Amazon Relational Database Service
Guide de l'utilisateur

Utilisation d'une instance de base de données dans un VPC

À moins que vous n'utilisiez une instance de base de données héritée, votre instance de base de données se trouve dans un Virtual Private Cloud (VPC). Un VPC est un réseau virtuel isolé de manière logique des autres réseaux virtuels du cloud AWS. Amazon VPC vous permet de lancer des ressources AWS, telles qu’une instance de base de données Amazon RDS ou une instance Amazon EC2 dans un VPC. Le VPC peut être un VPC par défaut fourni avec votre compte ou un VPC que vous créez. Tous les VPC sont associés à votre compte AWS.

Votre VPC par défaut a trois sous-réseaux que vous pouvez utiliser pour isoler les ressources à l'intérieur du VPC. Le VPC par défaut possède aussi une passerelle Internet qui peut être utilisée pour fournir l'accès aux ressources à l'intérieur du VPC depuis l'extérieur du VPC.

Pour la liste des scénarios impliquant des instances de base de données Amazon RDS dans un VPC et en dehors d’un VPC, consultez Scénarios d'accès à une instance de base de données d'un VPC.

Pour un didacticiel qui explique comment créer un VPC que vous pouvez utiliser avec un scénario Amazon RDS courant, consultez Didacticiel : créer un Amazon VPC à utiliser avec une instance de base de données.

Pour apprendre à utiliser des instances de base de données à l'intérieur d'un VPC, consultez les éléments suivants :

Utilisation d'une instance de base de données dans un VPC

Voici quelques conseils d'utilisation d'une instance de base de données dans un VPC :

  • Votre VPC doit avoir au moins deux sous-réseaux. Ces sous-réseaux doivent se trouver dans deux zones de disponibilité différentes de la région AWS où vous voulez déployer votre instance de base de données. Un sous-réseau est un segment d'une plage d'adresses IP d'un VPC que vous pouvez spécifier et qui vous permet de regrouper les instances en fonction de vos besoins de sécurité et de fonctionnement.

  • Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez activer les noms d'hôte DNS des attributs du VPC, ainsi que la résolution DNS.

  • Votre VPC doit avoir un groupe de sous-réseaux DB que vous créez (pour plus d'informations, consultez la section suivante). Vous créez un groupe de sous-réseaux de base de données en précisant les sous-réseaux que vous avez créé. Amazon RDS utilise ce groupe de sous-réseaux de base de données ainsi que votre zone de disponibilité pour choisir un sous-réseau et une adresse IP au sein de ce sous-réseau afin de l'attitrer à votre instance de base de données.

  • Votre VPC doit avoir un groupe de sécurité VPC qui autorise l'accès à l'instance de base de données.

  • Les blocs d'adresse CIDR de chacun de vos sous-réseaux doivent être assez grands pour accueillir les adresses IP de rechange utilisées par Amazon RDS pendant les activités de maintenance, y compris le basculement et le dimensionnement du calcul.

  • Un VPC peut avoir un attribut instance tenancy (location d'instance) ayant la valeur par défaut ou dédiée. Tous les VPC par défaut ont l'attribut de location d'instance défini à la valeur par défaut et un VPC par défaut peut prendre en charge n'importe quelle classe d'instance de base de données.

    Si vous choisissez que votre instance de base de données se trouve dans un VPC dédié où l'attribut « instance tenancy » a la valeur « dedicated », la classe d'instance de base de données de votre instance de base de données doit être de l'un des types d'instance dédiée Amazon EC2 approuvés. Par exemple, l'instance dédiée EC2 m3.medium correspond à la classe d'instance de base de données db.m3.medium. Pour plus d'informations sur la location d'instance dans un VPC, consultez Utilisation des instances dédiées EC2 dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

    Pour plus d'informations sur les types d'instance qui peuvent se trouver dans une instance dédiée, consultez Instances dédiées Amazon EC2 sur la page de tarification EC2.

  • Lorsqu'un groupe d'options est affecté à une instance de base de données, il est lié à la plateforme prise en charge sur laquelle se trouve l'instance de base de données, VPC ou EC2-Classic (non-VPC). De plus, si une instance de base de données est dans un VPC, le groupe d'options associé à l'instance de base de données est lié à ce VPC. Cette liaison signifie que vous ne pouvez pas utiliser le groupe d'options assigné à une instance de base de données si vous tentez de restaurer l'instance de base de données dans un VPC différent ou sur une autre plateforme.

  • Si vous restaurez une instance de base de données dans un autre VPC ou sur une autre plateforme, vous devez attribuer le groupe d'options par défaut à l'instance de base de données, assigner un groupe d'options lié à ce VPC ou à cette plateforme, ou créer un groupe d'options et l'affecter à l'instance de base de données. Avec les options permanentes ou persistantes, telles qu'Oracle TDE, vous devez créer un nouveau groupe d'options incluant l'option persistante ou permanente lorsque vous restaurez une instance de base de données dans un VPC différent.

