Utilisation d'un d'instances de base de données dans un VPC - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un d'instances de base de données dans un VPC

Votre d'instances de base de données se trouve dans un cloud privé virtuel (VPC). A VPC est un réseau virtuel qui est logiquement isolé des autres réseaux virtuels du AWS Nuage. Amazon vous VPC permet de lancer AWS des ressources, telles qu'un d'instance de base de données Amazon Amazon ou une EC2 instance Amazon, dans unVPC. RDS Il VPC peut s'agir d'une valeur par défaut VPC fournie avec votre compte ou d'une valeur que vous avez créée. Tous VPCs sont associés à votre AWS .

Votre sous-réseau par défaut VPC comporte trois sous-réseaux que vous pouvez utiliser pour isoler les ressources à l'intérieur duVPC. Par défaut, il existe VPC également une passerelle Internet qui peut être utilisée pour fournir un accès aux ressources à l'intérieur ou VPC à l'extérieur duVPC.

Pour obtenir la liste des scénarios impliquant des d'instances de base de données RDSAmazon à l'intérieur VPC et à l'extérieur d'un VPC, consultezScénarios d'accès à un d'instances de base de données dans un VPC.

Dans les didacticiels suivants, vous apprendrez à créer un VPC scénario RDSAmazon courant :

Utilisation d'un d'instances de base de données dans un VPC

Voici quelques conseils sur l'utilisation d'un d'instances de base de données dans un VPC :

  • Vous VPC devez disposer d'au moins deux sous-réseaux. Ces sous-réseaux doivent se trouver dans deux zones de disponibilité différentes dans Région AWS où vous souhaitez déployer votre d'instances de base de données. Un sous-réseau est un segment de la plage d'adresses IP VPC de a que vous pouvez spécifier et que vous pouvez utiliser pour regrouper des d'instances de base de données en fonction de vos besoins opérationnels et de sécurité.

    Pour les déploiements multi-AZ, définir un sous-réseau pour deux zones de disponibilité ou plus dans un Région AWS permet RDS à Amazon de créer une nouvelle réserve dans une autre zone de disponibilité selon les besoins. Procédez de la sorte même pour les déploiements Single-AZ, au cas où vous souhaitiez les convertir en déploiements multi-AZ par la suite.

    Note

    Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

  • Si vous souhaitez que votre d'instance de base de VPC données soit accessible au public, assurez-vous d'activer les VPC attributs, les DNSnoms d'hôte et la DNSrésolution.

  • Vous VPC devez créer un groupe de sous-réseaux de base de données. Vous créez un groupe de sous-réseaux de base de données en spécifiant les sous-réseaux que vous avez créés. Amazon RDS choisit un sous-réseau et une adresse IP au sein de ce groupe de sous-réseaux à associer à votre instance de base de données. L'instance de base de données utilise la zone de disponibilité contenant le sous-réseau.

  • Vous VPC devez disposer d'un groupe VPC de sécurité qui autorise l'accès au d'instances de base de données.

    Pour de plus amples informations, veuillez consulter Scénarios d'accès à un d'instances de base de données dans un VPC.

  • Les CIDR blocs de chacun de vos sous-réseaux doivent être suffisamment grands pour contenir des adresses IP de réserve qu'RDSAmazon pourra utiliser pendant les activités de maintenance, notamment le basculement sur incident et le dimensionnement du calcul. Par exemple, une plage telle que 10.0.0.0/24 et 10.0.1.0/24 est généralement suffisante.

  • A VPC peut avoir un attribut de location d'instance par défaut ou dédié. Toutes les valeurs par défaut VPCs ont l'attribut de location d'instance défini sur défaut, et une valeur par défaut VPC peut prendre en charge n'importe quelle classe d'instance de base de données.

    Si vous choisissez de placer votre d'instance de base de données dans un environnement dédié VPC où l'attribut de location d'instance est défini sur dédié, la classe d'instance de base de données de votre d'instance de base de données doit être l'un des types d'instances EC2 dédiées Amazon approuvés. Par exemple, l'instance EC2 dédiée r5.large correspond à la classe d'instance de base de données db.r5.large. Pour plus d'informations sur la location d'instance dans unVPC, consultez la section Instances dédiées dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

    Pour plus d'informations sur les types d'instances qui peuvent figurer dans une instance dédiée, consultez la section Instances EC2 dédiées Amazon sur la page de EC2 tarification.

