Utilisation d'un(e) cluster de base de données dans un VPC Utilisation de groupes de sous-réseaux DB Sous-réseaux partagés Adressage IP Masquer un(e) cluster de base de données dans un VPC depuis Internet Création d'un(e) cluster de base de données dans un VPC

Utilisation d'un(e) cluster de base de données dans un VPC

Votre cluster de base de données se trouve dans un cloud privé virtuel (VPC). Un VPC est un réseau virtuel isolé logiquement des autres réseaux virtuels du cloud. AWS Amazon VPC vous permet de lancer des AWS ressources, telles qu'un cluster d'instances de base de données Amazon Aurora ou une Amazon, dans un VPC. Le VPC peut être un VPC par défaut fourni avec votre compte ou un VPC que vous créez. Ils VPCs sont tous associés à votre AWS compte.

Votre VPC par défaut a trois sous-réseaux que vous pouvez utiliser pour isoler les ressources à l'intérieur du VPC. Le VPC par défaut possède aussi une passerelle Internet qui peut être utilisée pour fournir l'accès aux ressources à l'intérieur du VPC depuis l'extérieur du VPC.

Pour obtenir une liste des scénarios impliquant des clusters de base de données Amazon Aurora dans un VPC et , consultez Scénarios d'accès à un cluster d' de base de données dans un VPC.

Rubriques

Utilisation d'un(e) cluster de base de données dans un VPC
Utilisation de groupes de sous-réseaux DB
Sous-réseaux partagés
Adressage IP Amazon Aurora
Masquer un(e) cluster de base de données dans un VPC depuis Internet
Création d'un(e) cluster de base de données dans un VPC

Dans les tutoriels suivants, vous apprendrez à créer un VPC que vous pouvez utiliser pour un scénario commun Amazon Aurora :

Utilisation d'un(e) cluster de base de données dans un VPC

Voici quelques conseils d'utilisation d'un(e) cluster de base de données dans un VPC :

Votre VPC doit avoir au moins deux sous-réseaux. Ces sous-réseaux doivent se trouver dans deux zones de disponibilité différentes dans l' Région AWS endroit où vous souhaitez déployer votre cluster d' de base de données. Un sous-réseau est un segment de la plage d'adresses IP d'un VPC que vous pouvez spécifier et que vous pouvez utiliser pour regrouper des clusters de base de données en fonction de vos besoins en matière de sécurité et de fonctionnement.
Si vous voulez que votre cluster de base de données dans le VPC soit publiquement accessible, assurez-vous d'activer les attributs VPC DNS hostnames (Noms d'hôtes DNS) et DNS resolution (Résolution DNS).
Votre VPC doit disposer d'un groupe de sous-réseau de base de données que vous créez. Vous créez un groupe de sous-réseaux de base de données en spécifiant les sous-réseaux que vous avez créés. Amazon Aurora choisit un sous-réseau et une adresse IP dans ce sous-réseau pour les associer avec l'instance de base de données principale dans votre cluster de base de données. L'instance de base de données principale utilise la zone de disponibilité contenant le sous-réseau.
Votre VPC doit avoir un groupe de sécurité VPC qui autorise l'accès au cluster de base de données.

Pour de plus amples informations, veuillez consulter Scénarios d'accès à un cluster d' de base de données dans un VPC.
Les blocs d'adresse CIDR de chacun de vos sous-réseaux doivent être assez grands pour accueillir les adresses IP de rechange utilisées par Amazon Aurora pendant les activités de maintenance, y compris le basculement et le dimensionnement du calcul. Par exemple, une plage telle que 10.0.0.0/24 et 10.0.1.0/24 est généralement suffisante.
Un VPC peut avoir un attribut instance tenancy (location d'instance) ayant la valeur par défaut ou dédiée. Tous les paramètres par défaut VPCs ont l'attribut de location d'instance défini sur défaut, et un VPC par défaut peut prendre en charge n'importe quelle classe d'instance de base de données.

Si vous choisissez de placer votre cluster d' de base de données dans un VPC dédié où l'attribut de location d'instance est défini sur dedicated, la classe d'instance de votre cluster d'instance de base de données doit être l'un des types d' EC2 dédiés Amazon approuvés. Par exemple, l'instance EC2 dédiée r5.large correspond à la classe d'instance de base de données db.r5.large. Pour plus d'informations sur la location d'instance dans un VPC, consultez Instances dédiées dans le Guide de l'utilisateur Amazon Elastic Compute Cloud.

