Utilisation d'une instance de base de données dans un VPC - Amazon Relational Database Service

Utilisation d'une instance de base de données dans un VPC

À moins que vous n'utilisiez une instance de base de données héritée, votre instance de base de données se trouve dans un Virtual Private Cloud (VPC). Un VPC est un réseau virtuel isolé de manière logique des autres réseaux virtuels du cloud AWS. Amazon VPC vous permet de lancer des ressources AWS, telles qu’une instance de base de données Amazon RDS ou une instance Amazon EC2 dans un VPC. Le VPC peut être un VPC par défaut fourni avec votre compte ou un VPC que vous créez. Tous les VPC sont associés à votre compte AWS.

Votre VPC par défaut a trois sous-réseaux que vous pouvez utiliser pour isoler les ressources à l'intérieur du VPC. Le VPC par défaut possède aussi une passerelle Internet qui peut être utilisée pour fournir l'accès aux ressources à l'intérieur du VPC depuis l'extérieur du VPC.

Pour la liste des scénarios impliquant des instances de base de données Amazon RDS dans un VPC et en dehors d’un VPC, consultez Scénarios d'accès à une instance de base de données d'un VPC.

Pour un didacticiel qui explique comment créer un VPC que vous pouvez utiliser avec un scénario Amazon RDS courant, consultez Didacticiel : créer un Amazon VPC à utiliser avec une instance de base de données.

Pour apprendre à utiliser des instances de base de données à l'intérieur d'un VPC, consultez les éléments suivants :

Utilisation d'une instance de base de données dans un VPC

Voici quelques conseils d'utilisation d'une instance de base de données dans un VPC :

  • Votre VPC doit avoir au moins deux sous-réseaux. Ces sous-réseaux doivent se trouver dans deux zones de disponibilité différentes de la région AWS où vous voulez déployer votre instance de base de données. Un sous-réseau est un segment d'une plage d'adresses IP d'un VPC que vous pouvez spécifier et qui vous permet de regrouper les instances en fonction de vos besoins de sécurité et de fonctionnement.

    Note

    Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

  • Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez activer les noms d'hôte DNS des attributs du VPC, ainsi que la résolution DNS.

  • Votre VPC doit avoir un groupe de sous-réseaux DB que vous créez (pour plus d'informations, consultez la section suivante). Vous créez un groupe de sous-réseaux de base de données en précisant les sous-réseaux que vous avez créé. Amazon RDS utilise ce groupe de sous-réseaux de base de données ainsi que votre zone de disponibilité pour choisir un sous-réseau et une adresse IP au sein de ce sous-réseau afin de l'attitrer à votre instance de base de données.

  • Votre VPC doit avoir un groupe de sécurité VPC qui autorise l'accès à l'instance de base de données.

  • Les blocs d'adresse CIDR de chacun de vos sous-réseaux doivent être assez grands pour accueillir les adresses IP de rechange utilisées par Amazon RDS pendant les activités de maintenance, y compris le basculement et le dimensionnement du calcul.

  • Un VPC peut avoir un attribut instance tenancy (location d'instance) ayant la valeur par défaut ou dédiée. Tous les VPC par défaut ont l'attribut de location d'instance défini à la valeur par défaut et un VPC par défaut peut prendre en charge n'importe quelle classe d'instance de base de données.

    Si vous choisissez que votre instance de base de données se trouve dans un VPC dédié où l'attribut « instance tenancy » a la valeur « dedicated », la classe d'instance de base de données de votre instance de base de données doit être de l'un des types d'instance dédiée Amazon EC2 approuvés. Par exemple, l'instance dédiée EC2 m3.medium correspond à la classe d'instance de base de données db.m3.medium. Pour plus d'informations sur la location d'instance dans un VPC, consultez Instances dédiées dans le Guide de l'utilisateur Amazon Elastic Compute Cloud.

    Pour plus d'informations sur les types d'instance qui peuvent se trouver dans une instance dédiée, consultez Instances dédiées Amazon EC2 sur la page de tarification EC2.