    Note

    Lorsque vous définissez l'attribut de location d'instance sur dédié pour un(e) instance de base de données, cela ne garantit pas que l'instance de base de données fonctionnera sur un hôte dédié.

  • Lorsqu'un groupe d'options est attribué à une instance de base de données, il est associé à celle de l'instance de base de donnéesVPC. Ce lien signifie que vous ne pouvez pas utiliser le groupe d'options attribué à une instance de base de données si vous essayez de restaurer l'instance de base de données dans une autre VPC instance.

  • Si vous restaurez une instance de base de données dans une autre instanceVPC, assurez-vous d'attribuer le groupe d'options par défaut à l'instance de base de données, d'attribuer un groupe d'options qui y est lié ou de créer un nouveau groupe d'options et de l'attribuer à l'instance de base de données. VPC Avec les options persistantes ou permanentes, telles qu'OracleTDE, vous devez créer un nouveau groupe d'options qui inclut l'option persistante ou permanente lors de la restauration d'une instance de base de données dans une autreVPC.

Utilisation de groupes de sous-réseaux DB

Les sous-réseaux sont des segments d'une plage VPC d'adresses IP que vous désignez pour regrouper vos ressources en fonction de vos besoins opérationnels et de sécurité. En utilisant un groupe de sous-réseaux de base de données, vous pouvez spécifier un élément particulier VPC lors de la création de d'instances de base de données à l'aide du AWS CLI ou RDSAPI. Si vous utilisez la console, vous pouvez choisir les groupes de VPC sous-réseaux et de sous-réseaux que vous souhaitez utiliser.

Chaque groupe de sous-réseaux de base de données doit avoir des sous-réseaux dans au moins deux zones de disponibilité dans une zone donnée Région AWS. Lorsque vous créez un d'instances de base de données dans unVPC, vous choisissez un groupe de sous-réseaux de base de données pour celui-ci. Dans le groupe de sous-réseaux de base de données, Amazon RDS choisit un sous-réseau et une adresse IP au sein de ce sous-réseau à associer à l'instance de base de données de données. La base de données utilise la zone de disponibilité contenant le sous-réseau.

Si l'instance de base de données principale d'un déploiement multi-AZ échoue, Amazon RDS peut promouvoir l'instance de secours correspondante et créer ultérieurement une nouvelle instance de secours en utilisant une adresse IP du sous-réseau dans l'une des autres zones de disponibilité.

Les sous-réseaux d'un groupe de sous-réseaux de base de données sont publics ou privés. Les sous-réseaux sont publics ou privés, selon la configuration que vous définissez pour leurs listes de contrôle d'accès réseau (réseauACLs) et leurs tables de routage. Pour qu'un(e) instance de base de données soit accessible au public, tous les sous-réseaux de son groupe de sous-réseaux de base de données doivent être publics. Si un sous-réseau associé à un(e) instance de base de données accessible au public passe de public à privé, cela peut affecter la disponibilité de l'instance de base de données.

Pour créer un groupe de sous-réseaux de base de données prenant en charge le mode double pile, assurez-vous qu'un CIDR bloc de protocole Internet version 6 (IPv6) est associé à chaque sous-réseau que vous ajoutez au groupe de sous-réseaux de base de données. Pour plus d'informations, consultez Adressage IP RDSAmazon la section « Migration vers » IPv6 dans le guide de l'VPCutilisateur Amazon.

Note

Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

Lorsqu'Amazon RDS Amazon crée un d'instances de base de données dans unVPC, il attribue une interface réseau à votre d'instances de base de données en utilisant une adresse IP provenant de votre groupe de sous-réseaux de base de données. Cependant, nous vous recommandons vivement d'utiliser le nom du système de noms de domaine (DNS) pour vous connecter à votre d'instances de base de données. Nous le recommandons car l'adresse IP sous-jacente change pendant le basculement.

Note

Pour chaque d'instances de base de données que vous exécutez dans unVPC, assurez-vous de réserver au moins une adresse dans chaque sous-réseau du groupe de sous-réseaux de base de données à utiliser par Amazon RDSAmazon de restauration.

Sous-réseaux partagés

Vous pouvez créer un d'instances de base de données dans un environnement partagéVPC.

Voici quelques points à prendre en compte lors de l'utilisation du partage VPCs :

  • Vous pouvez déplacer un d'instances de base de données d'un VPC sous-réseau partagé vers un VPC sous-réseau non partagé et vice-versa.

  • Les participants à un partage VPC doivent créer un groupe de sécurité dans le VPC pour leur permettre de créer un d'instances de base de données.

