Utilisation d'une instance de base de données dans un VPC - Amazon Relational Database Service

Utilisation d'une instance de base de données dans un VPC

À moins que vous n'utilisiez une instance de base de données héritée, votre instance de base de données se trouve dans un Virtual Private Cloud (VPC). Un VPC est un réseau virtuel logiquement isolé des autres réseaux virtuels dans le cloud AWS. Amazon VPC vous permet de lancer des ressources AWS, telles qu'une instance de base de données Amazon RDS ou une instance Amazon EC2 dans un VPC. Le VPC peut être un VPC par défaut fourni avec votre compte ou un VPC que vous créez. Tous les VPC sont associés à votre compte AWS.

Votre VPC par défaut a trois sous-réseaux que vous pouvez utiliser pour isoler les ressources à l'intérieur du VPC. Le VPC par défaut possède aussi une passerelle Internet qui peut être utilisée pour fournir l'accès aux ressources à l'intérieur du VPC depuis l'extérieur du VPC.

Pour la liste des scénarios impliquant des instances de base de données Amazon RDS dans un VPC et en dehors d'un VPC, consultez Scénarios d'accès à une instance de base de données d'un VPC.

Pour apprendre à utiliser des instances de base de données à l'intérieur d'un VPC, consultez les éléments suivants :

Dans les tutoriels suivants, vous apprendrez à créer un VPC que vous pouvez utiliser pour un scénario commun Amazon RDS :

Utilisation d'une instance de base de données dans un VPC

Voici quelques conseils d'utilisation d'une instance de base de données dans un VPC :

  • Votre VPC doit avoir au moins deux sous-réseaux. Ces sous-réseaux doivent se trouver dans deux zones de disponibilité différentes de la Région AWS où vous voulez déployer votre instance de base de données. Un sous-réseau est un segment d'une plage d'adresses IP d'un VPC que vous pouvez spécifier et qui vous permet de regrouper les instances en fonction de vos besoins de sécurité et de fonctionnement.

    Pour les déploiements multi-AZ, la définition d'un sous-réseau pour deux zones de disponibilité ou plus dans une Région AWS permet à Amazon RDS de créer une instance en veille dans une autre zone de disponibilité, utilisable le cas échéant. Vous devez procéder de la sorte même pour les déploiements Single-AZ, au cas où vous souhaitiez les convertir en déploiements multi-AZ par la suite.

    Note

    Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

  • Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez activer les noms d'hôte DNS des attributs du VPC, ainsi que la résolution DNS.

  • Votre VPC doit avoir un groupe de sous-réseaux DB que vous créez (pour plus d'informations, consultez la section suivante). Vous créez un groupe de sous-réseaux de base de données en spécifiant les sous-réseaux que vous avez créés. Amazon RDS choisit dans ce sous-réseau un sous-réseau et une adresse IP à associer à votre instance de base de données. L'instance de base de données utilise la zone de disponibilité contenant le sous-réseau.

  • Votre VPC doit avoir un groupe de sécurité VPC qui autorise l'accès à l'instance de base de données.

  • Les blocs d'adresse CIDR de chacun de vos sous-réseaux doivent être assez grands pour accueillir les adresses IP de rechange utilisées par Amazon RDS pendant les activités de maintenance, y compris le basculement et le dimensionnement du calcul.

  • Un VPC peut avoir un attribut instance tenancy (location d'instance) ayant la valeur par défaut ou dédiée. Tous les VPC par défaut ont l'attribut de location d'instance défini à la valeur par défaut et un VPC par défaut peut prendre en charge n'importe quelle classe d'instance de base de données.

    Si vous choisissez que votre instance de base de données se trouve dans un VPC dédié où l'attribut « instance tenancy » a la valeur « dedicated », la classe d'instance de base de données de votre instance de base de données doit être de l'un des types d'instance dédiée Amazon EC2 approuvés. Par exemple, l'instance dédiée EC2 m3.medium correspond à la classe d'instance de base de données db.m3.medium. Pour plus d'informations sur la location d'instance dans un VPC, consultez Instances dédiées dans le Guide de l'utilisateur Amazon Elastic Compute Cloud.

    Pour plus d'informations sur les types d'instance qui peuvent se trouver dans une instance dédiée, consultez Instances dédiées Amazon EC2 sur la page de tarification EC2.

