Utilisation d'un(e) instance de base de données dans un VPC - Amazon Relational Database Service

Utilisation d'un(e) instance de base de données dans un VPC

Votre instance de base de données se trouve dans un cloud privé virtuel (VPC). Un VPC est un réseau virtuel logiquement isolé des autres réseaux virtuels dans le cloud AWS. Amazon VPC vous permet de lancer des ressources AWS, telles qu'un(e) instance de base de données Amazon RDS ou une instance Amazon EC2, dans un VPC. Le VPC peut être un VPC par défaut fourni avec votre compte ou un VPC que vous créez. Tous les VPC sont associés à votre compte AWS.

Votre VPC par défaut a trois sous-réseaux que vous pouvez utiliser pour isoler les ressources à l'intérieur du VPC. Le VPC par défaut possède aussi une passerelle Internet qui peut être utilisée pour fournir l'accès aux ressources à l'intérieur du VPC depuis l'extérieur du VPC.

Pour obtenir une liste des scénarios impliquant des instances de base de données Amazon RDS dans un VPC et en dehors d'un VPC, consultez Scénarios d'accès à un(e) instance de base de données d'un VPC.

Dans les tutoriels suivants, vous apprendrez à créer un VPC que vous pouvez utiliser pour un scénario commun Amazon RDS :

Utilisation d'un(e) instance de base de données dans un VPC

Voici quelques conseils d'utilisation d'un(e) instance de base de données dans un VPC :

  • Votre VPC doit avoir au moins deux sous-réseaux. Ces sous-réseaux doivent se trouver dans deux zones de disponibilité différentes de la Région AWS où vous voulez déployer votre instance de base de données. Un sous-réseau est un segment de la plage d'adresses IP d'un VPC que vous pouvez spécifier et que vous pouvez utiliser pour regrouper des instances de base de données en fonction de vos besoins en matière de sécurité et de fonctionnement.

    Pour les déploiements multi-AZ, la définition d'un sous-réseau pour deux zones de disponibilité ou plus dans une Région AWS permet à Amazon RDS de créer une instance en veille dans une autre zone de disponibilité, utilisable le cas échéant. Procédez de la sorte même pour les déploiements Single-AZ, au cas où vous souhaitiez les convertir en déploiements multi-AZ par la suite.

    Note

    Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

  • Si vous voulez que votre instance de base de données dans le VPC soit publiquement accessible, assurez-vous d'activer les attributs VPC DNS hostnames (Noms d'hôtes DNS) et DNS resolution (Résolution DNS).

  • Votre VPC doit disposer d'un groupe de sous-réseau de base de données que vous créez. Vous créez un groupe de sous-réseaux de base de données en spécifiant les sous-réseaux que vous avez créés. Amazon RDS choisit dans ce sous-réseau un sous-réseau et une adresse IP à associer à votre instance de base de données. L'instance de base de données utilise la zone de disponibilité contenant le sous-réseau.

  • Votre VPC doit avoir un groupe de sécurité VPC qui autorise l'accès à l'instance de base de données.

    Pour plus d'informations, consultez Scénarios d'accès à un(e) instance de base de données d'un VPC.

  • Les blocs d'adresse CIDR de chacun de vos sous-réseaux doivent être assez grands pour accueillir les adresses IP de rechange utilisées par Amazon RDS pendant les activités de maintenance, y compris le basculement et le dimensionnement du calcul. Par exemple, une plage telle que 10.0.0.0/24 et 10.0.1.0/24 est généralement suffisante.

  • Un VPC peut avoir un attribut instance tenancy (location d'instance) ayant la valeur par défaut ou dédiée. Tous les VPC par défaut ont l'attribut de location d'instance défini à la valeur par défaut et un VPC par défaut peut prendre en charge n'importe quelle classe d'instance de base de données.

    Si vous choisissez d'installer votre instance de base de données dans un VPC dédié où l'attribut de location de l'instance est défini comme étant dédié, la classe d'instance de base de données de votre instance de base de données doit être l'un des types d'instance dédiée Amazon EC2 approuvés. Par exemple, l'instance dédiée EC2 r5.large correspond à la classe d'instance db.r5.large DB. Pour plus d'informations sur la location d'instance dans un VPC, consultez Instances dédiées dans le Guide de l'utilisateur Amazon Elastic Compute Cloud.