  • Les propriétaires et les participants d'un partage VPC peuvent accéder à la base de données à l'aide de SQL requêtes. Cependant, seul le créateur d'une ressource peut effectuer des API appels sur cette ressource.

Adressage IP RDSAmazon

Les adresses IP permettent VPC à vos ressources de communiquer entre elles et avec des ressources via Internet. Amazon RDS Amazon prend en charge les deux protocoles IPv4 ainsi que les protocoles d'IPv6adressage. Par défaut, Amazon RDS Amazon et Amazon VPC utilisent le protocole d'IPv4adressage. Vous ne pouvez pas désactiver ce comportement. Lorsque vous créez unVPC, assurez-vous de spécifier un IPv4 CIDR bloc (une plage d'IPv4adresses privées). Vous pouvez éventuellement attribuer un IPv6 CIDR bloc à vos sous-réseaux VPC et et attribuer les IPv6 adresses de ce bloc aux d'instances de base de données de votre sous-réseau.

Support du IPv6 protocole augmente le nombre d'adresses IP prises en charge. En utilisant le IPv6 protocole, vous vous assurez de disposer de suffisamment d'adresses disponibles pour la future croissance d'Internet. Les RDS ressources nouvelles et existantes peuvent être utilisées IPv4 et les IPv6 adresses au sein de votreVPC. La configuration, la sécurisation et la traduction du trafic réseau entre les deux protocoles utilisés dans les différentes parties d'une application peuvent entraîner une surcharge opérationnelle. Vous pouvez standardiser le IPv6 protocole pour les RDS ressources Amazon afin de simplifier la configuration de votre réseau.

IPv4adresses

Lorsque vous créez unVPC, vous devez spécifier une plage d'IPv4adresses pour le VPC sous la forme d'un CIDR bloc, tel que10.0.0.0/16. Un groupe de sous-réseaux de base de données définit la plage d'adresses IP de ce CIDR bloc qu'un d'instances de base de données peut utiliser. Ces adresses IP peuvent être privées ou publiques.

Une IPv4 adresse privée est une adresse IP qui n'est pas accessible via Internet. Vous pouvez utiliser IPv4 des adresses privées pour la communication entre votre d'instances de base de données et d'autres ressources, telles que EC2 les instances Amazon, qui s'y trouventVPC. Chaque d'instances de base de données possède une adresse IP privée pour la communication dans leVPC.

Une adresse IP publique est une IPv4 adresse accessible depuis Internet. Vous pouvez utiliser des adresses publiques pour la communication entre votre d'instances de base de données et des ressources sur Internet, telles qu'un SQL client. Vous contrôlez si votre instance de base de données reçoit une adresse IP publique.

Pour un didacticiel expliquant comment créer un fichier VPC contenant uniquement des IPv4 adresses privées que vous pouvez utiliser pour un scénario Amazon RDS courant, consultezTutoriel : créer un VPC à utiliser avec un(e) instance de base de données (IPv4 uniquement).

IPv6adresses

Vous pouvez éventuellement associer un IPv6 CIDR bloc à vos VPC sous-réseaux et et attribuer IPv6 des adresses de ce bloc aux ressources de votreVPC. Chaque IPv6 adresse est unique au monde.

Le IPv6 CIDR bloc correspondant à votre compte VPC est automatiquement attribué à partir du pool d'IPv6adresses d'Amazon. Vous ne pouvez pas choisir la plage vous-même.

Lorsque vous vous connectez à une IPv6 adresse, assurez-vous que les conditions suivantes sont remplies :

  • Le client est configuré de telle sorte que le trafic entre le client et la base de données IPv6 soit autorisé.

  • RDSles groupes de sécurité utilisés par l'instance de base de données sont correctement configurés afin que le trafic entre le client et la base de données IPv6 soit autorisé.

  • La pile du système d'exploitation client autorise le trafic sur l'IPv6adresse, et les pilotes et bibliothèques du système d'exploitation sont configurés pour choisir le point de terminaison d'instance de base de données par défaut correct (IPv4ou nonIPv6).

Pour plus d'informationsIPv6, consultez la section Adressage IP dans le guide de VPC l'utilisateur Amazon.

Mode double pile

Lorsqu'un d'instances de base de données peut communiquer à la fois via les protocoles IPv4 et d'IPv6adressage, il s'exécute en mode double pile. Ainsi, les ressources peuvent communiquer avec le d'instances de base de IPv4 données IPv6 via ou les deux. RDSdésactive l'accès à Internet Gateway pour les IPv6 points de terminaison des instances de base de données privées en mode double pile. RDSfait cela pour garantir que vos IPv6 points de terminaison sont privés et ne sont accessibles que depuis votreVPC.