    Note

    Lorsque vous définissez l'attribut de location d'instance à dédier pour une instance de base de données Amazon RDS, cela ne garantit pas que l'instance de base de données s'exécute sur un hôte dédié.

  • Lorsqu'un groupe d'options est affecté à une instance de base de données, il est lié à la plateforme prise en charge sur laquelle se trouve l'instance de base de données, VPC ou EC2-Classic (non-VPC). De plus, si une instance de base de données est dans un VPC, le groupe d'options associé à l'instance de base de données est lié à ce VPC. Cette liaison signifie que vous ne pouvez pas utiliser le groupe d'options assigné à une instance de base de données si vous tentez de restaurer l'instance de base de données dans un VPC différent ou sur une autre plateforme.

  • Si vous restaurez une instance de base de données dans un autre VPC ou sur une autre plateforme, vous devez attribuer le groupe d'options par défaut à l'instance de base de données, assigner un groupe d'options lié à ce VPC ou à cette plateforme, ou créer un groupe d'options et l'affecter à l'instance de base de données. Avec les options permanentes ou persistantes, telles qu'Oracle TDE, vous devez créer un nouveau groupe d'options incluant l'option persistante ou permanente lorsque vous restaurez une instance de base de données dans un VPC différent.

Utilisation de groupes de sous-réseaux DB

Les sous-réseaux sont des segments d'une plage d'adresses IP d'un VPC que vous définissez pour regrouper vos ressources en fonction de vos besoins de sécurité et de fonctionnement. Un groupe de sous-réseaux DB est une collection de sous-réseaux (généralement privés) que vous créez dans un VPC et que vous spécifiez alors pour vos instances de base de données. En utilisant un groupe de sous-réseau de base de données, vous pouvez spécifier un VPC particulier lors de la création d'instances de base de données à l'aide de CLI ou de l'API. Si vous utilisez la console, vous pouvez simplement choisir le VPC et les sous-réseaux que vous voulez utiliser.

Chaque groupe de sous-réseaux DB doit avoir des sous-réseaux dans au moins deux zones de disponibilité d'une Région AWS donnée. Lors de la création d'une instance de base de données dans un VPC, veillez à choisir un groupe de sous-réseaux de base de données. À partir du groupe de sous-réseaux DB, Amazon RDS choisit dans ce sous-réseau un sous-réseau et une adresse IP à associer à votre instance DB. L'instance de base de données utilise la zone de disponibilité contenant le sous-réseau. Si l'instance de base de données principale d'un déploiement multi-AZ échoue, Amazon RDS peut promouvoir l'instance de secours et par la suite créer une nouvelle instance de secours à l'aide d'une adresse IP du sous-réseau dans l'une des autres zones de disponibilité.

Les sous-réseaux d'un groupe de sous-réseaux de base de données sont publics ou privés. Les sous-réseaux sont publics ou privés, selon la configuration que vous définissez pour leurs listes de contrôle d'accès réseau (ACL réseau) et leurs tables de routage. Pour qu'une instance de base de données soit accessible au public, tous les sous-réseaux de son groupe de sous-réseaux de base de données doivent être publics. Si un sous-réseau associé à une instance de base de données accessible au public passe de public à privé, cela peut affecter la disponibilité de l'instance de base de données.

Pour créer un groupe de sous-réseaux de base de données prenant en charge le mode double pile, assurez-vous que chaque sous-réseau que vous ajoutez au groupe de sous-réseaux de base de données est associé à un bloc d'adresse CIDR de protocole Internet version 6 (IPv6). Pour plus d'informations, consultez Adressage IP Amazon RDS et la section Migrating to IPv6 (Migrer vers IPv6) dans le Guide de l'utilisateur Amazon VPC.

Note

Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

Quand Amazon RDS crée une instance de base de données dans un VPC, il affecte une interface réseau à votre instance de base de données en utilisant une adresse IP de votre groupe de sous-réseaux de base de données. Cependant, nous vous recommandons fortement d'utiliser le nom du système de nom de domaine (DNS) pour vous connecter à votre instance de base de données, car l'adresse IP sous-jacente change pendant le basculement.

Note

Pour chaque instance de base de données que vous exécutez dans un VPC, assurez-vous de réserver au moins une adresse dans chaque sous-réseau du groupe de sous-réseaux de base de données qui sera utilisée par Amazon RDS pour les actions de récupération.