    Pour plus d'informations sur les types d'instance qui peuvent se trouver dans une instance dédiée, consultez Instances dédiées Amazon EC2 sur la page de tarification EC2.

    Note

    Lorsque vous définissez l'attribut de location d'instance sur dédié pour un(e) instance de base de données, cela ne garantit pas que l'instance de base de données fonctionnera sur un hôte dédié.

  • Lorsqu'un groupe d'options est attribué à une instance de base de données, il est associé au VPC de l'instance de base de données. Cette liaison signifie que vous ne pouvez pas utiliser le groupe d'options assigné à une instance de base de données si vous tentez de restaurer l'instance de base de données dans un VPC différent.

  • Si vous restaurez une instance de base de données dans un VPC différent, veillez à affecter le groupe d'options par défaut à l'instance de base de données, à affecter un groupe d'options lié à ce VPC ou à créer un nouveau groupe d'options et à l'affecter à l'instance de base de données. Avec les options permanentes ou persistantes, telles qu'Oracle TDE, vous devez créer un nouveau groupe d'options incluant l'option persistante ou permanente lorsque vous restaurez une instance de base de données dans un VPC différent.

Utilisation de groupes de sous-réseaux DB

Les sous-réseaux sont des segments d'une plage d'adresses IP d'un VPC que vous définissez pour regrouper vos ressources en fonction de vos besoins de sécurité et de fonctionnement. Un groupe de sous-réseaux de base de données est une collection de sous-réseaux (généralement privés) que vous créez dans un VPC et que vous spécifiez alors pour vos instances de base de données. En utilisant un groupe de sous-réseau de base de données, vous pouvez spécifier un VPC particulier lors de la création d'instances de base de données à l'aide de AWS CLI ou de l'API RDS. Si vous utilisez la console, vous pouvez choisir le VPC et les groupes de sous-réseaux que vous voulez utiliser.

Chaque groupe de sous-réseaux DB doit avoir des sous-réseaux dans au moins deux zones de disponibilité d'une Région AWS donnée. Lorsque vous créez un(e) instance de base de données dans un VPC, vous choisissez un groupe de sous-réseau de base de données pour celui-ci. Dans le groupe de sous-réseaux de base de données, Amazon RDS choisit un sous-réseau et une adresse IP dans ce sous-réseau pour les employer avec l'instance de base de données . La base de données utilise la zone de disponibilité contenant le sous-réseau.

Si l'instance de base de données principale d'un déploiement multi-AZ échoue, Amazon RDS peut promouvoir l'instance de secours et par la suite créer une nouvelle instance de secours à l'aide d'une adresse IP du sous-réseau dans l'une des autres zones de disponibilité.

Les sous-réseaux d'un groupe de sous-réseaux de base de données sont publics ou privés. Les sous-réseaux sont publics ou privés, selon la configuration que vous définissez pour leurs listes de contrôle d'accès réseau (ACL réseau) et leurs tables de routage. Pour qu'un(e) instance de base de données soit accessible au public, tous les sous-réseaux de son groupe de sous-réseaux de base de données doivent être publics. Si un sous-réseau associé à un(e) instance de base de données accessible au public passe de public à privé, cela peut affecter la disponibilité de l'instance de base de données.

Pour créer un groupe de sous-réseaux de base de données prenant en charge le mode double pile, assurez-vous que chaque sous-réseau que vous ajoutez au groupe de sous-réseaux de base de données est associé à un bloc d'adresse CIDR de protocole Internet version 6 (IPv6). Pour plus d'informations, consultez Adressage IP Amazon RDS et la section Migrating to IPv6 (Migrer vers IPv6) dans le Guide de l'utilisateur Amazon VPC.

Note

Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

Lorsque Amazon RDS crée un(e) instance de base de données dans un VPC, il attribue une interface réseau à votre instance de base de données en utilisant une adresse IP de votre groupe de sous-réseau de base de données. Toutefois, nous vous recommandons vivement d'utiliser le nom du système de nom de domaine (DNS) pour vous connecter à votre instance de base de données. Nous le recommandons car l'adresse IP sous-jacente change pendant le basculement.

Note

Pour chaque instance de base de données que vous exécutez dans un VPC, assurez-vous de réserver au moins une adresse dans chaque sous-réseau du groupe de sous-réseaux de base de données qui sera utilisée par Amazon RDS pour les actions de récupération.