Pour un didacticiel expliquant comment créer à la fois un VPC identifiant IPv4 et IPv6 des adresses que vous pouvez utiliser pour un scénario Amazon RDS courant, consultezTutoriel : Créer un VPC à utiliser avec une instance de base de données (mode double-pile).

Mode double pile et groupes de sous-réseaux de base de données

Pour utiliser le mode double pile, assurez-vous qu'un IPv6 CIDR bloc est associé à chaque sous-réseau du groupe de sous-réseaux de base de données que vous associez au d'instances de base de données. Vous pouvez créer un nouveau groupe de sous-réseau de base de données ou modifier un groupe de sous-réseau de base de données existant pour répondre à cette exigence. Une fois qu'une instance de base de données est en mode double pile, les clients peuvent s'y connecter normalement. Assurez-vous que les pare-feux de sécurité des clients et les groupes de sécurité des RDS instances de base de données sont correctement configurés pour autoriser le trafic. IPv6 Pour se connecter, les clients utilisent le point de terminaison de l'instance de base de données. Les applications client peuvent spécifier quel protocole est préféré lors de la connexion à une base de données. En mode double pile, le d'instances de base de données détecte le protocole réseau préféré du client, soitIPv6, IPv4 soit, et utilise ce protocole pour la connexion.

Si un groupe de sous-réseaux de base de données cesse de prendre en charge le mode double pile en raison de la suppression ou de la CIDR dissociation de sous-réseaux, il existe un risque d'état réseau incompatible pour les instances de base de données associées au groupe de sous-réseaux de base de données. De même, vous ne pouvez pas utiliser le groupe de sous-réseau de base de données lorsque vous créez une instance de base de données en mode double pile.

Pour déterminer si un groupe de sous-réseaux de base de données prend en charge le mode double pile à l'aide du AWS Management Console, consultez le type de réseau sur la page de détails du groupe de sous-réseaux de base de données. Pour déterminer si un groupe de sous-réseaux de base de données prend en charge le mode double pile à l'aide du AWS CLI, exécutez la describe-db-subnet-groupscommande et SupportedNetworkTypes affichez-la dans le résultat.

Les réplicas en lecture sont traités comme des instances de base de données indépendantes et peuvent avoir un type de réseau différent de celui de l'instance de base de données principale. Si vous modifiez le type de réseau de l'instance de base de données principale d'un réplica en lecture, le réplica en lecture n'est pas affecté. Lorsque vous restaurez une instance de base de données, vous pouvez la restaurer sur tout type de réseau pris en charge.

Utilisation d'instances de base de données en mode double pile

Lorsque vous créez ou modifiez un d'instances de base de données, vous pouvez spécifier le mode double pile pour permettre à vos ressources de communiquer avec votre d'instances de base de données IPv4 via ou IPv6 les deux.

Lorsque vous utilisez le AWS Management Console pour créer ou modifier une instance de base de données, vous pouvez spécifier le mode double pile dans la section Type de réseau. L'image suivante présente la section Network type (Type de réseau) dans la console.

Section Network type (Type de réseau) dans la console avec Dual-stack mode (mode Double pile) sélectionné

Lorsque vous utilisez le AWS CLI pour créer ou modifier un d'instances de base de données, définissez l'--network-typeoption DUAL pour utiliser le mode double pile. Lorsque vous utilisez le RDS API pour créer ou modifier un d'instances de base de données, définissez le NetworkType paramètre DUAL pour utiliser le mode double pile. Lorsque vous modifiez le type de réseau d'une instance de base de données, un temps d'arrêt est possible. Si le mode double pile n'est pas pris en charge par la version du moteur de base de données ou le groupe de sous-réseau de base de données spécifié, l'erreur NetworkTypeNotSupported est renvoyée.

Pour plus d'informations sur la création d'une instance de base de données, consultez Création d'une instance de base de données Amazon RDS. Pour plus d'informations sur la modification d'une instance de base de données, veuillez consulter Modification d'une instance de base de données Amazon RDS.

Pour déterminer si un(e) instance de base de données est en mode double pile en utilisant la console, affichez Network type (Type de réseau) dans l'onglet Connectivity & security (Connectivité et sécurité) pour l'instance de la base de données.