Adressage IP Amazon RDS

Les adresses IP permettent aux ressources de votre VPC de communiquer entre elles et avec les ressources sur Internet. Amazon RDS prend en charge les protocoles d'adressage de protocole Internet version 4 (IPv4) et IPv6. Par défaut, Amazon RDS et le VPC Amazon utilisent le protocole d'adressage IPv4. Vous ne pouvez pas désactiver ce comportement. Lorsque vous créez un VPC, veillez à spécifier un bloc d'adresse CIDR IPv4 (une plage d'adresses IPv4 privées). Vous pouvez éventuellement attribuer un bloc CIDR IPv6 à votre VPC et à vos sous-réseaux, et attribuer les adresses IPv6 de ce bloc aux instances de votre sous-réseau.

La prise en charge du protocole IPv6 augmente le nombre d'adresses IP prises en charge. En utilisant le protocole IPv6, vous vous assurez d'avoir suffisamment d'adresses disponibles pour la croissance future d'Internet. Les ressources RDS nouvelles et existantes peuvent utiliser des adresses IPv4 et IPv6 au sein de votre VPC Amazon. La configuration, la sécurisation et la traduction du trafic réseau entre les deux protocoles utilisés dans les différentes parties d'une application peuvent entraîner une surcharge opérationnelle. Vous pouvez standardiser le protocole IPv6 pour les ressources Amazon RDS afin de simplifier la configuration de votre réseau.

Adresses IPv4

Lorsque vous créez un VPC, vous devez spécifier une plage d'adresses IPv4 pour le VPC sous la forme d'un bloc CIDR, tel que 10.0.0.0/16. Un groupe de sous-réseau de base de données définit la plage d'adresses IP de ce bloc CIDR qu'une instance de base de données peut utiliser. Ces adresses IP peuvent être privées ou publiques.

Une adresse IPv4 privée est une adresse IP qui ne peut pas être atteinte via Internet. Vous pouvez utiliser des adresses IPv4 privées pour la communication entre votre instance de base de données et d'autres ressources, telles que les instances Amazon EC2, dans le même VPC. Chaque instance de base de données dispose d'une adresse IP privée pour la communication dans le VPC.

Une adresse IP publique est une adresse IPv4, qui est accessible depuis Internet. Vous pouvez utiliser des adresses publiques pour la communication entre votre instance de base de données et des ressources sur Internet, comme un client SQL. Vous contrôlez si votre instance de base de données reçoit une adresse IP publique.

Pour un tutoriel qui vous montre comment créer un VPC avec uniquement des adresses IPv4 privées que vous pouvez utiliser pour un scénario commun Amazon RDS, consultez Tutoriel : créer un VPC Amazon à utiliser avec une instance de base de données (IPv4 only) (IPv4 uniquement).

Adresses IPv6

Vous pouvez éventuellement associer un bloc d'adresses CIDR IPv6 à votre VPC et vos sous-réseaux, et attribuer des adresses IPv6 à partir de ce bloc aux ressources de votre VPC. Chaque adresse IPv6 est unique au niveau mondial.

Le bloc d'adresse CIDR IPv6 de votre VPC est automatiquement attribué à partir du groupe d'adresses IPv6 d'Amazon. Vous ne pouvez pas choisir la plage vous-même.

Lorsque vous vous connectez à une adresse IPv6, assurez-vous que les conditions suivantes sont remplies :

  • Le client est configuré de telle sorte que le trafic du client vers la base de données sur IPv6 est autorisé.

  • Les groupes de sécurité RDS utilisés par l'instance de base de données sont configurés correctement afin que le trafic du client vers la base de données sur IPv6 soit autorisé.

  • La pile du système d'exploitation client autorise le trafic sur l'adresse IPv6, et les pilotes et les bibliothèques du système d'exploitation sont configurés pour choisir le point de terminaison correct de l'instance de base de données par défaut (soit IPv4, soit IPv6).

Pour plus d'informations sur IPv6, consultez la section IP Addressing (Adressage IP) dans le Guide de l'utilisateur Amazon VPC.

