Exemple : VPC pour serveurs web et de base de données - Amazon Virtual Private Cloud
Présentation1. Créer le VPC2. Déploiement de votre application3. Tester votre configuration4. Nettoyage

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple : VPC pour serveurs web et de base de données

Cet exemple montre comment créer un VPC que vous pouvez utiliser pour une architecture à deux niveaux dans un environnement de production. Pour améliorer la résilience, vous déployez les serveurs dans deux zones de disponibilité.

Présentation

Le schéma suivant fournit un aperçu des ressources incluses dans l'exemple. Le VPC contient des sous-réseaux privés et des sous-réseaux publics dans deux zones de disponibilité. Les serveurs web s'exécutent dans les sous-réseaux publics et reçoivent le trafic des clients via un équilibreur de charge. Le groupe de sécurité pour les serveurs web autorise le trafic en provenance de l'équilibreur de charge. Les serveurs de base de données s'exécutent dans les sous-réseaux privés et reçoivent du trafic en provenance des serveurs web. Le groupe de sécurité pour les serveurs de base de données autorise le trafic en provenance des serveurs web. Les serveurs de base de données peuvent se connecter à Amazon S3 via un point de terminaison d'un VPC de passerelle.

Un VPC avec des sous-réseaux dans deux zones de disponibilité.

Routage

Lorsque vous créez ce VPC à l'aide de la console Amazon VPC, nous créons une table de routage pour les sous-réseaux publics avec des routes locales et des routes vers la passerelle Internet, ainsi qu'une table de routage pour chaque sous-réseau privé avec des routes locales et une route vers le point de terminaison d'un VPC de la passerelle.

Voici un exemple de table de routage pour les sous-réseaux publics, avec des itinéraires pour les deux IPv4 et IPv6. Si vous créez des sous-réseaux IPv4 uniquement au lieu de sous-réseaux à double pile, votre table de routage ne contient que les routes. IPv4

Destination Target
10.0.0.0/16 local
2001:db8:1234:1a00::/56 locale
0.0.0.0/0 igw-id
::/0 igw-id

Voici un exemple de table de routage pour les sous-réseaux privés, avec des itinéraires locaux pour les deux IPv4 et IPv6. Si vous avez créé des sous-réseaux IPv4 réservés, votre table de routage contient uniquement l' IPv4 itinéraire. La dernière route envoie le trafic destiné à Amazon S3 vers le point de terminaison d'un VPC de la passerelle.

Destination Target
10.0.0.0/16 local
2001:db8:1234:1a00::/56 local
s3-prefix-list-id s3-gateway-id

Sécurité

Pour cet exemple de configuration, vous créez un groupe de sécurité pour l'équilibreur de charge, un groupe de sécurité pour les serveurs Web et un groupe de sécurité pour les serveurs de base de données.

Équilibreur de charge

Le groupe de sécurité de votre Application Load Balancer ou Network Load Balancer doit autoriser le trafic entrant provenant des clients sur le port d'écoute de l'équilibreur de charge. Pour accepter du trafic en provenance de n'importe quel endroit sur Internet, spécifiez 0.0.0.0/0 en tant que source. Le groupe de sécurité de l'équilibreur de charge doit également autoriser le trafic sortant de l'équilibreur de charge vers les instances cibles sur le port d'écoute de l'instance et sur le port de surveillance de l'état.

Serveurs Web

Les règles de groupe de sécurité suivantes permettent aux serveurs Web de recevoir le trafic HTTP et HTTPS en provenance de l'équilibreur de charge. Vous pouvez éventuellement autoriser les serveurs web à recevoir du trafic SSH ou RDP en provenance de votre réseau. Les serveurs Web peuvent envoyer du trafic SQL ou MySQL à vos serveurs de base de données.

Source Protocole Plage de ports Description
ID of the security group for the load balancer TCP 80 Autorise l'accès HTTP entrant depuis l'équilibreur de charge
ID of the security group for the load balancer TCP 443 Autorise l'accès HTTPS entrant depuis l'équilibreur de charge
Public IPv4 address range of your network TCP 22 (Facultatif) Autorise l'accès SSH entrant à partir des adresses IPv4 IP de votre réseau
IPv6 address range of your network TCP 22 (Facultatif) Autorise l'accès SSH entrant à partir des adresses IPv6 IP de votre réseau
Public IPv4 address range of your network TCP 3389 (Facultatif) Autorise l'accès RDP entrant à partir des adresses IPv4 IP de votre réseau
IPv6 address range of your network TCP 3389 (Facultatif) Autorise l'accès RDP entrant à partir des adresses IPv6 IP de votre réseau
Destination Protocole Plage de ports Description
ID of the security group for instances running Microsoft SQL Server

TCP

1433

Autorise l'accès Microsoft SQL Server sortant aux serveurs de base de données
ID of the security group for instances running MySQL

TCP

3306

Autorise l'accès MySQL sortant aux serveurs de base de données
Serveurs de base de données

Les règles de groupe de sécurité suivantes autorisent les serveurs de base de données à recevoir des demandes de lecture et écriture depuis les serveurs web.