Adressage IP Amazon RDS

Les adresses IP permettent aux ressources de votre VPC de communiquer entre elles et avec les ressources sur Internet. Amazon RDS prend en charge les protocoles d'adressage de protocole Internet version 4 (IPv4) et IPv6. Par défaut, Amazon RDS et le VPC Amazon utilisent le protocole d'adressage IPv4. Vous ne pouvez pas désactiver ce comportement. Lorsque vous créez un VPC, veillez à spécifier un bloc d'adresse CIDR IPv4 (une plage d'adresses IPv4 privées). Vous pouvez éventuellement attribuer un bloc CIDR IPv6 à votre VPC et à vos sous-réseaux, et attribuer les adresses IPv6 de ce bloc aux instances de votre sous-réseau.

La prise en charge du protocole IPv6 augmente le nombre d'adresses IP prises en charge. En utilisant le protocole IPv6, vous vous assurez d'avoir suffisamment d'adresses disponibles pour la croissance future d'Internet. Les ressources RDS nouvelles et existantes peuvent utiliser des adresses IPv4 et IPv6 au sein de votre VPC Amazon. La configuration, la sécurisation et la traduction du trafic réseau entre les deux protocoles utilisés dans les différentes parties d'une application peuvent entraîner une surcharge opérationnelle. Vous pouvez standardiser le protocole IPv6 pour les ressources Amazon RDS afin de simplifier la configuration de votre réseau.

Adresses IPv4

Lorsque vous créez un VPC, vous devez spécifier une plage d'adresses IPv4 pour le VPC sous la forme d'un bloc CIDR, tel que 10.0.0.0/16. Un groupe de sous-réseau de base de données définit la plage d'adresses IP de ce bloc CIDR qu'un(e) instance de base de données peut utiliser. Ces adresses IP peuvent être privées ou publiques.

Une adresse IPv4 privée est une adresse IP qui ne peut pas être atteinte via Internet. Vous pouvez utiliser des adresses IPv4 privées pour la communication entre votre instance de base de données et d'autres ressources, telles que les instances Amazon EC2, dans le même VPC. Chaque instance de base de données dispose d'une adresse IP privée pour la communication dans le VPC.

Une adresse IP publique est une adresse IPv4, qui est accessible depuis Internet. Vous pouvez utiliser des adresses publiques pour la communication entre votre instance de base de données et des ressources sur Internet, comme un client SQL. Vous contrôlez si votre instance de base de données reçoit une adresse IP publique.

Pour un tutoriel qui vous montre comment créer un VPC avec uniquement des adresses IPv4 privées que vous pouvez utiliser pour un scénario commun Amazon RDS, consultez Tutoriel : créer un VPC à utiliser avec un(e) instance de base de données (IPv4 uniquement).

Adresses IPv6

Vous pouvez éventuellement associer un bloc d'adresses CIDR IPv6 à votre VPC et vos sous-réseaux, et attribuer des adresses IPv6 à partir de ce bloc aux ressources de votre VPC. Chaque adresse IPv6 est unique au niveau mondial.

Le bloc d'adresse CIDR IPv6 de votre VPC est automatiquement attribué à partir du groupe d'adresses IPv6 d'Amazon. Vous ne pouvez pas choisir la plage vous-même.

Lorsque vous vous connectez à une adresse IPv6, assurez-vous que les conditions suivantes sont remplies :

  • Le client est configuré de telle sorte que le trafic du client vers la base de données sur IPv6 est autorisé.

  • Les groupes de sécurité RDS utilisés par l'instance de base de données sont configurés correctement afin que le trafic du client vers la base de données sur IPv6 soit autorisé.

  • La pile du système d'exploitation client autorise le trafic sur l'adresse IPv6, et les pilotes et les bibliothèques du système d'exploitation sont configurés pour choisir le point de terminaison correct de l'instance de base de données par défaut (soit IPv4, soit IPv6).

Pour plus d'informations sur IPv6, consultez la section IP Addressing (Adressage IP) dans le Guide de l'utilisateur Amazon VPC.