Pour plus d'informations sur les types d'instances qui peuvent figurer dans une instance dédiée, consultez la section Instances EC2 dédiées Amazon sur la page de EC2 tarification Amazon.

Note
Lorsque vous définissez l'attribut de location d'instance sur dédié pour un(e) cluster de base de données, cela ne garantit pas que le cluster de base de données fonctionnera sur un hôte dédié.

Utilisation de groupes de sous-réseaux DB

Les sous-réseaux sont des segments d'une plage d'adresses IP d'un VPC que vous définissez pour regrouper vos ressources en fonction de vos besoins de sécurité et de fonctionnement. Un groupe de sous-réseaux de base de données est une collection de sous-réseaux (généralement privés) que vous créez dans un VPC et que vous spécifiez alors pour vos clusters de base de données. En utilisant un groupe de sous-réseaux de base de données, vous pouvez spécifier un VPC particulier lors de la création de clusters d' de base de données à l'aide de l'API ou AWS CLI RDS. Si vous utilisez la console, vous pouvez choisir le VPC et les groupes de sous-réseaux que vous voulez utiliser.

Chaque groupe de sous-réseaux DB doit avoir des sous-réseaux dans au moins deux zones de disponibilité d'une Région AWS donnée. Lorsque vous créez un(e) cluster de base de données dans un VPC, vous choisissez un groupe de sous-réseau de base de données pour celui-ci. Dans le groupe de sous-réseaux de base de données, Amazon Aurora choisit un sous-réseau et une adresse IP dans ce sous-réseau pour les employer avec l'instance de base de données principale dans votre cluster de base de données. La base de données utilise la zone de disponibilité contenant le sous-réseau. Aurora attribue toujours une adresse IP à partir d'un sous-réseau disposant d'un espace d'adressage IP libre.

Les sous-réseaux d'un groupe de sous-réseaux de base de données sont publics ou privés. Les sous-réseaux sont publics ou privés, selon la configuration que vous définissez pour leurs listes de contrôle d'accès réseau (réseau ACLs) et leurs tables de routage. Pour qu'un(e) cluster de base de données soit accessible au public, tous les sous-réseaux de son groupe de sous-réseaux de base de données doivent être publics. Si un sous-réseau associé à un(e) cluster de base de données accessible au public passe de public à privé, cela peut affecter la disponibilité du cluster de base de données.

Pour créer un groupe de sous-réseaux de base de données prenant en charge le mode double pile, assurez-vous qu'un bloc CIDR du protocole Internet version 6 (IPv6) est associé à chaque sous-réseau que vous ajoutez au groupe de sous-réseaux de base de données. Pour plus d'informations, consultez Adressage IP Amazon Aurora la section « Migration vers » IPv6 dans le guide de l'utilisateur Amazon VPC.

Lorsque Amazon Aurora crée un(e) cluster de base de données dans un VPC, il attribue une interface réseau à votre cluster de base de données en utilisant une adresse IP de votre groupe de sous-réseau de base de données. Toutefois, nous vous recommandons vivement d'utiliser le nom du système de nom de domaine (DNS) pour vous connecter à votre cluster de base de données. Nous le recommandons car l'adresse IP sous-jacente change pendant le basculement.

Note

Pour chaque cluster de base de données que vous exécutez dans un VPC, assurez-vous de réserver au moins une adresse dans chaque sous-réseau du groupe de sous-réseaux de base de données qui sera utilisée par Amazon Aurora pour les actions de récupération.

Sous-réseaux partagés

Vous pouvez créer une instance de base de données dans un VPC partagé.

Voici quelques points à prendre en compte lors de l'utilisation du partage VPCs :

Vous pouvez déplacer un cluster de bases de données d'un sous-réseau VPC partagé vers un sous-réseau VPC non partagé et vice-versa.
Les participants à un VPC partagé doivent créer un groupe de sécurité dans le VPC pour pouvoir créer un cluster de bases de données.
Les propriétaires et les participants d'un VPC partagé peuvent accéder à la base de données à l'aide de requêtes SQL. Toutefois, seul le créateur d'une ressource peut effectuer des appels d'API sur cette ressource.