Modification de IPv4 d'instances de base de données réservés uniquement pour utiliser le mode double pile

Vous pouvez modifier un d'instances de base de données réservé IPv4 uniquement pour utiliser le mode double pile. Pour ce faire, modifiez le type de réseau de l'instance de base de données. La modification peut entraîner un temps d'arrêt.

Il est recommandé de modifier le type de réseau de vos instances de base de RDS données Amazon () au cours d'une fenêtre de maintenance. Pour l'heure, il n'est pas possible de définir le type de réseau des nouvelles instances sur le mode double pile. Vous pouvez définir le type de réseau manuellement à l'aide de la commande modify-db-instance .

Avant de modifier un(e) instance de base de données pour utiliser le mode double pile, assurez-vous que son groupe de sous-réseau de base de données prend en charge le mode double pile. Si le groupe de sous-réseau de base de données associé à l'instance de base de données ne prend pas en charge le mode double pile, spécifiez un autre groupe de sous-réseau de base de données qui le prend en charge lorsque vous modifiez l'instance de base de données. La modification du groupe de sous-réseaux de base de données d'une instance de bases de données peut entraîner une interruption de service.

Si vous modifiez le groupe de sous-réseau de base de données d'une instance de bases de données avant de modifier l'instance de bases de données pour utiliser le mode double pile, assurez-vous que le groupe de sous-réseau de base de données est valide pour l'instance de bases de données avant et après la modification.

RDSPour les instances Single-AZ de Postgre SQLSQL, RDS RDS My, Oracle et RDS MariaDB, nous vous recommandons d'exécuter la commande avec uniquement modify-db-instancele paramètre défini sur DUAL pour faire passer --network-type le réseau en mode double pile. L'ajout d'autres paramètres en plus du --network-type paramètre dans le même API appel peut entraîner un temps d'arrêt. Pour modifier plusieurs paramètres, vérifiez que le modification du type de réseau a bien abouti avant d'envoyer une autre demande modify-db-instance avec d'autres paramètres.

Les modifications du type de réseau RDS pour les instances de base de données multi-AZ Postgre SQLSQL, RDS RDS My, Oracle et RDS MariaDB entraînent une brève interruption et déclenchent un basculement si vous utilisez uniquement --network-type le paramètre ou si vous combinez des paramètres dans une commande. modify-db-instance

Les modifications du type de réseau activées RDS pour les instances de base de données mono-AZ ou multi-AZ du SQL serveur entraînent des interruptions de service si vous utilisez uniquement le --network-type paramètre ou si vous combinez des paramètres dans une modify-db-instance commande. Les modifications du type de réseau entraînent un basculement dans une instance SQL Server Multi-AZ.

Si vous ne parvenez pas à vous connecter au d'instances de base de données après la modification, assurez-vous que les pare-feux de sécurité et les tables de routage du client et de la base de données sont correctement configurés pour autoriser le trafic vers la base de données sur le réseau sélectionné (IPv4ou nonIPv6). Vous devrez peut-être également modifier les paramètres du système d'exploitation, les bibliothèques ou les pilotes pour vous connecter à l'aide d'une IPv6 adresse.

Lorsque vous modifiez une instance de base de données pour qu'elle utilise le mode double pile, aucune modification (passage du déploiement mono-AZ au déploiement multi-AZ ou du déploiement multi-AZ au déploiement mono-AZ) ne doit être en cours.

Pour modifier un d'instances de base de données réservé IPv4 uniquement afin d'utiliser le mode double pile
  1. Modifiez un groupe de sous-réseaux de base de données pour prendre en charge le mode double pile ou créez un groupe de sous-réseaux de base de données qui prend en charge le mode double pile :

    1. Associez un IPv6 CIDR bloc à votreVPC.

      Pour obtenir des instructions, consultez la section Ajouter un IPv6 CIDR bloc à votre VPC dans le guide de VPC l'utilisateur Amazon.

    2. Attachez le IPv6 CIDR bloc à tous les sous-réseaux de votre groupe de sous-réseaux de base de données.

      Pour obtenir des instructions, consultez la section Ajouter un IPv6 CIDR bloc à votre sous-réseau dans le guide de l'VPCutilisateur Amazon.

    3. Confirmez que le groupe de sous-réseaux de base de données prend en charge le mode double pile.

      Si vous utilisez AWS Management Console, sélectionnez le groupe de sous-réseaux de base de données et assurez-vous que la valeur Types de réseau pris en charge est Dual, IPv4.

