Amazon Relational Database Service
Guide de l'utilisateur

Scénarios d'accès à une instance de base de données d'un VPC

Amazon RDS prend en charge les scénarios suivants pour accéder à une instance de base de données :

Une instance de base de données d'un VPC accédée par une instance EC2 du même VPC

Une utilisation courante d'une instance de base de données d'un VPC consiste à partager les données avec un serveur d'application qui s'exécute dans une instance EC2 du même VPC. Il s'agit du scénario utilisateur créé si vous utilisez AWS Elastic Beanstalk pour créer une instance EC2 et une instance de base de données dans le même VPC.

Le schéma suivant illustre ce scénario.


					Scénario de groupe de sécurité VPC et EC2

La solution la plus simple pour gérer l'accès entre les instances EC2 et les instances de base de données du même VPC consiste à agir ainsi :

  • Créez un groupe de sécurité VPC dans lequel seront placées vos instances de base de données. Ce groupe de sécurité peut être utilisé pour restreindre l'accès aux instances de base de données. Par exemple, vous pouvez créer une règle personnalisée pour ce groupe de sécurité, qui autorise l'accès TCP à l'aide du port que vous avez attribué à l'instance de base de données lorsque vous l'avez créée et une adresse IP que vous utilisez pour accéder à l'instance de base de données à des fins de développement ou autre.

  • Créez un groupe de sécurité VPC dans lequel seront placées vos instances EC2 (serveurs web et clients). Ce groupe de sécurité peut, si nécessaire, autoriser l'accès à l'instance EC2 à partir d'Internet via la table de routage du VPC. Par exemple, vous pouvez définir des règles sur ce groupe de sécurité pour autoriser l'accès TCP à l'instance EC2 sur le port 22.

  • Créez des règles personnalisées dans le groupe de sécurité pour vos instances de base de données qui autorisent les connexions depuis le groupe de sécurité que vous avez créé pour vos instances EC2. N'importe quel membre du groupe de sécurité peut ainsi accéder aux instances de base de données.

Pour obtenir un didacticiel qui explique comment créer un VPC avec des sous-réseaux publics et privés pour ce scénario, consultez Didacticiel : créer un Amazon VPC à utiliser avec une instance de base de données.

Pour créer une règle dans un groupe de sécurité VPC qui autorise les connexions à partir d'un autre groupe de sécurité, procédez comme suit :

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Choisissez ou créez un groupe de sécurité auquel vous voulez autoriser les membres d'un autre groupe de sécurité à accéder. Dans le scénario précédent, il s’agit du groupe de sécurité que vous utilisez pour vos instances de base de données. Sélectionnez l'onglet Inbound Rules (Règles entrantes), puis Edit rule (Modifier la règle).

  4. Sur la page Edit inbound rules (Modifier les règles entrantes), choisissez Add Rule (Ajouter une règle).

  5. Dans Type, choisissez une des options Tous les ICMP. Dans la zone Source, commencez à saisir l'ID du groupe de sécurité ; vous obtenez ainsi une liste de groupes de sécurité. Choisissez le groupe de sécurité dont vous voulez autoriser les membres à accéder aux ressources protégées par ce groupe de sécurité. Dans le scénario précédent, il s’agit du groupe de sécurité que vous utilisez pour votre instance EC2.

  6. Répétez les étapes pour le protocole TCP en créant une règle avec Tous TCP comme Type et votre groupe de sécurité dans la zone Source. Si vous prévoyez d'utiliser le protocole UDP, créez une règle avec Tous UDP comme Type et votre groupe de sécurité dans la zone Source.

  7. Créez une règle TCP personnalisée qui autorise l'accès via le port que vous avez utilisé lorsque vous avez créé votre instance de base de données, tel que le port 3306 pour MySQL. Indiquez votre groupe de sécurité ou une adresse IP que vous utiliserez dans la zone Source.

  8. Choisissez Enregistrer lorsque vous avez terminé.


					ajout d'un groupe de sécurité aux règles d'un autre groupe de sécurité

Une instance de base de données d'un VPC accédée par une instance EC2 d'un autre VPC

Quand votre instance de base de données se trouve dans un VPC différent de l'instance EC2 que vous utilisez pour y accéder, vous pouvez utiliser l'appairage de VPC pour accéder à l'instance de base de données.

Le schéma suivant illustre ce scénario.


