Architekturkomponenten und Anforderungen für eingeschränkte Replikation - AWS Präskriptive Leitlinien
Staging-SubnetzQuell-SubnetzZiel-Subnetz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Architekturkomponenten und Anforderungen für eingeschränkte Replikation

Dieser Abschnitt enthält eine detaillierte Beschreibung des restriktivsten Szenarios, in dem die gesamte Kommunikation nur über den privaten Kanal erfolgt, sowie eine ausführliche Erläuterung der Anforderungen und der entsprechenden Komponenten, die für jeden Bereich erstellt werden müssen.

Staging-Subnetz

Das Staging-Subnetz ist der wichtigste Teil der Replikationsinfrastruktur. Hier werden alle Replikationsserver des Application Migration Service gestartet, und es enthält die IP-Adressen, an die der Replikationsverkehr geleitet wird. Für die Replikation eingehender privater Daten konfigurieren Sie die Replikationsservereinstellungen für den Application Migration Service mit der Option Private IP verwenden.

Für ausgehende Anforderungen können Sie die Option Öffentliche IP erstellen verwenden, um auszuwählen, ob Replikationsserver mit den erforderlichen AWS Diensten (Amazon S3, Application Migration Service, Amazon EC2) über private oder öffentliche IP kommunizieren. Die Standardoptionen für ausgehende Internetkonnektivität sind in der Dokumentation zum Application Migration Service aufgeführt: entweder eine öffentliche IP-Adresse mit einem Internet-Gateway oder eine private IP-Adresse mit einem NAT-Gateway. Mit beiden Optionen können Sie ein vereinfachtes Hybridszenario implementieren, in dem der Datenreplikationsverkehr über eine private Verbindung (AWS VPN oder AWS Direct Connect) abgewickelt wird, während Replikationsserver mit AWS Diensten über das öffentliche Netzwerk kommunizieren. 

Öffentliche ausgehende Konnektivität ist jedoch in geschlossenen Unternehmensumgebungen normalerweise verboten, und dies ist das restriktivste Szenario, das im nächsten Abschnitt behandelt wird. In diesem Fall verwenden AWS PrivateLink und konfigurieren Sie die folgenden VPC-Endpunkte in Staging-Subnetzen für Replikationsserver:

  • VPC-Gateway-Endpunkt für die Kommunikation mit Amazon S3

  • VPC-Schnittstellenendpunkte für die Kommunikation mit Application Migration Service und Amazon EC2

Weitere Informationen zu VPC-Endpunkten finden Sie in der AWS PrivateLinkDokumentation.

Quell-Subnetz

Das Quellsubnetz ist jedes Subnetz, aus dem Sie replizieren. Hier befinden sich Ihre Quellserver und Sie werden AWS Replication Agent auf diesen Servern installieren. Zu den Netzwerkanforderungen für einen Agenten gehören:

  • Kommunikation über HTTPS/TCP-Port 443 mit AWS-Services z. B. Amazon S3 und Application Migration Service

  • Kommunikation mit der IP-Adresse des Replikationsservers (privat oder öffentlich, je nach Einstellungen) 

Der Agent unterstützt auch Hybridszenarien, in denen die Kommunikation über das öffentliche Netzwerk (unter Verwendung von standardmäßigem HTTPS-Verkehr) erfolgen AWS-Services kann, während Replikationsdaten über private Netzwerke an die private IP des Replikationsservers gesendet werden.

Dieses Handbuch konzentriert sich auf ein restriktiveres Szenario, in dem selbst HTTPS-Verkehr von Quellsystemen AWS-Services nicht zugelassen wird. Daher sind die folgenden Endpunkte im Staging-Subnetz konfiguriert:

  • VPC-Schnittstellenendpunkte für Application Migration Service und Amazon S3 (regionaler Schnittstellenendpunkt, nicht der Gateway-Endpunkt, der für Replikationsserver erforderlich ist)

  • Ein DNS-Resolver-Endpunkt für eingehende Anfragen, der es lokalen Quellen und DNS-Servern ermöglicht, private IP-Adressen für VPC-Endpunkte aufzulösen, die sich im Staging-Subnetz befinden

Ziel-Subnetz

Das Zielsubnetz ist jedes Subnetz, in dem Sie Ihre Server starten möchten, einschließlich Test- und Cutover-Instances. Für diese Subnetze sind keinerlei Netzwerkkonnektivität erforderlich und sie können sich in jeder anderen VPC in derselben AWS-Konto Region befinden. Dies liegt daran, dass Application Migration Service Amazon verwendet, EC2 APIs um neue Test- oder Cutover-Instances zu erstellen (weshalb Replikationsserver im Staging-Subnetz ausgehende HTTPS-Konnektivität zu Amazon benötigen EC2) und auf regionale S3-Snapshots zugreift, die aus replizierten EBS-Volumes erstellt wurden. Für keinen dieser Vorgänge ist ein direkter Netzwerkzugriff auf oder vom Zielsubnetz erforderlich, sodass es sich bei diesem sogar um ein vollständig isoliertes privates Subnetz handeln könnte.

Der Application Migration Service installiert jedoch auch automatisch mehrere Tools wie EC2 Config oder AWS Systems Manager Agents (SSM-Agenten) auf Zielinstanzen. Für diese Aktivitäten ist eine ausgehende HTTPS/TCP-Port-443-Konnektivität von Zielinstanzen und Subnetzen erforderlich.