Adressage IP Amazon Aurora

Les adresses IP permettent aux ressources de votre VPC de communiquer entre elles et avec les ressources sur Internet. Amazon Aurora prend en charge les deux protocoles ainsi que les protocoles IPv4 d' IPv6 adressage. Par défaut, , Amazon Aurora et Amazon VPC utilisent IPv4 le protocole d'adressage. Vous ne pouvez pas désactiver ce comportement. Lorsque vous créez un VPC, assurez-vous de spécifier un bloc IPv4 CIDR (une plage d'adresses privées IPv4 ). Vous pouvez éventuellement attribuer un bloc IPv6 CIDR à votre VPC et à vos sous-réseaux, et IPv6 attribuer les adresses de ce bloc aux clusters d' de base de données de votre sous-réseau.

Support du IPv6 protocole augmente le nombre d'adresses IP prises en charge. En utilisant le IPv6 protocole, vous vous assurez de disposer de suffisamment d'adresses disponibles pour la future croissance d'Internet. Les ressources et IPv6 adresses RDS nouvelles et existantes peuvent être utilisées IPv4 au sein de votre VPC. La configuration, la sécurisation et la traduction du trafic réseau entre les deux protocoles utilisés dans les différentes parties d'une application peuvent entraîner une surcharge opérationnelle. Vous pouvez standardiser le IPv6 protocole des ressources Amazon RDS afin de simplifier la configuration de votre réseau.

IPv4 adresses

Lorsque vous créez un VPC, vous devez spécifier une plage d' IPv4 adresses pour le VPC sous la forme d'un bloc CIDR, tel que. 10.0.0.0/16 Un groupe de sous-réseau de base de données définit la plage d'adresses IP de ce bloc CIDR qu'un(e) cluster de base de données peut utiliser. Ces adresses IP peuvent être privées ou publiques.

Une IPv4 adresse privée est une adresse IP qui n'est pas accessible via Internet. Vous pouvez utiliser IPv4 des adresses privées pour la communication entre votre cluster d' de base de données et d'autres ressources, telles que EC2 les instances Amazon, dans le même VPC. Chaque cluster de base de données dispose d'une adresse IP privée pour la communication dans le VPC.

Une adresse IP publique est une IPv4 adresse accessible depuis Internet. Vous pouvez utiliser des adresses publiques pour la communication entre votre cluster de base de données et des ressources sur Internet, comme un client SQL. Vous contrôlez si votre cluster de base de données reçoit une adresse IP publique.

Pour un didacticiel expliquant comment créer un VPC avec uniquement des IPv4 adresses privées que vous pouvez utiliser pour un scénario Amazon , consultez. Tutoriel : créer un VPC à utiliser avec un(e) cluster de base de données (IPv4 uniquement)

IPv6 adresses

Vous pouvez éventuellement associer un bloc IPv6 CIDR à votre VPC et à vos sous-réseaux, et IPv6 attribuer des adresses de ce bloc aux ressources de votre VPC. Chaque IPv6 adresse est unique au monde.

Le bloc IPv6 CIDR pour votre VPC est automatiquement attribué à partir du pool IPv6 d'adresses d'Amazon. Vous ne pouvez pas choisir la plage vous-même.

Lorsque vous vous connectez à une IPv6 adresse, assurez-vous que les conditions suivantes sont remplies :

Le client est configuré de telle sorte que le trafic entre le client et la base de données IPv6 soit autorisé.
Les groupes de sécurité RDS utilisés par l'instance de base de données sont correctement configurés afin que le trafic client-base de données IPv6 soit autorisé.
La pile du système d'exploitation client autorise le trafic sur l' IPv6 adresse, et les pilotes et bibliothèques du système d'exploitation sont configurés pour choisir le point de terminaison d'instance de base de données par défaut correct ( IPv4 ou non IPv6).

Pour plus d'informations IPv6, consultez la section Adressage IP dans le guide de l'utilisateur Amazon VPC.

Mode double pile

Lorsqu'un cluster d' de base de données peut communiquer à la fois via les protocoles IPv4 et d'IPv6 adressage, il s'exécute en mode double pile. Ainsi, les ressources peuvent communiquer avec le cluster d' de base de IPv4 données IPv6 via ou les deux. RDS désactive l'accès à Internet Gateway pour les IPv6 points de terminaison des instances de base de données privées en mode double pile. RDS fait cela pour garantir que vos IPv6 points de terminaison sont privés et ne sont accessibles que depuis votre VPC.