				Une instance de base de données d'un VPC accédée par une instance EC2 d'un autre VPC

Une connexion d'appairage de VPC est une connexion de mise en réseau entre deux VPC qui permet de router le trafic entre ces derniers à l'aide d'adresses IP privées. Les instances des deux VPC peuvent communiquer entre elles comme si elles se trouvaient dans le même réseau. Vous pouvez créer une connexion d'appairage de VPC entre vos propres VPC, avec un VPC situé dans un autre compte AWS ou avec un VPC au sein d'une autre région AWS. Pour plus d'informations sur l'appairage de VPC, consultez Appairage de VPC dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Vous pouvez communiquer entre une instance de base de données Amazon RDS qui se trouve dans un VPC et une instance EC2 qui ne se trouve pas dans un Amazon VPC à l'aide de ClassicLink. Lorsque vous utilisez ClassicLink, une application sur l'instance EC2 peut se connecter à l'instance de base de données à l'aide du point de terminaison pour l'instance de base de données. ClassicLink est disponible gratuitement.

Le schéma suivant illustre ce scénario.


					Une instance de base de données d'un VPC accédée par une instance EC2 ne figurant pas dans un VPC

Avec ClassicLink, vous pouvez connecter une instance EC2 à une base de données isolée logiquement où vous définissez la plage d'adresses IP et contrôlez les listes de contrôle d'accès (ACL) pour gérer le trafic réseau. Vous n'avez pas à utiliser les adresses IP publiques ou le tunneling pour communiquer avec l'instance de base de données du VPC. Cette disposition vous fournit la connexion au débit le plus élevé et à la latence la plus faible pour les communications inter-instance.

Pour activer ClassicLink entre une instance de base de données d'un VPC et une instance EC2 ne figurant pas dans un VPC

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Vos VPC.

  3. Choisissez le VPC utilisé par l'instance de base de données.

  4. Dans Actions, choisissez Enable ClassicLink (Activer ClassicLink). Dans la boîte de dialogue de confirmation, sélectionnez Oui, activer.

  5. Dans la console EC2, choisissez l'instance EC2 que vous voulez connecter à l'instance de base de données du VPC.

  6. Dans Actions, choisissez ClassicLink, puis Link to VPC (Liens vers VPC).

  7. Dans la page Link to VPC (Lien vers VPC), choisissez le groupe de sécurité que vous voulez utiliser, puis choisissez Link to VPC (Lier au VPC).

Note

Les fonctions de ClassicLink sont visibles uniquement sur les consoles pour les comptes et les régions prenant en charge EC2-Classic. Pour plus d'informations, consultez ClassicLink dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Une instance de base de données d'un VPC accessible par une application cliente via Internet

Pour accéder à une instance de base de données d'un VPC à partir d'une application cliente via Internet, vous configurez un VPC avec un seul sous-réseau public et une passerelle Internet pour activer la communication sur Internet.

Le schéma suivant illustre ce scénario.


					Une instance de base de données d'un VPC accessible par une application cliente via Internet

Nous recommandons la configuration suivante :

  • Un VPC de taille /16 (par exemple, CIDR : 10.0.0.0/16). Cette taille fournit 65 536 adresses IP privées.

  • Un sous-réseau de taille /24 (par exemple, CIDR : 10.0.0.0/24). Cette taille fournit 256 adresses IP privées.

  • Une instance de base de données Amazon RDS associée au VPC et au sous-réseau. Amazon RDS affecte à votre instance de base de données une adresse IP au sein du sous-réseau.

  • Une passerelle Internet qui connecte le VPC à Internet et à d'autres produits AWS.

  • Groupe de sécurité associé à l'instance de base de données. Les règles de trafic entrant de votre groupe de sécurité permettent à votre application client d'accéder à votre instance de base de données.

Pour plus d'informations sur la création d'une instance de base de données dans un VPC, consultez Création d'une instance de base de données dans un VPC.

Une instance de base de données ne figurant pas dans un VPC accédée par une instance EC2 d'un VPC

Dans le cas où vous avez une instance EC2 dans un VPC et une instance de base de données RDS ne figurant pas dans un VPC, vous pouvez les connecter via Internet.

Le schéma suivant illustre ce scénario.


					Une instance de base de données ne figurant pas dans un VPC accédée par une instance EC2 d'un VPC

Note

ClassicLink n'est pas disponible pour ce scénario, tel qu'indiqué dans Une instance de base de données d'un VPC accédée par une instance EC2 ne figurant pas dans un VPC.