Mode double pile

Lorsqu'une instance de base de données peut communiquer à la fois sur les protocoles d'adressage IPv4 et IPv6, il fonctionne en mode double pile. Ainsi, les ressources peuvent communiquer avec l'instance de base de données par IPv4, IPv6 ou les deux. RDS désactive l'accès à la passerelle Internet pour les points de terminaison IPv6 des instances de base de données privées en mode double pile. RDS fait cela pour s'assurer que vos points de terminaison IPv6 sont privés et sont uniquement accessibles depuis votre VPC.

Pour un tutoriel qui vous montre comment créer un VPC avec des adresses IPv4 et IPv6 que vous pouvez utiliser pour un scénario commun Amazon RDS, consultez Tutoriel : Créer un VPC à utiliser avec une instance de base de données (mode double-pile).

Mode double pile et groupes de sous-réseaux de base de données

Pour utiliser le mode double pile, assurez-vous que chaque sous-réseau du groupe de sous-réseaux de base de données que vous associez à l'instance de base de données est associé à un bloc d'adresse CIDR IPv6. Vous pouvez créer un nouveau groupe de sous-réseau de base de données ou modifier un groupe de sous-réseau de base de données existant pour répondre à cette exigence. Une fois qu'une instance de base de données est en mode double pile, les clients peuvent s'y connecter normalement. Assurez-vous que les pare-feu de sécurité des clients et les groupes de sécurité de l'instance de base de données RDS sont correctement configurés pour autoriser le trafic sur IPv6. Pour se connecter, les clients utilisent le point de terminaison de l'instance de base de données. Les applications client peuvent spécifier quel protocole est préféré lors de la connexion à une base de données. En mode double pile, l'instance de base de données détecte le protocole réseau préféré du client, IPv4 ou IPv6, et utilise ce protocole pour la connexion.

Si un groupe de sous-réseaux de base de données cesse de prendre en charge le mode double pile en raison de la suppression d'un sous-réseau ou d'une dissociation CIDR, il existe un risque d'incompatibilité de l'état du réseau pour les instances de base de données associées au groupe de sous-réseaux de base de données. En outre, vous ne pouvez pas utiliser le groupe de sous-réseau de base de données lorsque vous créez une instance de base de données en mode double pile.

Pour déterminer si un groupe de sous-réseaux de base de données prend en charge le mode double pile à l'aide de la AWS Management Console, affichez la valeur Network type (Type de réseau) sur la page de détails du groupe de sous-réseaux de base de données. Pour déterminer si un groupe de sous-réseaux de base de données prend en charge le mode double pile à l'aide de AWS CLI, appelez la commande describe-db-subnet-groups et affichez SupportedNetworkTypes dans le résultat.

Les réplicas en lecture sont traités comme des instances de base de données indépendantes et peuvent avoir un type de réseau différent de celui de l'instance de base de données principale. Si vous modifiez le type de réseau de l'instance de base de données principale d'un réplica en lecture, le réplica en lecture n'est pas affecté. Lorsque vous restaurez une instance de base de données, vous pouvez la restaurer sur tout type de réseau pris en charge.

Utilisation d'instances de base de données en mode double pile

Lorsque vous créez ou modifiez une instance de base de données, vous pouvez spécifier le mode double pile pour permettre à vos ressources de communiquer avec votre instance de base de données sur IPv4, IPv6, ou les deux.

Lorsque vous utilisez la AWS Management Console pour créer ou modifier une instance de base de données, vous pouvez spécifier le mode double pile dans la section Network type (Type de réseau). L'image suivante présente la section Network type (Type de réseau) dans la console.


							Section Network type (Type de réseau) dans la console avec Dual-stack mode (mode Double pile) sélectionné

Lorsque vous utilisez AWS CLI pour créer ou modifier une instance de base de données, définissez l'option --network-type sur DUAL pour utiliser le mode double pile. Lorsque vous utilisez l'API RDS pour créer ou modifier une instance de base de données, définissez le paramètre NetworkType sur DUAL pour utiliser le mode double pile. Lorsque vous modifiez le type de réseau d'une instance de base de données, un temps d'arrêt est possible. Si le mode double pile n'est pas pris en charge par la version du moteur de base de données ou le groupe de sous-réseau de base de données spécifié, l'erreur NetworkTypeNotSupported est renvoyée.

Pour plus d'informations sur la création d'une instance de base de données, consultez Création d'une instance de base de données Amazon RDS. Pour plus d'informations sur la modification d'une instance de base de données, veuillez consulter Modification d'une instance de base de données Amazon RDS.

