Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un(e) cluster de base de données dans un VPC

Votre cluster de base de données se trouve dans un cloud privé virtuel (VPC). Un VPC est un réseau virtuel logiquement isolé des autres réseaux virtuels dans le cloud AWS. Amazon VPC vous permet de lancer des ressources AWS, telles qu'un(e) cluster de base de données Amazon Aurora ou une instance Amazon EC2, dans un VPC. Le VPC peut être un VPC par défaut fourni avec votre compte ou un VPC que vous créez. Tous les VPC sont associés à votre compte AWS.

Votre VPC par défaut a trois sous-réseaux que vous pouvez utiliser pour isoler les ressources à l'intérieur du VPC. Le VPC par défaut possède aussi une passerelle Internet qui peut être utilisée pour fournir l'accès aux ressources à l'intérieur du VPC depuis l'extérieur du VPC.

Pour obtenir une liste des scénarios impliquant des clusters de base de données Amazon Aurora dans un VPC et , consultez Scénarios d'accès à un(e) cluster de base de données d'un VPC.

Dans les tutoriels suivants, vous apprendrez à créer un VPC que vous pouvez utiliser pour un scénario commun Amazon Aurora :

Utilisation d'un(e) cluster de base de données dans un VPC

Voici quelques conseils d'utilisation d'un(e) cluster de base de données dans un VPC :

Utilisation de groupes de sous-réseaux DB

Les sous-réseaux sont des segments d'une plage d'adresses IP d'un VPC que vous définissez pour regrouper vos ressources en fonction de vos besoins de sécurité et de fonctionnement. Un groupe de sous-réseaux de base de données est une collection de sous-réseaux (généralement privés) que vous créez dans un VPC et que vous spécifiez alors pour vos clusters de base de données. En utilisant un groupe de sous-réseau de base de données, vous pouvez spécifier un VPC particulier lors de la création de clusters de base de données à l'aide de AWS CLI ou de l'API RDS. Si vous utilisez la console, vous pouvez choisir le VPC et les groupes de sous-réseaux que vous voulez utiliser.

Chaque groupe de sous-réseaux DB doit avoir des sous-réseaux dans au moins deux zones de disponibilité d'une Région AWS donnée. Lorsque vous créez un(e) cluster de base de données dans un VPC, vous choisissez un groupe de sous-réseau de base de données pour celui-ci. Dans le groupe de sous-réseaux de base de données, Amazon Aurora choisit un sous-réseau et une adresse IP dans ce sous-réseau pour les employer avec l'instance de base de données principale dans votre cluster de base de données. La base de données utilise la zone de disponibilité contenant le sous-réseau.

Les sous-réseaux d'un groupe de sous-réseaux de base de données sont publics ou privés. Les sous-réseaux sont publics ou privés, selon la configuration que vous définissez pour leurs listes de contrôle d'accès réseau (ACL réseau) et leurs tables de routage. Pour qu'un(e) cluster de base de données soit accessible au public, tous les sous-réseaux de son groupe de sous-réseaux de base de données doivent être publics. Si un sous-réseau associé à un(e) cluster de base de données accessible au public passe de public à privé, cela peut affecter la disponibilité du cluster de base de données.

Pour créer un groupe de sous-réseaux de base de données prenant en charge le mode double pile, assurez-vous que chaque sous-réseau que vous ajoutez au groupe de sous-réseaux de base de données est associé à un bloc d'adresse CIDR de protocole Internet version 6 (IPv6). Pour plus d'informations, consultez Adressage IP Amazon Aurora et la section Migrating to IPv6 (Migrer vers IPv6) dans le Guide de l'utilisateur Amazon VPC.

Lorsque Amazon Aurora crée un(e) cluster de base de données dans un VPC, il attribue une interface réseau à votre cluster de base de données en utilisant une adresse IP de votre groupe de sous-réseau de base de données. Toutefois, nous vous recommandons vivement d'utiliser le nom du système de nom de domaine (DNS) pour vous connecter à votre cluster de base de données. Nous le recommandons car l'adresse IP sous-jacente change pendant le basculement.

Sous-réseaux partagés

Vous pouvez créer une instance de base de données dans un VPC partagé.