Rubriques

Mode double pile et groupes de sous-réseaux de base de données
Utilisation d'instances de base de données en mode double pile
Modification de IPv4 clusters d' de base de données réservés uniquement pour utiliser le mode double pile
Disponibilité de clusters de base de données en réseau à double pile
Limitations pour les clusters de base de données en réseau à double pile

Pour un didacticiel expliquant comment créer un VPC à la fois avec IPv4 des IPv6 adresses que vous pouvez utiliser pour un scénario Amazon , consultez. Tutoriel : Créer un VPC à utiliser avec un cluster de base de données (mode double-pile)

Mode double pile et groupes de sous-réseaux de base de données

Pour utiliser le mode double pile, assurez-vous qu'un bloc IPv6 CIDR est associé à chaque sous-réseau du groupe de sous-réseaux de base de données que vous associez au cluster d' de base de données. Vous pouvez créer un nouveau groupe de sous-réseau de base de données ou modifier un groupe de sous-réseau de base de données existant pour répondre à cette exigence. Une fois qu'un cluster de base de données est en mode double pile, les clients peuvent s'y connecter normalement. Assurez-vous que les pare-feux de sécurité du client et les groupes de sécurité des instances de base de données RDS sont correctement configurés pour autoriser le transfert du trafic. IPv6 Pour se connecter, les clients utilisent le point de terminaison de l'instance principale du cluster de bases de données. Les applications client peuvent spécifier quel protocole est préféré lors de la connexion à une base de données. En mode double pile, le cluster d' de base de données détecte le protocole réseau préféré du client, soit IPv6, IPv4 soit, et utilise ce protocole pour la connexion.

Si un groupe de sous-réseaux de base de données cesse de prendre en charge le mode double pile en raison de la suppression d'un sous-réseau ou d'une dissociation CIDR, il existe un risque d'incompatibilité de l'état du réseau pour les instances de base de données associées au groupe de sous-réseaux de base de données. De même, vous ne pouvez pas utiliser le groupe de sous-réseau de base de données lorsque vous créez un cluster de base de données en mode double pile.

Pour déterminer si un groupe de sous-réseaux de base de données prend en charge le mode double pile à l'aide du AWS Management Console, consultez le type de réseau sur la page de détails du groupe de sous-réseaux de base de données. Pour déterminer si un groupe de sous-réseaux de base de données prend en charge le mode double pile à l'aide de AWS CLI, exécutez la describe-db-subnet-groupscommande et visualisez SupportedNetworkTypes la sortie.

Les réplicas en lecture sont traités comme des instances de base de données indépendantes et peuvent avoir un type de réseau différent de celui de l'instance de base de données principale. Si vous modifiez le type de réseau de l'instance de base de données principale d'un réplica en lecture, le réplica en lecture n'est pas affecté. Lorsque vous restaurez une instance de base de données, vous pouvez la restaurer sur tout type de réseau pris en charge.

Utilisation d'instances de base de données en mode double pile

Lorsque vous créez ou modifiez un cluster d' de base de données, vous pouvez spécifier le mode double pile pour permettre à vos ressources de communiquer avec votre cluster d' de base de données IPv4 via ou IPv6 les deux.

Lorsque vous utilisez le AWS Management Console pour créer ou modifier une instance de base de données, vous pouvez spécifier le mode double pile dans la section Type de réseau. L'image suivante présente la section Network type (Type de réseau) dans la console.

Section sur le type de réseau dans la console avec le mode Dual-Stack sélectionné.

Lorsque vous utilisez le AWS CLI pour créer ou modifier un cluster d' de base de données, définissez l'--network-typeoption DUAL pour utiliser le mode double pile. Lorsque vous utilisez l'API RDS pour créer ou modifier un cluster de base de données, définissez le paramètre NetworkType sur DUAL pour utiliser le mode double pile. Lorsque vous modifiez le type de réseau d'une instance de base de données, un temps d'arrêt est possible. Si le mode double pile n'est pas pris en charge par la version du moteur de base de données ou le groupe de sous-réseau de base de données spécifié, l'erreur NetworkTypeNotSupported est renvoyée.