    Note

    Lorsque vous définissez l'attribut de location d'instance à dédier pour une instance de base de données Amazon RDS, cela ne garantit pas que l'instance de base de données s'exécute sur un hôte dédié.

  • Lorsqu'un groupe d'options est affecté à une instance de base de données, il est lié à la plateforme prise en charge sur laquelle se trouve l'instance de base de données, VPC ou EC2-Classic (non-VPC). De plus, si une instance de base de données est dans un VPC, le groupe d'options associé à l'instance de base de données est lié à ce VPC. Cette liaison signifie que vous ne pouvez pas utiliser le groupe d'options assigné à une instance de base de données si vous tentez de restaurer l'instance de base de données dans un VPC différent ou sur une autre plateforme.

  • Si vous restaurez une instance de base de données dans un autre VPC ou sur une autre plateforme, vous devez attribuer le groupe d'options par défaut à l'instance de base de données, assigner un groupe d'options lié à ce VPC ou à cette plateforme, ou créer un groupe d'options et l'affecter à l'instance de base de données. Avec les options permanentes ou persistantes, telles qu'Oracle TDE, vous devez créer un nouveau groupe d'options incluant l'option persistante ou permanente lorsque vous restaurez une instance de base de données dans un VPC différent.

Utilisation de groupes de sous-réseaux DB

Un sous-réseau est un segment d'une plage d'adresses IP d'un VPC que vous définissez pour regrouper vos ressources en fonction de vos besoins de sécurité et de fonctionnement. Un groupe de sous-réseaux DB est une collection de sous-réseaux (généralement privés) que vous créez dans un VPC et que vous spécifiez alors pour vos instances de base de données. Un groupe de sous-réseaux DB vous permet de spécifier un VPC particulier lors de la création d'instances de base de données à l'aide de l'interface de ligne de commande ou de l'API ; si vous utilisez la console, vous pouvez simplement choisir le VPC et les sous-réseaux que vous voulez utiliser.

Chaque groupe de sous-réseaux DB doit avoir des sous-réseaux dans au moins deux zones de disponibilité d'une région AWS donnée. Vous devez choisir un groupe de sous-réseaux de base de données lorsque vous créez une instance de base de données dans un VPC. Amazon RDS utilise ce groupe de sous-réseaux de base de données, ainsi que votre zone de disponibilité privilégiée, pour choisir un sous-réseau et une adresse IP au sein de ce sous-réseau, afin de l'attribuer à votre instance de base de données. Si l'instance de base de données principale d'un déploiement multi-AZ échoue, Amazon RDS peut promouvoir l'instance de secours et par la suite créer une nouvelle instance de secours à l'aide d'une adresse IP du sous-réseau dans l'une des autres zones de disponibilité.

Les sous-réseaux d'un groupe de sous-réseaux de base de données sont publics ou privés. Ils ne peuvent pas être un mélange de sous-réseaux publics et privés. Les sous-réseaux sont publics ou privés, selon la configuration que vous définissez pour leurs listes de contrôle d'accès réseau (ACL réseau) et leurs tables de routage.

Note

Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

Quand Amazon RDS crée une instance de base de données dans un VPC, il affecte une interface réseau à votre instance de base de données en utilisant une adresse IP de votre groupe de sous-réseaux de base de données. Cependant, nous vous recommandons fortement d'utiliser le nom DNS pour vous connecter à votre instance de base de données parce que l'adresse IP sous-jacente change pendant le basculement.

Note

Pour chaque instance de base de données que vous exécutez dans un VPC, assurez-vous de réserver au moins une adresse dans chaque sous-réseau du groupe de sous-réseaux de base de données qui sera utilisée par Amazon RDS pour les actions de récupération.

Masquer une instance de base de données dans un VPC depuis Internet

Un scénario Amazon RDS courant consiste à avoir un VPC dans lequel vous avez une instance EC2 avec une application web publique et une instance de base de données avec une base de données qui n'est pas accessible publiquement. Par exemple, vous pouvez créer un VPC qui dispose d'un sous-réseau public et d'un sous-réseau privé. Les instances Amazon EC2 qui fonctionnent comme serveurs web peuvent être déployés dans le sous-réseau public et les instances de base de données sont déployées dans le sous-réseau privé. Dans un tel déploiement, seuls les serveurs web ont accès aux instances de base de données. Pour obtenir une illustration de ce scénario, consultez Une instance de base de données d'un VPC accédée par une instance EC2 du même VPC.