Utilisation de groupes de sous-réseaux DB

Un sous-réseau est un segment d'une plage d'adresses IP d'un VPC que vous définissez pour regrouper vos ressources en fonction de vos besoins de sécurité et de fonctionnement. Un groupe de sous-réseaux DB est une collection de sous-réseaux (généralement privés) que vous créez dans un VPC et que vous spécifiez alors pour vos instances de base de données. Un groupe de sous-réseaux DB vous permet de spécifier un VPC particulier lors de la création d'instances de base de données à l'aide de l'interface de ligne de commande ou de l'API ; si vous utilisez la console, vous pouvez simplement choisir le VPC et les sous-réseaux que vous voulez utiliser.

Chaque groupe de sous-réseaux DB doit avoir des sous-réseaux dans au moins deux zones de disponibilité d'une région AWS donnée. Vous devez choisir un groupe de sous-réseaux de base de données lorsque vous créez une instance de base de données dans un VPC. Amazon RDS utilise ce groupe de sous-réseaux de base de données, ainsi que votre zone de disponibilité privilégiée, pour choisir un sous-réseau et une adresse IP au sein de ce sous-réseau, afin de l'attribuer à votre instance de base de données. Si l'instance de base de données principale d'un déploiement multi-AZ échoue, Amazon RDS peut promouvoir l'instance de secours et par la suite créer une nouvelle instance de secours à l'aide d'une adresse IP du sous-réseau dans l'une des autres zones de disponibilité.

Quand Amazon RDS crée une instance de base de données dans un VPC, il affecte une interface réseau à votre instance de base de données en utilisant une adresse IP de votre groupe de sous-réseaux de base de données. Cependant, nous vous recommandons fortement d'utiliser le nom DNS pour vous connecter à votre instance de base de données parce que l'adresse IP sous-jacente change pendant le basculement.

Note

Pour chaque instance de base de données que vous exécutez dans un VPC, vous devez réserver au moins une adresse dans chaque sous-réseau du groupe de sous-réseaux de base de données qui sera utilisée par Amazon RDS pour les actions de récupération.

Masquer une instance de base de données dans un VPC depuis Internet

Un scénario Amazon RDS courant consiste à avoir un VPC dans lequel vous avez une instance EC2 avec une application web publique et une instance de base de données avec une base de données qui n'est pas accessible publiquement. Par exemple, vous pouvez créer un VPC qui dispose d'un sous-réseau public et d'un sous-réseau privé. Les instances Amazon EC2 qui fonctionnent comme serveurs web peuvent être déployés dans le sous-réseau public et les instances de base de données sont déployées dans le sous-réseau privé. Dans un tel déploiement, seuls les serveurs web ont accès aux instances de base de données. Pour obtenir une illustration de ce scénario, consultez Une instance de base de données d'un VPC accédée par une instance EC2 du même VPC.

Lorsque vous lancez une instance de base de données à l'intérieur d'un VPC, vous pouvez définir si l'instance de base de données que vous créez a un DNS qui se résout en une adresse IP publique à l'aide du paramètre Public accessibility (Accessibilité publique). Ce paramètre vous permet de définir s'il existe un accès publique à l'instance de base de données. L'accès à l'instance de base de données finit par être contrôlé par le groupe de sécurité qu'il utilise et que l'accès publique n'est pas autorisé si le groupe de sécurité attribué à l'instance de base de données ne l'autorise pas.

Vous pouvez modifier une instance de base de données pour activer ou désactiver l'accessibilité publique en modifiant le paramètre Public accessibility (Accessibilité publique). Ce paramètre est modifié comme tout autre paramètre d'instance de base de données. Pour plus d'informations, consultez la section sur la modification de votre moteur de base de données.

L'illustration suivante affiche l'option Accessible publiquement dans la section Réseau et sécurité.

Création d'une instance de base de données dans un VPC

Les procédure suivantes vous aident à créer une instance de base de données dans un VPC. Si votre compte comporte un VPC par défaut, vous pouvez commencer par l'étape 3, car le VPC et le groupe de sous-réseaux DB ont déjà été créés pour vous. Si votre compte AWS n'a pas de VPC par défaut, ou si vous souhaitez créer un VPC supplémentaire, vous pouvez créer un nouveau VPC.

Si vous ignorez si vous avez un VPC par défaut, consultez Déterminer si vous utilisez une plateforme EC2-VPC ou EC2-Classic.

Note

Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez mettre à jour les informations DNS pour le VPC en activant les attributs VPC noms d'hôtes DNS et résolution DNS. Pour plus d'informations sur la mise à jour des informations DNS pour une instance VPC, consultez Mise à jour de la prise en charge DNS pour votre VPC.

Suivez les étapes ci-après pour créer une instance de base de données dans un VPC:

Étape 1 : Création d'un VPC

Si votre compte AWS ne comporte pas de VPC par défaut, ou si vous voulez créer un VPC supplémentaire, suivez les instructions de la création d'un VPC. Consultez Créer un VPC avec des sous-réseaux publics et privés ou Étape 1 : Créer un VPC dans la documentation Amazon VPC.