Quelques considérations à prendre en compte lors de l'utilisation de VPC partagés :

Adressage IP Amazon Aurora

Les adresses IP permettent aux ressources de votre VPC de communiquer entre elles et avec les ressources sur Internet. Amazon Aurora prend en charge les protocoles d'adressage IPv4 et IPv6. Par défaut, Amazon Aurora et le VPC Amazon utilisent le protocole d'adressage IPv4. Vous ne pouvez pas désactiver ce comportement. Lorsque vous créez un VPC, veillez à spécifier un bloc d'adresse CIDR IPv4 (une plage d'adresses IPv4 privées). Vous pouvez éventuellement attribuer un bloc CIDR IPv6 à votre VPC et à vos sous-réseaux, et attribuer les adresses IPv6 de ce bloc aux clusters de votre sous-réseau.

La prise en charge du protocole IPv6 augmente le nombre d'adresses IP prises en charge. En utilisant le protocole IPv6, vous vous assurez d'avoir suffisamment d'adresses disponibles pour la croissance future d'Internet. Les ressources RDS nouvelles et existantes peuvent utiliser des adresses IPv4 et IPv6 dans votre VPC. La configuration, la sécurisation et la traduction du trafic réseau entre les deux protocoles utilisés dans les différentes parties d'une application peuvent entraîner une surcharge opérationnelle. Vous pouvez standardiser le protocole IPv6 pour les ressources Amazon RDS afin de simplifier la configuration de votre réseau.

Adresses IPv4

Lorsque vous créez un VPC, vous devez spécifier une plage d'adresses IPv4 pour le VPC sous la forme d'un bloc CIDR, tel que 10.0.0.0/16. Un groupe de sous-réseau de base de données définit la plage d'adresses IP de ce bloc CIDR qu'un(e) cluster de base de données peut utiliser. Ces adresses IP peuvent être privées ou publiques.

Une adresse IPv4 privée est une adresse IP qui ne peut pas être atteinte via Internet. Vous pouvez utiliser des adresses IPv4 privées pour la communication entre votre cluster de base de données et d'autres ressources, telles que les instances Amazon EC2, dans le même VPC. Chaque cluster de base de données dispose d'une adresse IP privée pour la communication dans le VPC.

Une adresse IP publique est une adresse IPv4, qui est accessible depuis Internet. Vous pouvez utiliser des adresses publiques pour la communication entre votre cluster de base de données et des ressources sur Internet, comme un client SQL. Vous contrôlez si votre cluster de base de données reçoit une adresse IP publique.

Pour un tutoriel qui vous montre comment créer un VPC avec uniquement des adresses IPv4 privées que vous pouvez utiliser pour un scénario commun Amazon Aurora, consultez Tutoriel : créer un VPC à utiliser avec un(e) cluster de base de données (IPv4 uniquement).

Adresses IPv6

Vous pouvez éventuellement associer un bloc d'adresses CIDR IPv6 à votre VPC et vos sous-réseaux, et attribuer des adresses IPv6 à partir de ce bloc aux ressources de votre VPC. Chaque adresse IPv6 est unique au niveau mondial.

Le bloc d'adresse CIDR IPv6 de votre VPC est automatiquement attribué à partir du groupe d'adresses IPv6 d'Amazon. Vous ne pouvez pas choisir la plage vous-même.

Lorsque vous vous connectez à une adresse IPv6, assurez-vous que les conditions suivantes sont remplies :

Pour plus d'informations sur IPv6, consultez la section IP Addressing (Adressage IP) dans le Guide de l'utilisateur Amazon VPC.

Mode double pile

Lorsqu'un cluster de base de données peut communiquer à la fois sur les protocoles d'adressage IPv4 et IPv6, il fonctionne en mode double pile. Ainsi, les ressources peuvent communiquer avec le cluster de base de données par IPv4, IPv6 ou les deux. RDS désactive l'accès à la passerelle Internet pour les points de terminaison IPv6 des instances de base de données privées en mode double pile. RDS fait cela pour s'assurer que vos points de terminaison IPv6 sont privés et sont uniquement accessibles depuis votre VPC.

Pour un tutoriel qui vous montre comment créer un VPC avec des adresses IPv4 et IPv6 que vous pouvez utiliser pour un scénario commun Amazon Aurora, consultez Tutoriel : Créer un VPC à utiliser avec un cluster de base de données (mode double-pile).