Pour plus d'informations sur la création d'un cluster de base de données, consultez Création d'un cluster de base de données Amazon Aurora. Pour de plus amples informations sur la modification d'un cluster, veuillez consulte Modification d'un cluster de bases de données Amazon Aurora.

Pour déterminer si un(e) cluster de base de données est en mode double pile en utilisant la console, affichez Network type (Type de réseau) dans l'onglet Connectivity & security (Connectivité et sécurité) pour le cluster de la base de données.

Modification de IPv4 clusters d' de base de données réservés uniquement pour utiliser le mode double pile

Vous pouvez modifier un cluster d' de base de données réservé IPv4 uniquement pour utiliser le mode double pile. Pour ce faire, modifiez le type de réseau du cluster de base de données. La modification peut entraîner un temps d'arrêt.

Nous vous recommandons de modifier le type de réseau de vos clusters de bases de données Amazon Aurora au cours d'une fenêtre de maintenance. Pour l'heure, il n'est pas possible de définir le type de réseau des nouvelles instances sur le mode double pile. Vous pouvez définir le type de réseau manuellement à l'aide de la commande modify-db-cluster.

Avant de modifier un(e) cluster de base de données pour utiliser le mode double pile, assurez-vous que son groupe de sous-réseau de base de données prend en charge le mode double pile. Si le groupe de sous-réseau de base de données associé au cluster de base de données ne prend pas en charge le mode double pile, spécifiez un autre groupe de sous-réseau de base de données qui le prend en charge lorsque vous modifiez le cluster de base de données. La modification du groupe de sous-réseaux de base de données d' un cluster de bases de données peut entraîner une interruption de service.

Si vous modifiez le groupe de sous-réseau de base de données d' un cluster de bases de données avant de modifier le cluster de bases de données pour utiliser le mode double pile, assurez-vous que le groupe de sous-réseau de base de données est valide pour le cluster de bases de données avant et après la modification.

Nous vous recommandons d'exécuter l'modify-db-clusterAPI uniquement avec le --network-type paramètre ayant une valeur DUAL pour faire passer le réseau d'un cluster Amazon Aurora en mode double pile. L'ajout d'autres paramètres en même temps que le paramètre --network-type dans le même appel d'API peut entraîner des temps d'arrêt.

Si vous ne parvenez pas à vous connecter au cluster d' de base de données après la modification, assurez-vous que les pare-feux de sécurité et les tables de routage du client et de la base de données sont correctement configurés pour autoriser le trafic vers la base de données sur le réseau sélectionné ( IPv4 ou non IPv6). Vous devrez peut-être également modifier les paramètres du système d'exploitation, les bibliothèques ou les pilotes pour vous connecter à l'aide d'une IPv6 adresse.

Pour modifier un cluster d' de base de données réservé IPv4 uniquement afin d'utiliser le mode double pile

Modifiez un groupe de sous-réseaux de base de données pour prendre en charge le mode double pile ou créez un groupe de sous-réseaux de base de données qui prend en charge le mode double pile :
1. Associez un bloc IPv6 CIDR à votre VPC.
  
  Pour obtenir des instructions, consultez la section Ajouter un bloc IPv6 CIDR à votre VPC dans le guide de l'utilisateur Amazon VPC.
2. Attachez le bloc IPv6 CIDR à tous les sous-réseaux de votre groupe de sous-réseaux de base de données.
  
  Pour obtenir des instructions, consultez la section Ajouter un bloc IPv6 CIDR à votre sous-réseau dans le guide de l'utilisateur Amazon VPC.
3. Confirmez que le groupe de sous-réseaux de base de données prend en charge le mode double pile.
  
  Si vous utilisez le AWS Management Console, sélectionnez le groupe de sous-réseaux de base de données et assurez-vous que la valeur des types de réseau pris en charge est Dual, IPv4.
  
  Si vous utilisez le AWS CLI, exécutez la describe-db-subnet-groupscommande et assurez-vous que la SupportedNetworkType valeur de l'instance de base de données estDual, IPv4.
Modifiez le groupe de sécurité associé au cluster d' de base de données pour autoriser IPv6 les connexions à la base de données, ou créez un nouveau groupe de sécurité qui autorise IPv6 les connexions.