      Si vous utilisez AWS CLI, exécutez la describe-db-subnet-groupscommande et assurez-vous que la SupportedNetworkType valeur de l'instance de base de données estDual, IPv4.

  2. Modifiez le groupe de sécurité associé au d'instances de base de données pour autoriser IPv6 les connexions à la base de données, ou créez un nouveau groupe de sécurité qui autorise IPv6 les connexions.

    Pour obtenir des instructions, consultez la section Règles relatives aux groupes de sécurité dans le guide de VPC l'utilisateur Amazon.

  3. Modifiez l'instance de la base de données pour qu'il prenne en charge le mode double pile. Pour ce faire, réglez le Network type (Type de réseau) sur Dual-stack mode (Mode double pile).

    Si vous utilisez la console, assurez-vous que les paramètres suivants sont corrects :

    • Network type (Type de réseau) – Dual-stack mode (Mode double pile)

      Section Network type (Type de réseau) dans la console avec Dual-stack mode (mode Double pile) sélectionné
    • DB subnet group (Groupe de sous-réseau de base de données) : le groupe de sous-réseau de base de données que vous avez configuré à l'étape précédente.

    • Security group (Groupe de sécurité) – la sécurité que vous avez configurée dans une étape précédente.

    Si vous utilisez AWS CLI, assurez-vous que les paramètres suivants sont corrects :

    • --network-typedual

    • --db-subnet-group-name — le groupe de sous-réseau de base de données que vous avez configuré à l'étape précédente.

    • --vpc-security-group-ids— Le groupe VPC de sécurité que vous avez configuré lors d'une étape précédente

    Par exemple :

    aws rds modify-db-instance --db-instance-identifier my-instance --network-type "DUAL"
  4. Confirmez que l'instance de base de données prend en charge le mode double pile.

    Si vous utilisez la console, choisissez l'onglet Connectivity & security (Connectivité et sécurité) pour l'instance de la base de données. Dans cet onglet, assurez-vous que la valeur de Network type (Type de réseau) est Dual-stack mode (Mode double pile).

    Si vous utilisez AWS CLI, exécutez la describe-db-instancescommande et assurez-vous que la NetworkType valeur de l'instance de base de données estdual.

    Exécutez la dig commande sur le point de terminaison de l'instance de base de données du pour identifier l'IPv6adresse qui lui est associée.

    dig db-instance-endpoint AAAA

    Utilisez le point de terminaison de l'instance de base de données du , et non l'IPv6adresse, pour vous connecter au d'instances de base de données.

Disponibilité des régions et des versions

La disponibilité et le support des fonctionnalités varient selon les versions spécifiques de chaque moteur de base de données, et selon Régions AWS. Pour plus d'informations sur la disponibilité des versions et des régions avec le mode Dual-Stack, consultezRégions et moteurs de base de données pris en charge pour le mode Dual-Stack sur Amazon RDS.

Limitations pour les instances de base de données en réseau à double pile

Les limitations suivantes s'appliquent aux instances de base de données en réseau à double pile :

  • Les d'instances de base de données ne peuvent pas utiliser le IPv6 protocole exclusivement. Ils peuvent utiliser IPv4 exclusivement, ou ils peuvent utiliser le IPv6 protocole IPv4 and (mode double pile).

  • Amazon RDS ne prend pas en charge les IPv6 sous-réseaux natifs.

  • Les instances de bases de données qui utilisent le mode double pile doivent être privé(e)s. Ils/elles ne peuvent pas être publiquement accessibles.

  • Le mode double pile ne prend pas en charge les classes d'instance de base de données db.m3 et db.r3.

  • RDSPour le SQL serveur, les instances de base de données en mode double pile qui utilisent les points de terminaison du récepteur du groupe de AGs disponibilité Always On ne présentent que des adresses. IPv4

  • Vous ne pouvez pas utiliser le RDS proxy avec des d'instances de base de données en mode double pile.

  • Vous ne pouvez pas utiliser le mode double pile si vous activez RDS AWS Outposts Instances de base de données.

  • Vous ne pouvez pas utiliser le mode double pile avec des instances de base de données dans une zone locale.