Étape 2 : Ajouter des sous-réseaux au VPC

Une fois que vous avez créé un VPC, vous devez créer des sous-réseaux dans au moins deux zones de disponibilité. Vous utilisez ces sous-réseaux lorsque vous créerez un groupe de sous-réseaux de base de données. Si vous avez un VPC par défaut, un sous-réseau est automatiquement créé pour vous dans chaque zone de disponibilité de la région AWS.

Pour des instructions sur la façon de créer des sous-réseaux dans un VPC, consultez Créer un VPC avec des sous-réseaux publics et privés.

Étape 3 : Créer un groupe de sous-réseaux DB

Un groupe de sous-réseaux DB est une collection de sous-réseaux (généralement privés) que vous créez pour un VPC et que vous spécifiez alors pour vos instances de base de données. Un groupe de sous-réseaux DB vous permet de spécifier un VPC particulier lors de la création d'instances de base de données à l'aide de l'interface de ligne de commande ou de l'API. Si vous utilisez la console, vous pouvez simplement choisir le VPC et les sous-réseaux que vous voulez utiliser. Chaque groupe de sous-réseaux DB doit avoir au moins un sous-réseau dans au moins deux zones de disponibilité de la région AWS.

Note

Pour qu'une instance de base de données soit publiquement accessible, les sous-réseaux du groupe de sous-réseaux DB doivent avoir une passerelle Internet. Pour plus d'informations sur les passerelles Internet pour les sous-réseaux, consultez Passerelles Internet dans la documentation Amazon VPC.

Vous devez choisir un groupe de sous-réseaux de base de données lorsque vous créez une instance de base de données dans un VPC. Amazon RDS utilise ensuite ce groupe de sous-réseaux de base de données, ainsi que votre zone de disponibilité privilégiée, pour choisir un sous-réseau et une adresse IP au sein de ce sous-réseau. Amazon RDS crée et associe une interface réseau Elastic à votre instance de base de données avec cette adresse IP. Pour les déploiements multi-AZ, la définition d'un sous-réseau pour deux zones de disponibilité ou plus d'une région permet à Amazon RDS de créer une copie de secours dans une autre zone de disponibilité, le cas échéant. Vous devez procéder de la sorte même pour les déploiements Single-AZ, au cas où vous souhaitiez les convertir en déploiements multi-AZ par la suite.

Dans cette étape, vous créez un groupe de sous-réseaux DB et ajoutez les sous-réseaux que vous avez créés pour votre VPC.

Console

Pour créer un groupe de sous-réseaux

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le volet de navigation, choisissez Subnet groups (Groupes de sous-réseaux).

  3. Choisissez Create DB Subnet Group (Créer groupe de sous-réseaux de base de données).

  4. Dans Nom, saisissez le nom de votre nouveau groupe de sous-réseaux de base de données.

  5. Dans le champ Description, saisissez une description de votre groupe de sous-réseaux de base de données.

  6. Pour VPC, choisissez le VPC que vous avez créé.

  7. Dans la section Add subnets (Ajouter des sous-réseaux), choisissez Add all the subnets related to this VPC (Ajouter tous les sous-réseaux associés à ce VPC).

    
							Bouton Créer groupe de sous-réseaux de base de données
  8. Sélectionnez Create (Créer).

    Votre nouveau groupe de sous-réseaux DB apparaît dans la liste des groupes de sous-réseaux sur la console RDS. Vous pouvez choisir le groupe de sous-réseaux DB pour afficher les détails, y compris l'ensemble des sous-réseaux associés au groupe, dans le volet des détails en bas de la fenêtre.

Étape 4 : Créer un groupe de sécurité VPC

Avant de créer votre instance de base de données, vous devez créer un groupe de sécurité VPC à associer à votre instance de base de données. Pour des instructions sur la création d'un groupe de sécurité pour votre instance de base de données, consultez Créer un groupe de sécurité VPC pour une instance de base de données privée ou Groupes de sécurité pour votre VPC dans la documentation Amazon VPC.

Étape 5 : Créer une instance de base de données dans le VPC

Dans cette étape, vous créez une instance de base de données et utilisez le nom du VPC, le groupe de sous-réseaux DB et le groupe de sécurité VPC que vous avez créés dans les étapes précédentes.

Note

Si vous voulez que votre instance de base de données du VPC soit publiquement accessible, vous devez activer les noms d'hôte DNS des attributs du VPC, ainsi que la résolution DNS. Pour plus d'informations sur la mise à jour des informations DNS pour une instance VPC, consultez Mise à jour de la prise en charge DNS pour votre VPC.

Pour plus d'informations sur la création d'une instance de base de données pour votre moteur de base de données, consultez la rubrique suivante qui traite de votre moteur de base de données. Pour chaque moteur, lorsque vous y êtes invité dans la section Network & Security (Réseau et sécurité), entrez le nom du VPC, le groupe de sous-réseaux DB et le groupe de sécurité VPC que vous avez créés dans les étapes précédente.