Pour obtenir des instructions, consultez la section Security group rules (Règles des groupes de sécurité) dans le Guide de l'utilisateur Amazon VPC.
Modifiez le cluster de la base de données pour qu'il prenne en charge le mode double pile. Pour ce faire, réglez le Network type (Type de réseau) sur Dual-stack mode (Mode double pile).

Si vous utilisez la console, assurez-vous que les paramètres suivants sont corrects :
- Network type (Type de réseau) – Dual-stack mode (Mode double pile)
- DB subnet group (Groupe de sous-réseau de base de données) : le groupe de sous-réseau de base de données que vous avez configuré à l'étape précédente.
- Security group (Groupe de sécurité) – la sécurité que vous avez configurée dans une étape précédente.
Si vous utilisez le AWS CLI, assurez-vous que les paramètres suivants sont corrects :
- --network-type – dual
- --db-subnet-group-name — le groupe de sous-réseau de base de données que vous avez configuré à l'étape précédente.
- --vpc-security-group-ids : le groupe de sécurité du VPC que vous avez configuré à l'étape précédente.
Par exemple :
```
aws rds modify-db-cluster --db-cluster-identifier my-cluster --network-type "DUAL"
```
Confirmez que le cluster de base de données prend en charge le mode double pile.

Si vous utilisez la console, choisissez l'onglet (Connectivité et sécurité)Configuration pour le cluster de la base de données. Dans cet onglet, assurez-vous que la valeur de Network type (Type de réseau) est Dual-stack mode (Mode double pile).

Si vous utilisez le AWS CLI, exécutez la describe-db-clusterscommande et assurez-vous que la NetworkType valeur du cluster de base de données estdual.

Exécutez la dig commande sur le point de terminaison de l'instance de base de données du rédacteur pour identifier l' IPv6adresse qui lui est associée.
```
dig db-instance-endpoint AAAA
```
Utilisez le point de terminaison de l'instance de base de données du rédacteur, et non l' IPv6 adresse, pour vous connecter au cluster d' de base de données.

Disponibilité de clusters de base de données en réseau à double pile

Les clusters de base de données réseau à double pile sont disponibles dans tous les domaines Régions AWS , à l'exception des suivants :

Asie-Pacifique (Hyderabad)
Asie-Pacifique (Malaisie)
Asie-Pacifique (Melbourne)
Canada-Ouest (Calgary)
Europe (Espagne)
Europe (Zurich)
Israël (Tel Aviv)
Moyen-Orient (EAU)

Les versions de moteur de base de données suivantes prennent en charge les clusters de base de données réseau à double pile :

Aurora MySQL versions :
- Versions 3.02 et 3 ultérieures
- Versions 2.09.1 et 2 ultérieures
Pour obtenir plus d'informations sur les versions de Aurora MySQL, consultez les Notes de mise à jour de Aurora MySQL.
Versions d'Aurora PostgreSQL :
- 15.2 et toutes les versions supérieures
- Versions 14.3 et 14 ultérieures
- Versions 13.7 et 13 ultérieures
Pour obtenir plus d'informations sur les versions d'Aurora PostgreSQL, consultez les Notes de mise à jour d'Aurora PostgreSQL.

Limitations pour les clusters de base de données en réseau à double pile

Les limitations suivantes s'appliquent aux clusters de base de données en réseau à double pile :

de base de données ne peuvent pas utiliser le IPv6 protocole exclusivement. Ils peuvent utiliser IPv4 exclusivement, ou ils peuvent utiliser le IPv6 protocole IPv4 and (mode double pile).
Amazon RDS ne prend pas en charge les IPv6 sous-réseaux natifs.
Les clusters de bases de données qui utilisent le mode double pile doivent être privé(e)s. Ils/elles ne peuvent pas être publiquement accessibles.
Le mode double pile ne prend pas en charge les classes d'instance de base de données db.r3.
Vous ne pouvez pas utiliser RDS Proxy avec des clusters de base de données en mode double pile.

Masquer un(e) cluster de base de données dans un VPC depuis Internet

Par exemple, vous pouvez créer un VPC doté d'un sous-réseau public et d'un sous-réseau privé. EC2 les instances qui fonctionnent comme des serveurs Web peuvent être déployées dans le sous-réseau public. Les clusters de base de données sont déployés dans le sous-réseau privé. Dans un tel déploiement, seuls les serveurs web ont accès aux clusters de base de données. Pour obtenir une illustration de ce scénario, consultez Un cluster d' de base de données dans une EC2 instance VPC accessible par Amazon dans le même VPC.