Pour connecter votre instance de base de données et votre instance EC2 sur Internet, procédez comme suit :

  • Assurez-vous que l'instance EC2 se trouve dans un sous-réseau public du VPC.

  • Assurez-vous que l'instance de base de données RDS a été marquée comme publiquement accessible.

  • Une remarque à propos des ACL réseau. Une liste ACL réseau est semblable à un pare-feu pour la totalité de votre sous-réseau. Par conséquent, toutes les instances de ce sous-réseau sont soumises aux règles des listes ACL réseau. Par défaut, les listes ACL réseau autorisent la totalité du trafic et vous n'avez généralement pas à vous en préoccuper, à moins que vous souhaitiez particulièrement ajouter des règles comme couche de sécurité supplémentaire. Un groupe de sécurité, d'autre part, est associé à des instances individuelles et vous n'avez pas à vous préoccuper des règles de groupe de sécurité.

  • Ajoutez les règles d'entrée nécessaires au groupe de sécurité DB pour l'instance de base de données RDS.

    Une règle d'entrée spécifie un port réseau et une plage CIDR/IP. Par exemple, vous pouvez ajouter une règle d'entrée qui autorise le port 3306 à se connecter à une instance de base de données MySQL RDS et une plage CIDR/IP 203.0.113.25/32. Pour plus d'informations, consultez Autorisation de l'accès réseau à un groupe de sécurité DB depuis une plage IP.

Note

Si vous souhaitez déplacer une instance de base de données existante vers un VPC, vous pouvez utiliser AWS Management Console pour faire facilement. Pour plus d'informations, consultez Déplacement vers un VPC d'une instance de base de données n'appartenant pas à un VPC.

Une instance de base de données ne figurant pas dans un VPC accédée par une instance EC2 ne figurant pas dans un VPC

Quand ni votre instance de base de données ni une application d'une instance EC2 ne se trouvent dans un VPC, vous pouvez accéder à l'instance de base de données en utilisant son point de terminaison et son port.

Le schéma suivant illustre ce scénario.


					Une instance de base de données ne figurant pas dans un VPC accédée par une instance EC2 ne figurant pas dans un VPC

Vous devez créer un groupe de sécurité pour l'instance de base de données qui autorise l'accès à partir du port que vous avez spécifié lors de la création de l'instance de base de données. Par exemple, vous pouvez utiliser une chaîne de connexion similaire à celle utilisée avec sqlplus pour accéder à une instance de base de données Oracle :

PROMPT>sqlplus 'mydbusr@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=<endpoint>) (PORT=<port number>))(CONNECT_DATA=(SID=<database name>)))'

Pour plus d'informations, consultez la documentation suivante.

Note

Si vous souhaitez déplacer une instance de base de données existante vers un VPC, vous pouvez utiliser AWS Management Console pour faire facilement. Pour plus d'informations, consultez Déplacement vers un VPC d'une instance de base de données n'appartenant pas à un VPC.

Une instance de base de données ne figurant pas dans un VPC accédée par une application cliente via Internet

Les nouveaux clients Amazon RDS peuvent uniquement créer une instance de base de données dans un VPC. Cependant, il se peut que vous ayez besoin de vous connecter à une instance de base de données Amazon RDS qui ne figure pas dans un VPC à partir d'une application cliente via Internet.

Le schéma suivant illustre ce scénario.


				Une instance de base de données ne figurant pas dans un VPC, consultée par une application cliente via Internet

Dans ce scénario, vous devez vous assurer que le groupe de sécurité DB de l'instance de base de données RDS inclut les règles d'entrée nécessaires pour que votre application cliente puisse se connecter. Une règle d'entrée spécifie un port réseau et une plage CIDR/IP. Par exemple, vous pouvez ajouter une règle d'entrée qui autorise le port 3306 à se connecter à une instance de base de données MySQL RDS et une plage CIDR/IP 203.0.113.25/32. Pour plus d'informations, consultez Autorisation de l'accès réseau à un groupe de sécurité DB depuis une plage IP.

Avertissement

Si vous prévoyez d'accéder à une instance de base de données derrière un pare-feu, parlez avec votre administrateur réseau pour déterminer les adresses IP à utiliser.

Note

Si vous souhaitez déplacer une instance de base de données existante vers un VPC, vous pouvez utiliser AWS Management Console pour faire facilement. Pour plus d'informations, consultez Déplacement vers un VPC d'une instance de base de données n'appartenant pas à un VPC.