Mode double pile et groupes de sous-réseaux de base de données

Pour utiliser le mode double pile, assurez-vous que chaque sous-réseau du groupe de sous-réseaux de base de données que vous associez au cluster de base de données est associé à un bloc d'adresse CIDR IPv6. Vous pouvez créer un nouveau groupe de sous-réseau de base de données ou modifier un groupe de sous-réseau de base de données existant pour répondre à cette exigence. Une fois qu'un cluster de base de données est en mode double pile, les clients peuvent s'y connecter normalement. Assurez-vous que les pare-feu de sécurité des clients et les groupes de sécurité de l'instance de base de données RDS sont correctement configurés pour autoriser le trafic sur IPv6. Pour se connecter, les clients utilisent le point de terminaison de l'instance principale du cluster de bases de données. Les applications client peuvent spécifier quel protocole est préféré lors de la connexion à une base de données. En mode double pile, le cluster de base de données détecte le protocole réseau préféré du client, IPv4 ou IPv6, et utilise ce protocole pour la connexion.

Si un groupe de sous-réseaux de base de données cesse de prendre en charge le mode double pile en raison de la suppression d'un sous-réseau ou d'une dissociation CIDR, il existe un risque d'incompatibilité de l'état du réseau pour les instances de base de données associées au groupe de sous-réseaux de base de données. De même, vous ne pouvez pas utiliser le groupe de sous-réseau de base de données lorsque vous créez un cluster de base de données en mode double pile.

Pour déterminer si un groupe de sous-réseaux de base de données prend en charge le mode double pile à l'aide de la AWS Management Console, affichez la valeur Network type (Type de réseau) sur la page de détails du groupe de sous-réseaux de base de données. Pour déterminer si un groupe de sous-réseaux de base de données prend en charge le mode double pile à l'aide deAWS CLI, exécutez la describe-db-subnet-groupscommande et visualisez SupportedNetworkTypes la sortie.

Les réplicas en lecture sont traités comme des instances de base de données indépendantes et peuvent avoir un type de réseau différent de celui de l'instance de base de données principale. Si vous modifiez le type de réseau de l'instance de base de données principale d'un réplica en lecture, le réplica en lecture n'est pas affecté. Lorsque vous restaurez une instance de base de données, vous pouvez la restaurer sur tout type de réseau pris en charge.

Utilisation d'instances de base de données en mode double pile

Lorsque vous créez ou modifiez un cluster de base de données, vous pouvez spécifier le mode double pile pour permettre à vos ressources de communiquer avec votre cluster de base de données sur IPv4, IPv6 ou les deux.

Lorsque vous utilisez la AWS Management Console pour créer ou modifier une instance de base de données, vous pouvez spécifier le mode double pile dans la section Network type (Type de réseau). L'image suivante présente la section Network type (Type de réseau) dans la console.

Lorsque vous utilisez AWS CLI pour créer ou modifier un cluster de base de données, définissez l'option --network-type sur DUAL pour utiliser le mode double pile. Lorsque vous utilisez l'API RDS pour créer ou modifier un cluster de base de données, définissez le paramètre NetworkType sur DUAL pour utiliser le mode double pile. Lorsque vous modifiez le type de réseau d'une instance de base de données, un temps d'arrêt est possible. Si le mode double pile n'est pas pris en charge par la version du moteur de base de données ou le groupe de sous-réseau de base de données spécifié, l'erreur NetworkTypeNotSupported est renvoyée.

Pour plus d'informations sur la création d'un cluster de base de données, consultez Création d'un cluster de base de données Amazon Aurora. Pour de plus amples informations sur la modification d'un cluster, veuillez consulte Modification d'un cluster de bases de données Amazon Aurora.

Pour déterminer si un(e) cluster de base de données est en mode double pile en utilisant la console, affichez Network type (Type de réseau) dans l'onglet Connectivity & security (Connectivité et sécurité) pour le cluster de la base de données.

Modification des clusters de base de données uniquement en IPv4 pour utiliser le mode double pile

Vous pouvez modifier un(e) cluster de base de données uniquement en IPv4 pour utiliser le mode double pile. Pour ce faire, modifiez le type de réseau du cluster de base de données. La modification peut entraîner un temps d'arrêt.

Nous vous recommandons de modifier le type de réseau de vos clusters de bases de données Amazon Aurora au cours d'une fenêtre de maintenance. Pour l'heure, il n'est pas possible de définir le type de réseau des nouvelles instances sur le mode double pile. Vous pouvez définir le type de réseau manuellement à l'aide de la commande modify-db-cluster.