Pour déterminer si un(e) instance de base de données est en mode double pile en utilisant la console, affichez Network type (Type de réseau) dans l'onglet Connectivity & security (Connectivité et sécurité) pour l'instance de la base de données.

Modification des instances de base de données uniquement en IPv4 pour utiliser le mode double pile

Vous pouvez modifier un(e) instance de base de données uniquement en IPv4 pour utiliser le mode double pile. Pour ce faire, modifiez le type de réseau de l'instance de base de données. La modification peut entraîner un temps d'arrêt.

Avant de modifier un(e) instance de base de données pour utiliser le mode double pile, assurez-vous que son groupe de sous-réseau de base de données prend en charge le mode double pile. Si le groupe de sous-réseau de base de données associé à l'instance de base de données ne prend pas en charge le mode double pile, spécifiez un autre groupe de sous-réseau de base de données qui le prend en charge lorsque vous modifiez l'instance de base de données. Si vous modifiez le groupe de sous-réseau de base de données d'un(e) instance de base de données avant de modifier l'instance de base de données pour utiliser le mode double pile, assurez-vous que le groupe de sous-réseau de base de données est valide pour l'instance de base de données avant et après la modification.

Si vous ne pouvez pas vous connecter à l'instance de base de données après la modification, assurez-vous que les pares-feux de sécurité du client et de la base de données et les tables de routage sont configurés avec précision pour autoriser le trafic croisé vers la base de données sur le réseau sélectionné (soit IPv4, soit IPv6). Vous devrez peut-être également modifier les paramètres, les bibliothèques ou les pilotes du système d'exploitation pour vous connecter en utilisant une adresse IPv6.

Les limitations suivantes s'appliquent à la modification d'un(e) instance de base de données pour utiliser le mode double pile :

  • Les instances de base de données en mode double pile ne peuvent pas être accessibles publiquement.

  • Les instances de base de données ne peuvent pas posséder un point de terminaison uniquement en IPv6.

  • Il ne peut pas y avoir de modification en attente d'un déploiement Mono-AZ vers un déploiement Multi-AZ, ou d'un déploiement Multi-AZ vers un déploiement Mono-AZ.

Pour modifier un(e) instance de base de données exclusivement IPv4 afin d'utiliser le mode double pile

  1. Modifiez un groupe de sous-réseaux de base de données pour prendre en charge le mode double pile ou créez un groupe de sous-réseaux de base de données qui prend en charge le mode double pile :

    1. Associer un bloc d'adresse CIDR IPv6 à votre VPC

      Pour obtenir des instructions, consultez la section Associate an IPv6 CIDR block with your VPC (Associer un bloc CIDR IPv6 à votre VPC) dans le Guide de l'utilisateur Amazon VPC.

    2. Attachez le bloc d'adresse CIDR IPv6 à tous les sous-réseaux de votre groupe de sous-réseaux de base de données.

      Pour obtenir des instructions, consultez la section Associate an IPv6 CIDR block with your subnet (Associer un bloc CIDR IPv6 à votre sous-réseau) dans le Guide de l'utilisateur Amazon VPC.

    3. Confirmez que le groupe de sous-réseaux de base de données prend en charge le mode double pile.

      Si vous utilisez la AWS Management Console, sélectionnez le groupe de sous-réseau de base de données et assurez-vous que la valeur Supported network types (Types de réseau pris en charge) est Dual, IPv4 (Double, IPV4).

      Si vous utilisez AWS CLI, appelez la commande describe-db-subnet-groups et assurez-vous que la valeur SupportedNetworkType de l'instance de base de données est Dual, IPv4.

  2. Modifiez le groupe de sécurité associé à l'instance de base de données pour autoriser les connexions IPv6 à la base de données, ou créez un nouveau groupe de sécurité qui autorise les connexions IPv6.

    Pour obtenir des instructions, consultez la section Security group rules (Règles des groupes de sécurité) dans le Guide de l'utilisateur Amazon VPC.

  3. Modifiez l'instance de la base de données pour qu'il prenne en charge le mode double pile. Pour ce faire, réglez le Network type (Type de réseau) sur Dual-stack mode (Mode double pile).