Source Protocole Plage de ports Commentaires
ID of the web server security group TCP 1433 Autorise l'accès entrant Microsoft SQL Server depuis les serveurs web
ID of the web server security group TCP 3306 Autorise l'accès entrant MySQL Server depuis les serveurs web
Destination Protocole Plage de ports Commentaires
0.0.0.0/0 TCP 80 Autorise l'accès HTTP sortant à Internet via IPv4
0.0.0.0/0 TCP 443 Autorise l'accès HTTPS sortant à Internet via IPv4

Pour de plus amples informations sur les groupes de sécurité pour les instances DB Amazon RDS, veuillez consulter Contrôle d'accès par groupes de sécurité dans le Guide de l'utilisateur Amazon RDS.

1. Créer le VPC

Utilisez la procédure suivante pour créer un VPC avec un sous-réseau public et un sous-réseau privé dans deux zones de disponibilité.

Pour créer le VPC

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Sur le tableau de bord, choisissez Créer un VPC.

  3. Sous Ressources à créer, choisissez VPC et plus encore.

  4. Configurez le VPC :

    1. Maintenez l’option Génération automatique de balise de nom sélectionnée pour créer des balises de nom pour les ressources VPC ou désactivez-la pour fournir vos propres balises de nom pour les ressources VPC.

    2. Pour le bloc d'adresse IPv4 CIDR, vous pouvez conserver la suggestion par défaut ou saisir le bloc d'adresse CIDR requis par votre application ou votre réseau. Pour de plus amples informations, veuillez consulter Blocs CIDR VPC.

    3. (Facultatif) Si votre application communique à l'aide d' IPv6 adresses, choisissez le bloc IPv6 CIDR, le bloc CIDR fourni par Amazon IPv6 .

    4. Choisissez une option de location. Cette option définit si EC2 les instances que vous lancez dans le VPC s'exécuteront sur du matériel partagé avec d'autres Comptes AWS ou sur du matériel dédié à votre usage uniquement. Si vous choisissez la location du VPC EC2 , les instances lancées dans ce VPC utiliseront l'attribut de location spécifié lors du lancement de l'instance. Default Pour plus d'informations, consultez Lancer une instance à l'aide de paramètres définis dans le guide de EC2 l'utilisateur Amazon. Si vous choisissez que la location du VPC est Dedicated, les instances s'exécutent toujours en tant qu'instances dédiées sur du matériel dédié à votre utilisation.

  5. Configurez les sous-réseaux :

    1. Pour Nombre de zones de disponibilité, choisissez 2 afin de pouvoir lancer des instances dans deux zones de disponibilité et améliorer ainsi la résilience.

    2. Pour Number of public subnets (Nombre de sous-réseaux publics), choisissez 2.

    3. Pour Number of private subnets (Nombre de sous-réseaux privés), choisissez 2.

    4. Vous pouvez conserver les blocs d’adresse CIDR par défaut pour les sous-réseaux publics ou développer Personnaliser les blocs CIDR des sous-réseaux et saisir un bloc d’adresse CIDR. Pour de plus amples informations, veuillez consulter Blocs d'adresse CIDR de sous-réseau.

  6. Pour Passerelles NAT, conservez la valeur par défaut, Aucune.

  7. Pour Points de terminaison des VPC, conservez la valeur par défaut, Passerelle S3. Bien que cela n'ait aucun effet (sauf si vous accédez à un compartiment S3), l'activation de ce point de terminaison d'un VPC n'entraîne aucuns frais.

  8. Pour Options DNS, conservez les deux options sélectionnées. Vos serveurs web recevront des noms d'hôtes DNS publics qui correspondent à leurs adresses IP publiques.

  9. Sélectionnez Create VPC (Créer un VPC).

2. Déploiement de votre application

Idéalement, vous avez déjà testé vos serveurs web et de base de données dans un environnement de développement ou de test et créé les scripts ou les images que vous utiliserez pour déployer votre application en production.

Vous pouvez utiliser EC2 des instances pour vos serveurs Web. Il existe différentes manières de déployer des EC2 instances. Par exemple :

Pour améliorer la disponibilité, vous pouvez utiliser Amazon EC2 Auto Scaling pour déployer des serveurs dans plusieurs zones de disponibilité et maintenir la capacité de serveur minimale requise par votre application.

Vous pouvez utiliser Elastic Load Balancing pour répartir le trafic de manière uniforme entre vos serveurs. Vous pouvez attacher un équilibreur de charge à un groupe Auto Scaling.

Vous pouvez utiliser EC2 des instances pour vos serveurs de base de données ou l'un de nos types de bases de données spécialement conçus. Pour plus d'informations, voir Bases de données sur AWS : Comment choisir.

3. Tester votre configuration

Après avoir terminé le déploiement de votre application, vous pouvez la tester. Si votre application ne parvient pas à envoyer ou à recevoir le trafic que vous attendez, vous pouvez utiliser Reachability Analyzer pour résoudre les problèmes. Par exemple, Reachability Analyzer peut identifier les problèmes de configuration liés à vos tables de routage ou à vos groupes de sécurité. Pour plus d'informations, reportez-vous au Guide de l'Analyseur d'accessibilité.

4. Nettoyage

Lorsque vous avez terminé avec cette configuration, vous pouvez le supprimer. Avant de supprimer le VPC, vous devez résilier vos instances et supprimer l'équilibreur de charge. Pour de plus amples informations, veuillez consulter Supprimer votre VPC.