Mode double pile

Lorsqu'une instance de base de données peut communiquer à la fois sur les protocoles d'adressage IPv4 et IPv6, il fonctionne en mode double pile. Ainsi, les ressources peuvent communiquer avec l'instance de base de données par IPv4, IPv6 ou les deux. RDS désactive l'accès à la passerelle Internet pour les points de terminaison IPv6 des instances de base de données privées en mode double pile afin de garantir que vos points de terminaison IPv6 sont privés et qu'on ne peut y accéder que depuis votre VPC.

Pour un tutoriel qui vous montre comment créer un VPC avec des adresses IPv4 et IPv6 que vous pouvez utiliser pour un scénario commun Amazon RDS, consultez Tutoriel : créer un cloud privé virtuel (VPC) à utiliser avec une instance de base de données (mode double pile).

Mode double pile et groupes de sous-réseaux de base de données

Pour utiliser le mode double pile, assurez-vous que chaque sous-réseau du groupe de sous-réseaux de base de données que vous associez à l'instance de base de données est associé à un bloc d'adresse CIDR IPv6. Vous pouvez créer un nouveau groupe de sous-réseau de base de données ou modifier un groupe de sous-réseau de base de données existant pour répondre à cette exigence. Une fois qu'une instance de base de données est en mode double pile, les clients peuvent s'y connecter normalement. Assurez-vous que les pare-feu de sécurité des clients et les groupes de sécurité de l'instance de base de données RDS sont correctement configurés pour autoriser le trafic sur IPv6. Pour se connecter, les clients utilisent le point de terminaison de l'instance de base de données. Les applications client peuvent spécifier quel protocole est préféré lors de la connexion à une base de données. En mode double pile, l'instance de base de données détecte le protocole réseau préféré du client, IPv4 ou IPv6, et utilise ce protocole pour la connexion.

Si un groupe de sous-réseaux de base de données cesse de prendre en charge le mode double pile en raison de la suppression d'un sous-réseau ou d'une dissociation CIDR, il existe un risque d'incompatibilité de l'état du réseau pour les instances de base de données associées au groupe de sous-réseaux de base de données. En outre, vous ne pouvez pas utiliser le groupe de sous-réseau de base de données lorsque vous créez une instance de base de données en mode double pile.

Pour déterminer si un groupe de sous-réseaux de base de données prend en charge le mode double pile à l'aide de la AWS Management Console, affichez la valeur Network type (Type de réseau) sur la page de détails du groupe de sous-réseaux de base de données. Pour déterminer si un groupe de sous-réseaux de base de données prend en charge le mode double pile à l'aide de AWS CLI, appelez la commande describe-db-subnet-groups et affichez SupportedNetworkTypes dans le résultat.

Les réplicas en lecture sont traités comme des instances de base de données indépendantes et peuvent avoir un type de réseau différent de celui de l'instance de base de données principale. Si vous modifiez le type de réseau de l'instance de base de données principale d'un réplica en lecture, le réplica en lecture n'est pas affecté. Lorsque vous restaurez une instance de base de données, vous pouvez la restaurer sur tout type de réseau pris en charge.

Utilisation d'instances de base de données en mode double pile

Lorsque vous créez ou modifiez une instance de base de données, vous pouvez spécifier le mode double pile pour permettre à vos ressources de communiquer avec votre instance de base de données sur IPv4, IPv6, ou les deux.

Lorsque vous utilisez la AWS Management Console pour créer ou modifier une instance de base de données, vous pouvez spécifier le mode double pile dans la section Network type (Type de réseau). L'image suivante montre la section Network type (Type de réseau) dans la AWS Management Console.


							Section Network type (Type de réseau) dans la console avec Dual-stack mode (mode Double pile) sélectionné

Lorsque vous utilisez AWS CLI pour créer ou modifier une instance de base de données, définissez l'option --network-type sur DUAL pour utiliser le mode double pile. Lorsque vous utilisez l'API RDS pour créer ou modifier une instance de base de données, définissez le paramètre NetworkType sur DUAL pour utiliser le mode double pile. Lorsque vous modifiez le type de réseau d'une instance de base de données, un temps d'arrêt est possible. Si le mode double pile n'est pas pris en charge par la version du moteur de base de données ou le groupe de sous-réseau de base de données spécifié, l'erreur NetworkTypeNotSupported est renvoyée.

Pour plus d'informations sur la création d'une instance de base de données, consultez Création d'une instance de base de données Amazon RDS. Pour plus d'informations sur la modification d'une instance de base de données, veuillez consulter Modification d'une instance de base de données Amazon RDS.