    Si vous utilisez la console, assurez-vous que les paramètres suivants sont corrects :

    • Network type (Type de réseau) – Dual-stack mode (Mode double pile)

      
											Section Network type (Type de réseau) dans la console avec Dual-stack mode (mode Double pile) sélectionné
    • DB subnet group (Groupe de sous-réseau de base de données) : le groupe de sous-réseau de base de données que vous avez configuré à l'étape précédente.

    • Security group (Groupe de sécurité) – la sécurité que vous avez configurée dans une étape précédente.

    Si vous utilisez la AWS CLI, assurez-vous que les paramètres suivants sont corrects :

    • --network-typedual

    • --db-subnet-group-name — le groupe de sous-réseau de base de données que vous avez configuré à l'étape précédente.

    • --vpc-security-group-ids : le groupe de sécurité du VPC que vous avez configuré à l'étape précédente.

  4. Confirmez que l'instance de base de données prend en charge le mode double pile.

    Si vous utilisez la console, choisissez l'onglet Connectivity & security (Connectivité et sécurité) pour l'instance de la base de données. Dans cet onglet, assurez-vous que la valeur de Network type (Type de réseau) est Dual-stack mode (Mode double pile).

    Si vous utilisez AWS CLI, appelez la commande describe-db-instances et assurez-vous que la valeur NetworkType de l'instance de base de données est dual.

    Exécutez la commande dig sur le point de terminaison de l'instance de base de données pour identifier l'adresse IPv6 qui lui est associée.

    dig db-instance-endpoint AAAA

    Utilisez le point de terminaison de l'instance de base de données , et non l'adresse IPv6, pour vous connecter à l'instance de base de données.

Disponibilité des régions et des versions

La disponibilité et la prise en charge des fonctionnalités varient selon les versions spécifiques de chaque moteur de base de données, et selon les Régions AWS. Pour obtenir plus d'informations sur la disponibilité des versions et des régions avec le mode double pile, consultez Mode double pile.

Limitations pour les instances de base de données en réseau à double pile

Les limitations suivantes s'appliquent aux instances de base de données en réseau à double pile :

  • Les instances de bases de données ne peuvent pas utiliser exclusivement le protocole IPv6. Elles/ils peuvent utiliser exclusivement l'IPv4, ou utiliser les protocoles IPv4 et IPv6 (mode double pile).

  • Amazon RDS ne prend pas en charge les sous-réseaux IPv6 natifs.

  • Les instances de bases de données qui utilisent le mode double pile doivent être privé(e)s. Ils/elles ne peuvent pas être publiquement accessibles.

  • Le mode double pile ne prend pas en charge les classes d'instance de base de données db.m3 et db.r3.

  • Pour RDS for SQL Server, les instances de base de données en mode double pile qui utilisent des points de terminaison d'écoute des groupes de disponibilité AlwaysOn ne présentent que des adresses IPv4.

  • Vous ne pouvez pas utiliser RDS Proxy avec des instances de base de données en mode double pile.

  • Vous ne pouvez pas utiliser le mode double pile avec RDS sur les instances de base de données AWS Outposts.

  • Vous ne pouvez pas utiliser le mode double pile avec des instances de base de données dans une zone locale.

Masquer un(e) instance de base de données dans un VPC depuis Internet

Un scénario Amazon RDS courant consiste à avoir un VPC dans lequel vous avez une instance EC2 avec une application web publique et un(e) instance de base de données avec une base de données qui n'est pas accessible publiquement. Par exemple, vous pouvez créer un VPC contenant un sous-réseau public et un sous-réseau privé. Les instances Amazon EC2 qui fonctionnent comme serveurs web peuvent être déployés dans le sous-réseau public. Les instances de base de données sont déployés dans le sous-réseau privé. Dans un tel déploiement, seuls les serveurs web ont accès aux instances de base de données. Pour obtenir une illustration de ce scénario, consultez Un(e) instance de base de données dans un VPC auquel accède une instance EC2 dans le même VPC..