Masquer un d'instances de base VPC de données dans un

L'un des scénarios courants d'RDSAmazon consiste à avoir une VPC EC2 instance avec une application Web destinée au public et un d'instances de base de données avec une base de données qui n'est pas accessible au public. Par exemple, vous pouvez créer un VPC qui possède un sous-réseau public et un sous-réseau privé. EC2Les instances Amazon qui fonctionnent comme des serveurs Web peuvent être déployées dans le sous-réseau public. Les instances de base de données sont déployés dans le sous-réseau privé. Dans un tel déploiement, seuls les serveurs web ont accès aux instances de base de données. Pour obtenir une illustration de ce scénario, consultez Un d'instances de base de données dans un VPC accédé par une EC2 instance du même VPC.

Lorsque vous lancez un d'instances de base de données dans unVPC, le d'instances de base de données possède une adresse IP privée pour le trafic à l'intérieur deVPC. Cette adresse IP privée n'est pas accessible au public. Vous pouvez utiliser l'option Public access (Accès public) pour indiquer si l'instance de base de données possède également une adresse IP publique en plus de l'adresse IP privée. Si le d'instances de base de données est désigné comme accessible au public, son DNS point de terminaison est résolu vers l'adresse IP privée depuis leVPC. Il est résolu à l'adresse IP publique depuis l'extérieur duVPC. L'accès à l'instance de la base de données est contrôlé en dernier ressort par le groupe de sécurité qu'il utilise. Cet accès public n'est pas autorisé si le groupe de sécurité attribué à l'instance de la base de données ne comprend pas de règles d'entrée qui l'autorisent. En outre, pour qu'un(e) instance de base de données soit publiquement accessible, les sous-réseaux de son groupe de sous-réseaux de base de données doivent avoir une passerelle Internet. Pour plus d'informations, consultez Impossible de se connecter à l'RDSinstance de base de données Amazon.

Vous pouvez modifier un(e) instance de base de données pour activer ou désactiver l'accessibilité publique en modifiant l'option Public access (Accès public). L'illustration suivante présente l'option Public Access (Accès public) dans la section Additional connectivity configuration (Configuration de connectivité supplémentaire). Pour définir cette option, ouvrez la section Additional connectivity configuration (Configuration de connectivité supplémentaire) dans la section Connectivity (Connectivité).

Définissez l'option Accès public à votre base de données dans la section Configuration de la connectivité supplémentaire sur Non.

Pour plus d'informations sur la modification d'une instance de base de données afin de définir l'option Public access (Accès public), veuillez consulter Modification d'une instance de base de données Amazon RDS.

Création d'un d'instances de base de données dans un VPC

Les procédures suivantes vous aident à créer un d'instances de base de données dans unVPC. Pour utiliser la valeur par défautVPC, vous pouvez commencer par l'étape 2 et utiliser le VPC groupe de sous-réseaux DB qui a déjà été créé pour vous. Si vous souhaitez en créer un autreVPC, vous pouvez en créer un nouveauVPC.

Note

Si vous souhaitez que votre d'instance de base de données soit accessible au public, vous devez mettre à jour les DNS informations relatives au VPC en activant les VPC attributs, DNSnoms d'hôte et DNSrésolution. VPC Pour plus d'informations sur la mise à jour DNS des informations relatives à une VPC instance, consultez Mettre à jour le DNS support pour votre VPC.

Suivez ces étapes pour créer une instance de base de données dans un VPC :

Étape 1 : Création d'un VPC

Créez un VPC avec des sous-réseaux dans au moins deux zones de disponibilité. Vous utilisez ces sous-réseaux lorsque vous créerez un groupe de sous-réseaux de base de données. Si vous avez une valeur par défautVPC, un sous-réseau est automatiquement créé pour vous dans chaque zone de disponibilité du Région AWS.

Pour plus d'informationsCréer un VPC avec des sous-réseaux publics et privés, consultez ou consultez Create a VPC dans le guide de VPC l'utilisateur Amazon.

Étape 2 : créer un groupe de sous-réseaux de base de données

Un groupe de sous-réseaux de base de données vous permet de spécifier un élément particulier VPC lorsque vous créez des d'instances de base de données à l'aide du AWS CLI ou RDSAPI. Si vous utilisez la console, vous pouvez simplement choisir les sous-réseaux VPC et que vous souhaitez utiliser. Chaque groupe de sous-réseaux de base de données doit avoir au moins un sous-réseau dans au moins deux zones de disponibilité dans Région AWS La bonne pratique est la suivante : chaque groupe de sous-réseaux de base de données doit être constitué d'au moins un sous-réseau pour chaque zone de disponibilité dans la . Région AWS.

