create (Créer). Ensuite, choisissez Fermer sur la page de confirmation.

Pour ajouter des règles entrantes au groupe de sécurité

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Choisissez successivement VPC Dashboard (Tableau de bord VPC), Security Groups (Groupes de sécurité) et le groupe de sécurité tutorial-db-securitygroup que vous avez créé dans la procédure précédente.

  3. Dans la liste des groupes de sécurité, choisissez l'onglet Inbound Rules (Règles entrantes), puis Edit rules (Modifier les règles).

  4. Sur la page Edit inbound rules (Modifier les règles entrantes), choisissez Add Rule (Ajouter une règle).

  5. Définissez les valeurs suivantes pour que votre nouvelle règle entrante autorise le trafic MySQL sur le port 3306 à partir de votre instance EC2. Pour ce faire, vous pouvez vous connecter à partir de votre serveur web à votre instance de base de données afin de stocker et d'extraire les données entre votre application web et votre base de données.

    • Type : MySQL/Aurora

    • Source : identifiant du groupe de sécurité tutorial-securitygroup que vous avez créé précédemment dans ce didacticiel, par exemple : sg-9edd5cfb.

  6. Pour enregistrer vos paramètres, choisissez Save rules (Enregistrer les règles). Ensuite, choisissez Fermer sur la page de confirmation.

Créer un groupe de sous-réseaux DB

Un groupe de sous-réseaux DB est une collection de sous-réseaux que vous créez dans un VPC et que vous spécifiez alors pour vos instances de bases de données. Un groupe de sous-réseaux DB vous permet de spécifier un VPC particulier lors de la création d'instances de bases de données.

Pour créer un groupe de sous-réseaux

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le volet de navigation, choisissez Subnet groups (Groupes de sous-réseaux).

  3. Choisissez Create DB Subnet Group (Créer groupe de sous-réseaux de base de données).

  4. Sur la page Create DB subnet group (Créer groupe de sous-réseaux de base de données), définissez ces valeurs dans Subnet group details (Détails de groupe de sous-réseaux) :

    • Nom : tutorial-db-subnet-group

    • Description : Tutorial DB Subnet Group

    • VPC : tutorial-vpc (vpc-identifier)

  5. Dans la section Add subnets (Ajouter des sous-réseaux), choisissez Add all the subnets related to this VPC (Ajouter tous les sous-réseaux associés à ce VPC).

  6. Choisissez Create (Créer).

    Votre nouveau groupe de sous-réseaux DB apparaît dans la liste des groupes de sous-réseaux sur la console RDS. Vous pouvez cliquer sur le groupe de sous-réseaux DB pour afficher les détails, y compris l'ensemble des sous-réseaux associés au groupe, dans le volet des détails en bas de la fenêtre.