Lorsque vous lancez un(e) instance de base de données dans un VPC, l'instance de base de données possède une adresse IP privée pour le trafic à l'intérieur du VPC. Cette adresse IP privée n'est pas accessible au public. Vous pouvez utiliser l'option Public access (Accès public) pour indiquer si l'instance de base de données possède également une adresse IP publique en plus de l'adresse IP privée. Si l'instance de la base de données est désigné comme publiquement accessible, son point de terminaison DNS se résout à l'adresse IP privée à partir du VPC. Il renvoit à l'adresse IP publique depuis l'extérieur du VPC. L'accès à l'instance de la base de données est contrôlé en dernier ressort par le groupe de sécurité qu'il utilise. Cet accès public n'est pas autorisé si le groupe de sécurité attribué à l'instance de la base de données ne comprend pas de règles d'entrée qui l'autorisent. En outre, pour qu'un(e) instance de base de données soit publiquement accessible, les sous-réseaux de son groupe de sous-réseaux de base de données doivent avoir une passerelle Internet. Pour plus d'informations, consultez Impossible de se connecter à l'instance de base de données Amazon RDS.

Vous pouvez modifier un(e) instance de base de données pour activer ou désactiver l'accessibilité publique en modifiant l'option Public access (Accès public). L'illustration suivante présente l'option Public Access (Accès public) dans la section Additional connectivity configuration (Configuration de connectivité supplémentaire). Pour définir cette option, ouvrez la section Additional connectivity configuration (Configuration de connectivité supplémentaire) dans la section Connectivity (Connectivité).

Pour plus d'informations sur la modification d'une instance de base de données afin de définir l'option Public access (Accès public), veuillez consulter Modification d'une instance de base de données Amazon RDS.

Création d'un(e) instance de base de données dans un VPC

Les procédure suivantes vous aident à créer un(e) instance de base de données dans un VPC. Pour utiliser le VPC par défaut, vous pouvez commencer par l'étape 2, et utiliser le groupe VPC et sous-réseau de base de données qui ont déjà été créés pour vous. Si vous souhaitez créer un VPC supplémentaire, vous pouvez créer un nouveau VPC.

Note

Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez mettre à jour les informations DNS pour le VPC en activant les attributs VPC DNS hostnames (noms d'hôtes DNS) et DNS resolution (Résolution DNS). Pour plus d'informations sur la mise à jour des informations DNS pour une instance VPC, consultez Mise à jour de la prise en charge DNS pour votre VPC.

Suivez les étapes ci-après pour créer une instance de base de données dans un VPC:

Étape 1 : Création d'un VPC

Créez un VPC avec des sous-réseaux dans au moins deux zones de disponibilité. Vous utilisez ces sous-réseaux lorsque vous créerez un groupe de sous-réseaux de base de données. Si vous avez un VPC par défaut, un sous-réseau est automatiquement créé pour vous dans chaque zone de disponibilité de la Région AWS.

Pour obtenir plus d'informations, consultez Créer un VPC avec des sous-réseaux publics et privés, ou Create a VPC (Créer un VPC) dans le Guide de l'utilisateur Amazon VPC.

Étape 3 : Créer un groupe de sous-réseaux DB

Un groupe de sous-réseaux DB est une collection de sous-réseaux (généralement privés) que vous créez pour un VPC et que vous spécifiez alors pour vos instances de base de données. Un groupe de sous-réseaux DB vous permet de spécifier un VPC particulier lors de la création d'instances de base de données à l'aide de AWS CLI ou de l'API RDS. Si vous utilisez la console, vous pouvez simplement choisir le VPC et les sous-réseaux que vous voulez utiliser. Chaque groupe de sous-réseaux DB doit avoir au moins un sous-réseau dans au moins deux zones de disponibilité de la Région AWS. La bonne pratique est la suivante : chaque groupe de sous-réseaux de base de données doit être constitué d'au moins un sous-réseau pour chaque zone de disponibilité dans la Région AWS.

Pour les déploiements multi-AZ, la définition d'un sous-réseau pour toutes les zones de disponibilité d'une Région AWS permet à Amazon RDS de créer un réplica de secours dans une autre zone de disponibilité si nécessaire. Vous pouvez également suivre cette bonne pratique pour les déploiements mono-AZ, au cas où vous seriez amené à les convertir en déploiements multi-AZ à l'avenir.

Pour qu'un(e) instance de base de données soit publiquement accessible, les sous-réseaux du groupe de sous-réseaux de base de données doivent avoir une passerelle Internet. Pour obtenir plus d'informations sur les passerelles Internet pour les sous-réseaux, consultez la section Connect to the internet using an internet gateway (Se connecter à Internet à l'aide d'une passerelle Internet) dans le Guide de l'utilisateur Amazon VPC.