Pour déterminer si une instance de base de données est en mode double pile à l'aide de la AWS Management Console, affichez la valeur de Network type (Type de réseau) dans l'onglet Connectivity & security (Connectivité et sécurité) de l'instance de base de données.

Modification des instances de base de données uniquement en IPv4 pour utiliser le mode double pile

Vous pouvez modifier une instance de base de données uniquement en IPv4 pour utiliser le mode double pile. Pour ce faire, modifiez le type de réseau de l'instance de base de données. La modification peut entraîner un temps d'arrêt.

Avant de modifier une instance de base de données pour utiliser le mode double pile, assurez-vous que son groupe de sous-réseau de base de données prend en charge le mode double pile. Si le groupe de sous-réseau de base de données associé à l'instance de base de données ne prend pas en charge le mode double pile, spécifiez un autre groupe de sous-réseau de base de données qui le prend en charge lorsque vous modifiez l'instance de base de données. Si vous modifiez le groupe de sous-réseau de base de données d'une instance de base de données avant de modifier l'instance de base de données pour utiliser le mode double pile, assurez-vous que le groupe de sous-réseau de base de données est valide pour l'instance de base de données avant et après la modification.

Si vous ne pouvez pas vous connecter à l'instance de base de données après la modification, assurez-vous que les pares-feux de sécurité du client et de la base de données et les tables de routage sont configurés avec précision pour autoriser le trafic croisé vers la base de données sur le réseau sélectionné (soit IPv4, soit IPv6). Vous devrez peut-être également modifier les paramètres, les bibliothèques ou les pilotes du système d'exploitation pour vous connecter en utilisant une adresse IPv6.

Les limitations suivantes s'appliquent à la modification d'une instance de base de données pour utiliser le mode double pile :

  • Les instances de base de données en mode double pile ne peuvent pas être accessibles publiquement.

  • Les instances de base de données ne peuvent pas posséder un point de terminaison uniquement en IPv6.

  • Il ne peut pas y avoir de modification en attente d'un déploiement Mono-AZ vers un déploiement Multi-AZ, ou d'un déploiement Multi-AZ vers un déploiement Mono-AZ.

Pour modifier une instance de base de données exclusivement IPv4 afin d'utiliser le mode double pile

  1. Modifiez un groupe de sous-réseaux de base de données pour prendre en charge le mode double pile ou créez un groupe de sous-réseaux de base de données qui prend en charge le mode double pile :

    1. Associer un bloc d'adresse CIDR IPv6 à votre VPC.

      Pour obtenir des instructions, consultez la section Associate an IPv6 CIDR block with your VPC (Associer un bloc CIDR IPv6 à votre VPC) dans le Guide de l'utilisateur Amazon VPC.

    2. Attachez le bloc d'adresse CIDR IPv6 à tous les sous-réseaux de votre groupe de sous-réseaux de base de données.

      Pour obtenir des instructions, consultez la section Associate an IPv6 CIDR block with your subnet (Associer un bloc CIDR IPv6 à votre sous-réseau) dans le Guide de l'utilisateur Amazon VPC.

    3. Confirmez que le groupe de sous-réseaux de base de données prend en charge le mode double pile.

      Si vous utilisez la AWS Management Console, sélectionnez le groupe de sous-réseau de base de données et assurez-vous que la valeur Supported network types (Types de réseau pris en charge) est Dual, IPv4 (Double, IPV4).

      Si vous utilisez AWS CLI, appelez la commande describe-db-subnet-groups et assurez-vous que la valeur SupportedNetworkType de l'instance de base de données est Dual, IPv4.

  2. Modifiez le groupe de sécurité associé à l'instance de base de données pour autoriser les connexions IPv6 à la base de données, ou créez un nouveau groupe de sécurité qui autorise les connexions IPv6.

    Pour obtenir des instructions, consultez la section Security group rules (Règles des groupes de sécurité) dans le Guide de l'utilisateur Amazon VPC.

  3. Modifiez l'instance de base de données pour qu'elle prenne en charge le mode double pile. et définissez la valeur Network type (Type de réseau) sur Dual-stack mode (mode double pile).