Lorsque vous lancez une instance de base de données dans un VPC, l'instance de base de données possède une adresse IP privée pour le trafic à l'intérieur du VPC. Cette adresse IP privée n'est pas accessible au public. Vous pouvez utiliser l'option Public accessibility (Accessibilité publique) pour indiquer si l'instance de base de données possède également une adresse IP publique en plus de l'adresse IP privée. Si l'instance de base de données est désignée comme étant accessible au public, son point de terminaison DNS se résout à l'adresse IP privée à partir du VPC de l'instance de base de données, et à l'adresse IP publique à partir de l'extérieur du VPC de l'instance de base de données. L'accès à l'instance de base de données est finalement contrôlé par le groupe de sécurité qu'elle utilise, et cet accès public n'est pas autorisé si le groupe de sécurité attribué à l'instance de base de données ne l'autorise pas.

Vous pouvez modifier une instance de base de données pour activer ou désactiver l'accessibilité publique en modifiant l'option Public accessibility (Accessibilité publique). Ce paramètre est modifié comme tout autre paramètre d'instance de base de données. Pour plus d'informations, consultez la section sur la modification de votre moteur de base de données.

L'illustration suivante affiche l'option Accessible publiquement dans la section Réseau et sécurité.

Pour de plus amples informations sur la modification d'une instance de base de données afin de définir l'option Public accessibility (Accessibilité publique), veuillez consulter Modification d'une instance de base de données Amazon RDS.

Création d'une instance de base de données dans un VPC

Les procédure suivantes vous aident à créer une instance de base de données dans un VPC. Si votre compte comporte un VPC par défaut, vous pouvez commencer par l'étape 3, car le VPC et le groupe de sous-réseaux DB ont déjà été créés pour vous. Si votre compte AWS n'a pas de VPC par défaut, ou si vous souhaitez créer un VPC supplémentaire, vous pouvez créer un nouveau VPC.

Si vous ignorez si vous avez un VPC par défaut, consultez Déterminer si vous utilisez une plateforme EC2-VPC ou EC2-Classic.

Note

Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez mettre à jour les informations DNS pour le VPC en activant les attributs VPC noms d'hôtes DNS et résolution DNS. Pour plus d'informations sur la mise à jour des informations DNS pour une instance VPC, consultez Mise à jour de la prise en charge DNS pour votre VPC.

Suivez les étapes ci-après pour créer une instance de base de données dans un VPC:

Étape 1 : Création d'un VPC

Si votre compte AWS ne comporte pas de VPC par défaut, ou si vous voulez créer un VPC supplémentaire, suivez les instructions de la création d'un VPC. Consultez Créer un VPC avec des sous-réseaux publics et privés ou Étape 1 : Créer un VPC dans la documentation Amazon VPC.

Étape 2 : Ajouter des sous-réseaux au VPC

Une fois que vous avez créé un VPC, vous devez créer des sous-réseaux dans au moins deux zones de disponibilité. Vous utilisez ces sous-réseaux lorsque vous créerez un groupe de sous-réseaux de base de données. Si vous avez un VPC par défaut, un sous-réseau est automatiquement créé pour vous dans chaque zone de disponibilité de la région AWS.

Pour des instructions sur la façon de créer des sous-réseaux dans un VPC, consultez Créer un VPC avec des sous-réseaux publics et privés.

Étape 3 : Créer un groupe de sous-réseaux DB

Un groupe de sous-réseaux DB est une collection de sous-réseaux (généralement privés) que vous créez pour un VPC et que vous spécifiez alors pour vos instances de base de données. Un groupe de sous-réseaux DB vous permet de spécifier un VPC particulier lors de la création d'instances de base de données à l'aide de l'interface de ligne de commande ou de l'API. Si vous utilisez la console, vous pouvez simplement choisir le VPC et les sous-réseaux que vous voulez utiliser. Chaque groupe de sous-réseaux DB doit avoir au moins un sous-réseau dans au moins deux zones de disponibilité de la région AWS.