Pour les déploiements multi-AZ, définition d'un sous-réseau pour toutes les zones de disponibilité dans un Région AWS permet RDS à Amazon de créer une nouvelle réplique de secours dans une autre zone de disponibilité si nécessaire. Vous pouvez également suivre cette bonne pratique pour les déploiements mono-AZ, au cas où vous seriez amené à les convertir en déploiements multi-AZ à l'avenir.

Pour qu'un(e) instance de base de données soit publiquement accessible, les sous-réseaux du groupe de sous-réseaux de base de données doivent avoir une passerelle Internet. Pour plus d'informations sur les passerelles Internet pour les sous-réseaux, consultez la section Se connecter à Internet à l'aide d'une passerelle Internet dans le guide de VPCl'utilisateur Amazon.

Note

Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

Lorsque vous créez un d'instances de base de données dans unVPC, vous pouvez choisir un groupe de sous-réseaux de base de données. Amazon RDS Amazon Amazon RDS crée et associe une interface réseau élastique à votre d'instances de base de données avec cette adresse IP. L'instance de base de données utilise la zone de disponibilité contenant le sous-réseau.

Pour les déploiements multi-AZ, définir un sous-réseau pour deux zones de disponibilité ou plus dans un Région AWS permet RDS à Amazon de créer une nouvelle réserve dans une autre zone de disponibilité en cas de besoin. Vous devez procéder de la sorte même pour les déploiements Single-AZ, au cas où vous souhaitiez les convertir en déploiements multi-AZ par la suite.

Au cours de cette étape, vous créez un groupe de sous-réseaux de base de données et ajoutez les sous-réseaux que vous avez créés pour votre. VPC

Pour créer un groupe de sous-réseaux
  1. Ouvrez la RDS console Amazon à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Subnet groups (Groupes de sous-réseaux).

  3. Choisissez Create DB Subnet Group (Créer groupe de sous-réseaux de base de données).

  4. Dans Nom, saisissez le nom de votre nouveau groupe de sous-réseaux de base de données.

  5. Dans le champ Description, saisissez une description de votre groupe de sous-réseaux de base de données.

  6. Pour VPC, choisissez la valeur par défaut VPC ou celle VPC que vous avez créée.

  7. Dans la section Ajouter des sous-réseaux, choisissez les zones de disponibilité qui incluent les sous-réseaux à partir de Zones de disponibilité, puis choisissez les sous-réseaux à partir de Sous-réseaux.

    Créer un groupe de sous-réseaux de base de données
    Note

    Si vous avez activé une zone locale, vous pouvez choisir un groupe de zone de disponibilité sur la page Créer un groupe de sous-réseaux DB. Dans ce cas, choisissez Groupe de zone de disponibilité, Zones de disponibilité et Sous-réseaux.

  8. Sélectionnez Create (Créer).

    Votre nouveau groupe de sous-réseaux de base de données apparaît dans la liste des groupes de sous-réseaux de base de données de la RDS console. Vous pouvez choisir le groupe de sous-réseaux DB pour afficher les détails, y compris l'ensemble des sous-réseaux associés au groupe, dans le volet des détails en bas de la fenêtre.

Étape 3 : Création d'un groupe VPC de sécurité

Avant de créer votre d'instances de base de données, vous pouvez créer un groupe VPC de sécurité à associer à votre d'instances de base de données. Si vous ne créez pas de groupe de VPC sécurité, vous pouvez utiliser le groupe de sécurité par défaut lorsque vous créez un d'instances de base de données. Pour savoir comment créer un groupe de sécurité pour votre d'instances de base de donnéesCréer un groupe de sécurité VPC pour une instance de base de données privé(e), consultez ou consultez Contrôler le trafic vers les ressources à l'aide de groupes de sécurité dans le guide de VPC l'utilisateur Amazon.

Étape 4 : créer une instance de base de données dans VPC

Au cours de cette étape, vous créez un d'instances de base de données et vous utilisez le VPC nom, le groupe de sous-réseaux de base de données et le groupe VPC de sécurité que vous avez créés lors des étapes précédentes.

Note

Si vous souhaitez que votre d'instances de base de VPC données soit accessible au public, vous devez activer les VPC attributs, DNSnoms d'hôte et DNSrésolution. Pour plus d'informations, consultez DNSles attributs correspondants VPC dans le guide de VPC l'utilisateur Amazon.

Pour plus d'informations sur la création d'une instance de bases de données, consultez Création d'une instance de base de données Amazon RDS.

Lorsque vous y êtes invité dans la section Connectivité, entrez le VPC nom, le groupe de sous-réseaux de base de données et le groupe VPC de sécurité.