    Si vous utilisez la AWS Management Console, assurez-vous que les paramètres suivants sont corrects :

    • Network type (Type de réseau) – Dual-stack mode (Mode double pile)

      
											Section Network type (Type de réseau) dans la console avec Dual-stack mode (mode Double pile) sélectionné
    • Subnet group (Groupe de sous-réseau) – le groupe de sous-réseau de base de données que vous avez configuré à l'étape précédente.

    • Security group (Groupe de sécurité) – la sécurité que vous avez configurée dans une étape précédente.

    Si vous utilisez la AWS CLI, assurez-vous que les paramètres suivants sont corrects :

    • --network-typedual

    • --db-subnet-group-name — le groupe de sous-réseau de base de données que vous avez configuré à l'étape précédente.

    • --vpc-security-group-ids — le groupe de sécurité de base de données que vous avez configuré à l'étape précédente.

  4. Confirmez que l'instance de base de données prend en charge le mode double pile.

    Si vous utilisez la AWS Management Console, allez dans l'onglet Connectivity & security (Connectivité et sécurité) de l'instance de base de données, et assurez-vous que la valeur Network type (Type de réseau) est Dual-stack mode (mode double pile).

    Si vous utilisez AWS CLI, appelez la commande describe-db-instances et assurez-vous que la valeur NetworkType de l'instance de base de données est dual.

    Exécutez la commande dig sur le point de terminaison de l'instance de base de données pour identifier l'adresse IPv6 qui lui est associée.

    dig db-instance-endpoint AAAA

    Utilisez le point de terminaison de l'instance de base de données, et non l'adresse IPv6, pour vous connecter à l'instance de base de données.

Disponibilité d'instances de base de données en réseau à double pile

Les versions suivantes du moteur de base de données prennent en charge les instances de base de données en réseau à double pile :

  • Toutes les versions de RDS for MariaDB

  • Version RDS for MySQL :

    • 8.0.21 et versions 8.0 ultérieures

    • 5.7.31 et versions 5.7 ultérieures

  • Toutes les versions RDS for Oracle

  • Version RDS for PostgreSQL :

    • Toutes les versions 14

    • Versions 13.3 et 13 ultérieures

    • 12.7 et versions 12 ultérieures

    • 11.12 et versions 11 ultérieures

    • 10.17 et versions 10 ultérieures

  • Versions RDS for SQL Server :

    • 15.00.4043.16.v1 et versions 15 ultérieures

    • 14.00.3294.2.v1 et versions 14 ultérieures

    • 13.00.5820.21.v1 et versions 13 ultérieures

Limitations pour les instances de base de données en réseau à double pile

Les limitations suivantes s'appliquent aux instances de base de données en réseau à double pile :

  • Les instances de bases de données ne peuvent pas utiliser exclusivement le protocole IPv6. Elles/ils peuvent utiliser exclusivement l'IPv4, ou utiliser les protocoles IPv4 et IPv6 (mode double pile).

  • Amazon RDS ne prend pas en charge les sous-réseaux IPv6 natifs.

  • Les instances de bases de données qui utilisent le mode double pile doivent être privé(e)s. Ils/elles ne peuvent pas être publiquement accessibles.

  • Le mode double pile ne prend pas en charge les classes d'instance de base de données db.m3 et db.r3.

  • Pour RDS for SQL Server, les instances de base de données en mode double pile qui utilisent des points de terminaison d'écoute des groupes de disponibilité AlwaysOn ne présentent que des adresses IPv4.

  • Vous ne pouvez pas utiliser RDS Proxy avec des instances de base de données en mode double pile.

  • Vous ne pouvez pas utiliser le mode double pile avec RDS sur les instances de base de données AWS Outposts.

  • Vous ne pouvez pas utiliser le mode double pile avec des instances de base de données dans une zone locale.

Masquer une instance de base de données dans un VPC depuis Internet

Un scénario Amazon RDS courant consiste à avoir un VPC dans lequel vous avez une instance EC2 avec une application web publique et une instance de base de données avec une base de données qui n'est pas accessible publiquement. Par exemple, vous pouvez créer un VPC contenant un sous-réseau public et un sous-réseau privé. Les instances Amazon EC2 qui fonctionnent comme serveurs web peuvent être déployés dans le sous-réseau public, et les instances de base de données sont déployées dans le sous-réseau privé. Dans un tel déploiement, seuls les serveurs web ont accès aux instances de base de données. Pour obtenir une illustration de ce scénario, consultez Une instance de base de données d'un VPC accédée par une instance EC2 du même VPC.