Pour qu'une instance de base de données soit publiquement accessible, les sous-réseaux du groupe de sous-réseaux DB doivent avoir une passerelle Internet. Pour de plus amples informations sur les passerelles Internet pour les sous-réseaux, veuillez consulter Passerelles Internet dans la documentation relative à Amazon VPC.

Note

Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

Vous devez choisir un groupe de sous-réseaux de base de données lorsque vous créez une instance de base de données dans un VPC. Amazon RDS utilise ensuite ce groupe de sous-réseaux de base de données, ainsi que votre zone de disponibilité privilégiée, pour choisir un sous-réseau et une adresse IP au sein de ce sous-réseau. Amazon RDS crée et associe une interface réseau Elastic à votre instance de base de données avec cette adresse IP. Pour les déploiements multi-AZ, la définition d'un sous-réseau pour deux zones de disponibilité ou plus d'une région permet à Amazon RDS de créer une copie de secours dans une autre zone de disponibilité, le cas échéant. Vous devez procéder de la sorte même pour les déploiements Single-AZ, au cas où vous souhaitiez les convertir en déploiements multi-AZ par la suite.

Dans cette étape, vous créez un groupe de sous-réseaux de base de données et ajoutez les sous-réseaux que vous avez créés pour votre VPC.

Pour créer un groupe de sous-réseaux

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le volet de navigation, choisissez Subnet groups (Groupes de sous-réseaux).

  3. Choisissez Create DB Subnet Group (Créer groupe de sous-réseaux de base de données).

  4. Dans Nom, saisissez le nom de votre nouveau groupe de sous-réseaux de base de données.

  5. Dans le champ Description, saisissez une description de votre groupe de sous-réseaux de base de données.

  6. Pour VPC, choisissez le VPC que vous avez créé.

  7. Dans la section Ajouter des sous-réseaux, choisissez les zones de disponibilité qui incluent les sous-réseaux à partir de Zones de disponibilité, puis choisissez les sous-réseaux à partir de Sous-réseaux.

    
							Bouton Créer groupe de sous-réseaux de base de données
    Note

    Si vous avez activé une zone locale, vous pouvez choisir un groupe de zone de disponibilité sur la page Créer un groupe de sous-réseaux DB. Dans ce cas, choisissez Groupe de zone de disponibilité, Zones de disponibilité et Sous-réseaux.

  8. Sélectionnez Create.

    Votre nouveau groupe de sous-réseaux DB apparaît dans la liste des groupes de sous-réseaux sur la console RDS. Vous pouvez choisir le groupe de sous-réseaux DB pour afficher les détails, y compris l'ensemble des sous-réseaux associés au groupe, dans le volet des détails en bas de la fenêtre.

Étape 4 : Créer un groupe de sécurité VPC

Avant de créer votre instance de base de données, vous devez créer un groupe de sécurité VPC à associer à votre instance de base de données. Pour des instructions sur la création d'un groupe de sécurité pour votre instance de base de données, consultez Créer un groupe de sécurité VPC pour une instance de base de données privée ou Groupes de sécurité pour votre VPC dans la documentation Amazon VPC.

Étape 5 : Créer une instance de base de données dans le VPC

Dans cette étape, vous créez une instance de base de données et utilisez le nom du VPC, le groupe de sous-réseaux DB et le groupe de sécurité VPC que vous avez créés dans les étapes précédentes.

Note

Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez activer les noms d'hôte DNS des attributs du VPC, ainsi que la résolution DNS. Pour plus d'informations sur la mise à jour des informations DNS pour une instance VPC, consultez Mise à jour de la prise en charge DNS pour votre VPC.

Pour de plus amples informations sur la création d'une instance de base de données, veuillez consulter Création d'une instance de base de données Amazon RDS.

Lorsque vous y êtes invité dans la section Réseau et sécurité, entrez le nom du VPC, le groupe de sous-réseaux de base de données et le groupe de sécurité VPC que vous avez créés aux étapes précédentes.