Avant de modifier un(e) cluster de base de données pour utiliser le mode double pile, assurez-vous que son groupe de sous-réseau de base de données prend en charge le mode double pile. Si le groupe de sous-réseau de base de données associé au cluster de base de données ne prend pas en charge le mode double pile, spécifiez un autre groupe de sous-réseau de base de données qui le prend en charge lorsque vous modifiez le cluster de base de données. La modification du groupe de sous-réseaux de base de données d' un cluster de bases de données peut entraîner une interruption de service.

Si vous modifiez le groupe de sous-réseau de base de données d' un cluster de bases de données avant de modifier le cluster de bases de données pour utiliser le mode double pile, assurez-vous que le groupe de sous-réseau de base de données est valide pour le cluster de bases de données avant et après la modification.

Nous vous recommandons d'exécuter l'modify-db-clusterAPI uniquement avec le --network-type paramètre ayant une valeur DUAL pour faire passer le réseau d'un cluster Amazon Aurora en mode double pile. L'ajout d'autres paramètres en même temps que le paramètre --network-type dans le même appel d'API peut entraîner des temps d'arrêt.

Si vous ne pouvez pas vous connecter au cluster de base de données après la modification, vérifiez que les pare-feu de sécurité du client et de la base de données et les tables de routage sont configurés avec précision pour autoriser le trafic à destination de la base de données sur le réseau sélectionné (soit IPv4, soit IPv6). Vous devrez peut-être également modifier les paramètres, les bibliothèques ou les pilotes du système d'exploitation pour vous connecter en utilisant une adresse IPv6.

Disponibilité de clusters de base de données en réseau à double pile

Les versions de moteur de base de données suivantes prennent en charge les clusters de bases de données réseau à double pile, sauf dans les régions Asie-Pacifique (Hyderabad), Asie-Pacifique (Melbourne), Canada Ouest (Calgary), Europe (Espagne), Europe (Zurich), Israël (Tel Aviv) et Moyen-Orient (Émirats arabes unis) :

Limitations pour les clusters de base de données en réseau à double pile

Les limitations suivantes s'appliquent aux clusters de base de données en réseau à double pile :

Masquer un(e) cluster de base de données dans un VPC depuis Internet

Un scénario Amazon Aurora courant consiste à avoir un VPC dans lequel vous avez une instance EC2 avec une application web publique et un(e) cluster de base de données avec une base de données qui n'est pas accessible publiquement. Par exemple, vous pouvez créer un VPC contenant un sous-réseau public et un sous-réseau privé. Les instances Amazon EC2 qui fonctionnent comme serveurs web peuvent être déployés dans le sous-réseau public. Les clusters de base de données sont déployés dans le sous-réseau privé. Dans un tel déploiement, seuls les serveurs web ont accès aux clusters de base de données. Pour obtenir une illustration de ce scénario, consultez Un(e) cluster de base de données dans un VPC auquel accède une instance EC2 dans le même VPC..

Lorsque vous lancez un(e) cluster de base de données dans un VPC, le cluster de base de données possède une adresse IP privée pour le trafic à l'intérieur du VPC. Cette adresse IP privée n'est pas accessible au public. Vous pouvez utiliser l'option Public access (Accès public) pour indiquer si le cluster de base de données possède également une adresse IP publique en plus de l'adresse IP privée. Si le cluster de la base de données est désigné comme publiquement accessible, son point de terminaison DNS se résout à l'adresse IP privée à partir du VPC. Il renvoit à l'adresse IP publique depuis l'extérieur du VPC. L'accès au cluster de la base de données est contrôlé en dernier ressort par le groupe de sécurité qu'il utilise. Cet accès public n'est pas autorisé si le groupe de sécurité attribué au cluster de la base de données ne comprend pas de règles d'entrée qui l'autorisent. En outre, pour qu'un(e) cluster de base de données soit publiquement accessible, les sous-réseaux de son groupe de sous-réseaux de base de données doivent avoir une passerelle Internet. Pour plus d'informations, consultez Impossible de se connecter à l'instance de base de données Amazon RDS.

Vous pouvez modifier un(e) cluster de base de données pour activer ou désactiver l'accessibilité publique en modifiant l'option Public access (Accès public). L'illustration suivante présente l'option Public Access (Accès public) dans la section Additional connectivity configuration (Configuration de connectivité supplémentaire). Pour définir cette option, ouvrez la section Additional connectivity configuration (Configuration de connectivité supplémentaire) dans la section Connectivity (Connectivité).

Pour plus d'informations sur la modification d'une instance de base de données afin de définir l'option Public access (Accès public), veuillez consulter Modification d'une instance de base de données dans un cluster de bases de données.