Lorsque vous lancez un(e) cluster de base de données dans un VPC, le cluster de base de données possède une adresse IP privée pour le trafic à l'intérieur du VPC. Cette adresse IP privée n'est pas accessible au public. Vous pouvez utiliser l'option Public access (Accès public) pour indiquer si le cluster de base de données possède également une adresse IP publique en plus de l'adresse IP privée. Si le cluster de la base de données est désigné comme publiquement accessible, son point de terminaison DNS se résout à l'adresse IP privée à partir du VPC. Il renvoit à l'adresse IP publique depuis l'extérieur du VPC. L'accès au cluster de la base de données est contrôlé en dernier ressort par le groupe de sécurité qu'il utilise. Cet accès public n'est pas autorisé si le groupe de sécurité attribué au cluster de la base de données ne comprend pas de règles d'entrée qui l'autorisent. En outre, pour qu'un(e) cluster de base de données soit publiquement accessible, les sous-réseaux de son groupe de sous-réseaux de base de données doivent avoir une passerelle Internet. Pour plus d'informations, consultez Impossible de se connecter à l'instance de base de données Amazon RDS.

Vous pouvez modifier un(e) cluster de base de données pour activer ou désactiver l'accessibilité publique en modifiant l'option Public access (Accès public). L'illustration suivante présente l'option Public Access (Accès public) dans la section Additional connectivity configuration (Configuration de connectivité supplémentaire). Pour définir cette option, ouvrez la section Additional connectivity configuration (Configuration de connectivité supplémentaire) dans la section Connectivity (Connectivité).

Définissez l'option Accès public à votre base de données dans la section Configuration de la connectivité supplémentaire sur Non.

Pour plus d'informations sur la modification d'une instance de base de données afin de définir l'option Public access (Accès public), veuillez consulter Modification d'une instance de base de données dans un cluster de bases de données.

Création d'un(e) cluster de base de données dans un VPC

Les procédure suivantes vous aident à créer un(e) cluster de base de données dans un VPC. Pour utiliser le VPC par défaut, vous pouvez commencer par l'étape 2, et utiliser le groupe VPC et sous-réseau de base de données qui ont déjà été créés pour vous. Si vous souhaitez créer un VPC supplémentaire, vous pouvez créer un nouveau VPC.

Note

Si vous voulez que votre cluster de base de données du VPC soit publiquement accessible, vous devez mettre à jour les informations DNS pour le VPC en activant les attributs VPC DNS hostnames (noms d'hôtes DNS) et DNS resolution (Résolution DNS). Pour plus d'informations sur la mise à jour des informations DNS pour une instance VPC, consultez Mise à jour de la prise en charge DNS pour votre VPC.

Suivez les étapes ci-après pour créer une instance de base de données dans un VPC:

Étape 1 : Création d'un VPC
Étape 2 : créer un groupe de sous-réseaux de base de données
Étape 3 : créer un groupe de sécurité VPC
Étape 4 : créer une instance de base de données dans le VPC

Étape 1 : Création d'un VPC

Créez un VPC avec des sous-réseaux dans au moins deux zones de disponibilité. Vous utilisez ces sous-réseaux lorsque vous créerez un groupe de sous-réseaux de base de données. Si vous avez un VPC par défaut, un sous-réseau est automatiquement créé pour vous dans chaque zone de disponibilité de la Région AWS.

Pour obtenir plus d'informations, consultez Créer un VPC avec des sous-réseaux publics et privés, ou Create a VPC (Créer un VPC) dans le Guide de l'utilisateur Amazon VPC.

Étape 2 : créer un groupe de sous-réseaux de base de données

Un groupe de sous-réseaux DB est une collection de sous-réseaux (généralement privés) que vous créez pour un VPC et que vous spécifiez alors pour vos clusters de base de données. Un groupe de sous-réseaux de base de données vous permet de spécifier un VPC particulier lorsque vous créez des clusters d' de base de données à l'aide de l'API ou AWS CLI RDS. Si vous utilisez la console, vous pouvez simplement choisir le VPC et les sous-réseaux que vous voulez utiliser. Chaque groupe de sous-réseaux DB doit avoir au moins un sous-réseau dans au moins deux zones de disponibilité de la Région AWS. La bonne pratique est la suivante : chaque groupe de sous-réseaux de base de données doit être constitué d'au moins un sous-réseau pour chaque zone de disponibilité dans la Région AWS.