Lorsque vous lancez une instance de base de données dans un VPC, l'instance de base de données possède une adresse IP privée pour le trafic à l'intérieur du VPC. Cette adresse IP privée n'est pas accessible au public. Vous pouvez utiliser l'option Public access (Accès public) pour indiquer si l'instance de base de données possède également une adresse IP publique en plus de l'adresse IP privée. Si l'instance de base de données est désignée comme étant accessible au public, son point de terminaison DNS se résout à l'adresse IP privée à partir du VPC de l'instance de base de données, et à l'adresse IP publique à partir de l'extérieur du VPC de l'instance de base de données. L'accès à l'instance de base de données est finalement contrôlé par le groupe de sécurité qu'elle utilise, et cet accès public n'est pas autorisé si le groupe de sécurité attribué à l'instance de base de données ne l'autorise pas.

Vous pouvez modifier une instance de base de données pour activer ou désactiver l'accessibilité publique en modifiant l'option Public access (Accès public). Pour plus d'informations, consultez la section sur la modification de votre moteur de base de données.

L'illustration suivante présente l'option Public Access (Accès public) dans la section Additional connectivity configuration (Configuration de connectivité supplémentaire). Pour définir cette option, ouvrez la section Additional connectivity configuration (Configuration de connectivité supplémentaire) dans la section Connectivity (Connectivité).

Pour plus d'informations sur la modification d'une instance de base de données afin de définir l'option Public access (Accès public), veuillez consulter Modification d'une instance de base de données Amazon RDS.

Création d'une instance de base de données dans un VPC

Les procédure suivantes vous aident à créer une instance de base de données dans un VPC. Si votre compte comporte un VPC par défaut, vous pouvez commencer par l'étape 3, car le VPC et le groupe de sous-réseaux DB ont déjà été créés pour vous. Si votre compte AWS n'a pas de VPC par défaut, ou si vous souhaitez créer un VPC supplémentaire, vous pouvez créer un nouveau VPC.

Si vous ignorez si vous avez un VPC par défaut, consultez Déterminer si vous utilisez une plateforme EC2-VPC ou EC2-Classic.

Note

Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez mettre à jour les informations DNS pour le VPC en activant les attributs VPC noms d'hôtes DNS et résolution DNS. Pour plus d'informations sur la mise à jour des informations DNS pour une instance VPC, consultez Mise à jour de la prise en charge DNS pour votre VPC.

Suivez les étapes ci-après pour créer une instance de base de données dans un VPC:

Étape 1 : Création d'un VPC

Si votre compte AWS ne comporte pas de VPC par défaut, ou si vous voulez créer un VPC supplémentaire, suivez les instructions de la création d'un VPC. Consultez Créer un VPC avec des sous-réseaux publics et privés ou Étape 1 : Créer un VPC dans la documentation Amazon VPC.

Étape 2 : Ajouter des sous-réseaux au VPC

Une fois que vous avez créé un VPC, vous devez créer des sous-réseaux dans au moins deux zones de disponibilité. Vous utilisez ces sous-réseaux lorsque vous créerez un groupe de sous-réseaux de base de données. Si vous avez un VPC par défaut, un sous-réseau est automatiquement créé pour vous dans chaque zone de disponibilité de la Région AWS.

Pour des instructions sur la façon de créer des sous-réseaux dans un VPC, consultez Créer un VPC avec des sous-réseaux publics et privés.

Étape 3 : Créer un groupe de sous-réseaux DB

Un groupe de sous-réseaux DB est une collection de sous-réseaux (généralement privés) que vous créez pour un VPC et que vous spécifiez alors pour vos instances de base de données. Un groupe de sous-réseaux DB vous permet de spécifier un VPC particulier lors de la création d'instances de base de données à l'aide de la CLI ou de l'API. Si vous utilisez la console, vous pouvez simplement choisir le VPC et les sous-réseaux que vous voulez utiliser. Chaque groupe de sous-réseaux DB doit avoir au moins un sous-réseau dans au moins deux zones de disponibilité de la Région AWS.