Création d'un(e) cluster de base de données dans un VPC

Les procédure suivantes vous aident à créer un(e) cluster de base de données dans un VPC. Pour utiliser le VPC par défaut, vous pouvez commencer par l'étape 2, et utiliser le groupe VPC et sous-réseau de base de données qui ont déjà été créés pour vous. Si vous souhaitez créer un VPC supplémentaire, vous pouvez créer un nouveau VPC.

Suivez les étapes ci-après pour créer une instance de base de données dans un VPC:

Étape 1 : Création d'un VPC

Créez un VPC avec des sous-réseaux dans au moins deux zones de disponibilité. Vous utilisez ces sous-réseaux lorsque vous créerez un groupe de sous-réseaux de base de données. Si vous avez un VPC par défaut, un sous-réseau est automatiquement créé pour vous dans chaque zone de disponibilité de la Région AWS.

Pour obtenir plus d'informations, consultez Créer un VPC avec des sous-réseaux publics et privés, ou Create a VPC (Créer un VPC) dans le Guide de l'utilisateur Amazon VPC.

Étape 2 : créer un groupe de sous-réseaux de base de données

Un groupe de sous-réseaux DB est une collection de sous-réseaux (généralement privés) que vous créez pour un VPC et que vous spécifiez alors pour vos clusters de base de données. Un groupe de sous-réseaux DB vous permet de spécifier un VPC particulier lors de la création de clusters de base de données à l'aide de AWS CLI ou de l'API RDS. Si vous utilisez la console, vous pouvez simplement choisir le VPC et les sous-réseaux que vous voulez utiliser. Chaque groupe de sous-réseaux DB doit avoir au moins un sous-réseau dans au moins deux zones de disponibilité de la Région AWS. La bonne pratique est la suivante : chaque groupe de sous-réseaux de base de données doit être constitué d'au moins un sous-réseau pour chaque zone de disponibilité dans la Région AWS.

Pour qu'un(e) cluster de base de données soit publiquement accessible, les sous-réseaux du groupe de sous-réseaux de base de données doivent avoir une passerelle Internet. Pour obtenir plus d'informations sur les passerelles Internet pour les sous-réseaux, consultez la section Connect to the internet using an internet gateway (Se connecter à Internet à l'aide d'une passerelle Internet) dans le Guide de l'utilisateur Amazon VPC.

Lorsque vous créez un(e) cluster de base de données dans un VPC, vous pouvez choisir un groupe de sous-réseau de base de données. Amazon Aurora choisit dans ce sous-réseau un sous-réseau et une adresse IP à associer à votre cluster de base de données. Si aucun groupe de sous-réseau de base de données n'existe, Amazon Aurora crée un groupe de sous-réseau par défaut lorsque vous créez un(e) cluster de base de données. Amazon Aurora crée une interface réseau Elastic pour votre cluster de base de données, et l'associe à cette adresse IP. Le cluster de base de données utilise la zone de disponibilité contenant le sous-réseau.

Dans cette étape, vous créez un groupe de sous-réseaux de base de données et ajoutez les sous-réseaux que vous avez créés pour votre VPC.

Étape 3 : créer un groupe de sécurité VPC

Avant de créer votre cluster de base de données, vous pouvez créer un groupe de sécurité VPC à associer à votre cluster de base de données. Si vous ne créez pas de groupe de sécurité VPC, vous pouvez utiliser le groupe de sécurité par défaut lorsque vous créez un(e) cluster de base de données. Pour obtenir des instructions sur la création d'un groupe de sécurité pour votre cluster de base de données, consultez Créer un groupe de sécurité VPC pour un cluster de base de données privé(e), ou Control traffic to resources using security groups (Contrôler le trafic vers les ressources à l'aide de groupes de sécurité) dans le Guide de l'utilisateur Amazon VPC.

Étape 4 : créer une instance de base de données dans le VPC

Dans cette étape, vous créez un(e) cluster de base de données et utilisez le nom du VPC, le groupe de sous-réseaux de base de données et le groupe de sécurité VPC que vous avez créés dans les étapes précédentes.

Pour plus d'informations sur la création d'un cluster de bases de données, consultez Création d'un cluster de base de données Amazon Aurora.

Lorsque vous y êtes invité dans la section Connectivity (Connectivité), saisissez le nom du VPC, le groupe de sous-réseaux de base de données et le groupe de sécurité VPC.