Pour qu'un(e) cluster de base de données soit publiquement accessible, les sous-réseaux du groupe de sous-réseaux de base de données doivent avoir une passerelle Internet. Pour obtenir plus d'informations sur les passerelles Internet pour les sous-réseaux, consultez la section Connect to the internet using an internet gateway (Se connecter à Internet à l'aide d'une passerelle Internet) dans le Guide de l'utilisateur Amazon VPC.

Lorsque vous créez un(e) cluster de base de données dans un VPC, vous pouvez choisir un groupe de sous-réseau de base de données. Amazon Aurora choisit dans ce sous-réseau un sous-réseau et une adresse IP à associer à votre cluster de base de données. Si aucun groupe de sous-réseau de base de données n'existe, Amazon Aurora crée un groupe de sous-réseau par défaut lorsque vous créez un(e) cluster de base de données. Amazon Aurora crée une interface réseau Elastic pour votre cluster de base de données, et l'associe à cette adresse IP. Le cluster de base de données utilise la zone de disponibilité contenant le sous-réseau.

Dans cette étape, vous créez un groupe de sous-réseaux de base de données et ajoutez les sous-réseaux que vous avez créés pour votre VPC.

Pour créer un groupe de sous-réseaux

Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.
Dans le panneau de navigation, choisissez Subnet groups (Groupes de sous-réseaux).
Choisissez Create DB Subnet Group (Créer groupe de sous-réseaux de base de données).
Dans Nom, saisissez le nom de votre nouveau groupe de sous-réseaux de base de données.
Dans le champ Description, saisissez une description de votre groupe de sous-réseaux de base de données.
Pour le champ VPC, choisissez le VPC par défaut ou le VPC que vous avez créé.
Dans la section Ajouter des sous-réseaux, choisissez les zones de disponibilité qui incluent les sous-réseaux à partir de Zones de disponibilité, puis choisissez les sous-réseaux à partir de Sous-réseaux.
Sélectionnez Créer.

Votre nouveau groupe de sous-réseaux DB apparaît dans la liste des groupes de sous-réseaux sur la console RDS. Vous pouvez choisir le groupe de sous-réseaux DB pour afficher les détails, y compris l'ensemble des sous-réseaux associés au groupe, dans le volet des détails en bas de la fenêtre.

Étape 3 : créer un groupe de sécurité VPC

Avant de créer votre cluster de base de données, vous pouvez créer un groupe de sécurité VPC à associer à votre cluster de base de données. Si vous ne créez pas de groupe de sécurité VPC, vous pouvez utiliser le groupe de sécurité par défaut lorsque vous créez un(e) cluster de base de données. Pour obtenir des instructions sur la création d'un groupe de sécurité pour votre cluster de base de données, consultez Créer un groupe de sécurité VPC pour un cluster de base de données privé(e), ou Control traffic to resources using security groups (Contrôler le trafic vers les ressources à l'aide de groupes de sécurité) dans le Guide de l'utilisateur Amazon VPC.

Étape 4 : créer une instance de base de données dans le VPC

Dans cette étape, vous créez un(e) cluster de base de données et utilisez le nom du VPC, le groupe de sous-réseaux de base de données et le groupe de sécurité VPC que vous avez créés dans les étapes précédentes.

Note

Si vous voulez que votre cluster de base de données du VPC soit publiquement accessible, vous devez activer les attributs du VPC DNS hostnames (Noms d'hôte DNS) et DNS resolution (Résolution DNS). Pour plus d'informations, consultez DNS attributes for your VPC (Attributs DNS pour votre VPC) dans le Guide de l'utilisateur d'Amazon VPC.

Pour plus d'informations sur la création d'un cluster de bases de données, consultez Création d'un cluster de base de données Amazon Aurora.

Lorsque vous y êtes invité dans la section Connectivity (Connectivité), saisissez le nom du VPC, le groupe de sous-réseaux de base de données et le groupe de sécurité VPC.

Note

La mise à jour VPCs n'est actuellement pas prise en charge pour les clusters de base de données Aurora.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation d'Amazon Aurora avec Amazon VPC

Scénarios d'accès à un cluster d' de base de données dans un VPC