La bonne pratique est la suivante : chaque groupe de sous-réseaux de base de données doit être constitué d'au moins un sous-réseau pour chaque zone de disponibilité dans la Région AWS. Pour les déploiements multi-AZ, la définition d'un sous-réseau pour toutes les zones de disponibilité d'une Région AWS permet à Amazon RDS de créer un réplica de secours dans une autre zone de disponibilité si nécessaire. Vous pouvez également suivre cette bonne pratique pour les déploiements mono-AZ, au cas où vous seriez amené à les convertir en déploiements multi-AZ à l'avenir.

Pour qu'une instance de base de données soit publiquement accessible, les sous-réseaux du groupe de sous-réseaux DB doivent avoir une passerelle Internet. Pour plus d'informations sur les passerelles Internet pour les sous-réseaux, veuillez consulter Passerelles Internet dans la documentation relative à Amazon VPC.

Note

Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

Lors de la création d'une instance de base de données dans un VPC, veillez à choisir un groupe de sous-réseaux de base de données. Amazon RDS choisit dans ce sous-réseau un sous-réseau et une adresse IP à associer à votre instance de base de données. Amazon RDS crée une interface réseau Elastic pour votre instance de base de données, et l'associe à cette adresse IP. L'instance de base de données utilise la zone de disponibilité contenant le sous-réseau. Pour les déploiements multi-AZ, la définition d'un sous-réseau pour deux zones de disponibilité ou plus dans une Région AWS permet à Amazon RDS de créer une instance en veille dans une autre zone de disponibilité, utilisable le cas échéant. Vous devez procéder de la sorte même pour les déploiements Single-AZ, au cas où vous souhaitiez les convertir en déploiements multi-AZ par la suite.

Dans cette étape, vous créez un groupe de sous-réseaux de base de données et ajoutez les sous-réseaux que vous avez créés pour votre VPC.

Pour créer un groupe de sous-réseaux

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Subnet groups (Groupes de sous-réseaux).

  3. Choisissez Create DB Subnet Group (Créer groupe de sous-réseaux de base de données).

  4. Dans Nom, saisissez le nom de votre nouveau groupe de sous-réseaux de base de données.

  5. Dans le champ Description, saisissez une description de votre groupe de sous-réseaux de base de données.

  6. Pour VPC, choisissez le VPC que vous avez créé.

  7. Dans la section Ajouter des sous-réseaux, choisissez les zones de disponibilité qui incluent les sous-réseaux à partir de Zones de disponibilité, puis choisissez les sous-réseaux à partir de Sous-réseaux.

    
							Bouton Créer groupe de sous-réseaux de base de données
    Note

    Si vous avez activé une zone locale, vous pouvez choisir un groupe de zone de disponibilité sur la page Créer un groupe de sous-réseaux DB. Dans ce cas, choisissez Groupe de zone de disponibilité, Zones de disponibilité et Sous-réseaux.

  8. Sélectionnez Créer un .

    Votre nouveau groupe de sous-réseaux DB apparaît dans la liste des groupes de sous-réseaux sur la console RDS. Vous pouvez choisir le groupe de sous-réseaux DB pour afficher les détails, y compris l'ensemble des sous-réseaux associés au groupe, dans le volet des détails en bas de la fenêtre.

Étape 4 : Créer un groupe de sécurité VPC

Avant de créer votre instance de base de données, vous devez créer un groupe de sécurité VPC à associer à votre instance de base de données. Pour des instructions sur la création d'un groupe de sécurité pour votre instance de base de données, consultez Créer un groupe de sécurité VPC pour une instance de base de données privée ou Groupes de sécurité pour votre VPC dans la documentation Amazon VPC.

Étape 5 : Créer une instance de base de données dans le VPC

Dans cette étape, vous créez une instance de base de données et utilisez le nom du VPC, le groupe de sous-réseaux DB et le groupe de sécurité VPC que vous avez créés dans les étapes précédentes.

Note

Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez activer les noms d'hôte DNS des attributs du VPC, ainsi que la résolution DNS. Pour plus d'informations sur la mise à jour des informations DNS pour une instance VPC, consultez Mise à jour de la prise en charge DNS pour votre VPC.

Pour plus d'informations sur la création d'une instance de base de données, veuillez consulter Création d'une instance de base de données Amazon RDS.

Lorsque vous y êtes invité dans la section Connectivity (Connectivité), saisissez le nom du VPC, le groupe de sous-réseaux de base de données et le groupe de sécurité VPC que vous avez créés lors des étapes précédentes.