Note

Le groupe de sous-réseaux de base de données d'une zone locale ne peut avoir qu'un seul sous-réseau.

Lorsque vous créez un(e) instance de base de données dans un VPC, vous pouvez choisir un groupe de sous-réseau de base de données. Amazon RDS choisit dans ce sous-réseau un sous-réseau et une adresse IP à associer à votre instance de base de données. Si aucun groupe de sous-réseau de base de données n'existe, Amazon RDS crée un groupe de sous-réseau par défaut lorsque vous créez un(e) instance de base de données. Amazon RDS crée une interface réseau Elastic pour votre instance de base de données, et l'associe à cette adresse IP. L'instance de base de données utilise la zone de disponibilité contenant le sous-réseau.

Pour les déploiements multi-AZ, la définition d'un sous-réseau pour deux zones de disponibilité ou plus dans une Région AWS permet à Amazon RDS de créer une instance en veille dans une autre zone de disponibilité, utilisable le cas échéant. Vous devez procéder de la sorte même pour les déploiements Single-AZ, au cas où vous souhaitiez les convertir en déploiements multi-AZ par la suite.

Dans cette étape, vous créez un groupe de sous-réseaux de base de données et ajoutez les sous-réseaux que vous avez créés pour votre VPC.

Pour créer un groupe de sous-réseaux

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Subnet groups (Groupes de sous-réseaux).

  3. Choisissez Create DB Subnet Group (Créer groupe de sous-réseaux de base de données).

  4. Dans Nom, saisissez le nom de votre nouveau groupe de sous-réseaux de base de données.

  5. Dans le champ Description, saisissez une description de votre groupe de sous-réseaux de base de données.

  6. Pour le champ VPC, choisissez le VPC par défaut ou le VPC que vous avez créé.

  7. Dans la section Ajouter des sous-réseaux, choisissez les zones de disponibilité qui incluent les sous-réseaux à partir de Zones de disponibilité, puis choisissez les sous-réseaux à partir de Sous-réseaux.

    
							Bouton Créer groupe de sous-réseaux de base de données
    Note

    Si vous avez activé une zone locale, vous pouvez choisir un groupe de zone de disponibilité sur la page Créer un groupe de sous-réseaux DB. Dans ce cas, choisissez Groupe de zone de disponibilité, Zones de disponibilité et Sous-réseaux.

  8. Sélectionnez Créer un .

    Votre nouveau groupe de sous-réseaux DB apparaît dans la liste des groupes de sous-réseaux sur la console RDS. Vous pouvez choisir le groupe de sous-réseaux DB pour afficher les détails, y compris l'ensemble des sous-réseaux associés au groupe, dans le volet des détails en bas de la fenêtre.

Étape 4 : Créer un groupe de sécurité VPC

Avant de créer votre instance de base de données, vous pouvez créer un groupe de sécurité VPC à associer à votre instance de base de données. Si vous ne créez pas de groupe de sécurité VPC, vous pouvez utiliser le groupe de sécurité par défaut lorsque vous créez un(e) instance de base de données. Pour obtenir des instructions sur la création d'un groupe de sécurité pour votre instance de base de données, consultez Créer un groupe de sécurité VPC pour une instance de base de données privé(e), ou Control traffic to resources using security groups (Contrôler le trafic vers les ressources à l'aide de groupes de sécurité) dans le Guide de l'utilisateur Amazon VPC.

Étape 5 : Créer une instance de base de données dans le VPC

Dans cette étape, vous créez un(e) instance de base de données et utilisez le nom du VPC, le groupe de sous-réseaux de base de données et le groupe de sécurité VPC que vous avez créés dans les étapes précédentes.

Note

Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez activer les attributs du VPC DNS hostnames (Noms d'hôte DNS) et DNS resolution (Résolution DNS). Pour plus d'informations, consultez DNS attributes for your VPC (Attributs DNS pour votre VPC) dans le Guide de l'utilisateur d'Amazon VPC.

Pour plus d'informations sur la création d'un(e) instance de base de données, consultez Création d'une instance de base de données Amazon RDS .

Lorsque vous y êtes invité dans la section Connectivity (Connectivité), saisissez le nom du VPC, le groupe de sous-réseaux de base de données et le groupe de sécurité VPC.