Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasi titik akhir lanjutan
Anda dapat mengonfigurasi pengaturan lanjutan untuk titik akhir di AWS Database Migration Service (AWS DMS) untuk mengatur kontrol atas perilaku titik akhir sumber dan target selama proses migrasi. Sebagai bagian dari pengaturan lanjutan, Anda dapat mengonfigurasi peering AWS DMS VPC untuk mengaktifkan komunikasi yang aman antara VPCs, Grup Keamanan DMS untuk mengontrol lalu lintas masuk dan keluar, daftar Kontrol Akses Newtwork (NACLs) sebagai lapisan keamanan tambahan, dan titik akhir VPC untuk Secrets Manager. AWS
Anda dapat mengatur konfigurasi ini selama pembuatan titik akhir atau dimodifikasi nanti melalui AWS DMS Konsol atau API, untuk menyempurnakan proses migrasi berdasarkan persyaratan mesin database tertentu dan kebutuhan kinerja.
Berikut ini, Anda dapat mengetahui detail lebih lanjut tentang konfigurasi titik akhir lanjutan.
**Topics**
+ [Konfigurasi peering VPC untuk. AWS DMS](CHAP_Advanced.Endpoints.vpc.peering.md)
+ [Konfigurasi grup keamanan untuk AWS DMS](CHAP_Advanced.Endpoints.securitygroup.md)
+ [Konfigurasi Network Access Control List (NACL) untuk AWS DMS](CHAP_Advanced.Ednpoints.NACL.md)
+ [Mengkonfigurasi manajer AWS DMS rahasia VPC Endpoint](CHAP_Advanced.Endpoints.secretsmanager.md)
+ [Pertimbangan tambahan](#CHAP_secretsmanager.additionalconsiderations)
# Konfigurasi peering VPC untuk. AWS DMS
Pengintipan VPC memungkinkan konektivitas jaringan pribadi antara dua VPCs, memungkinkan contoh AWS DMS replikasi dan titik akhir database untuk berkomunikasi secara berbeda VPCs seolah-olah mereka berada di jaringan yang sama. Ini sangat penting ketika instance replikasi DMS Anda berada dalam satu VPC sementara basis data sumber atau target ada secara terpisah VPCs, memungkinkan migrasi data langsung dan aman tanpa melintasi internet publik.
Saat menggunakan Amazon RDS, Anda harus mengonfigurasi peering VPC antara DMS dan RDS jika instans Anda berada di lokasi yang berbeda. VPCs
Anda harus melakukan langkah-langkah berikut:
**Membuat koneksi peering VPC**
1. Arahkan ke [konsol VPC Amazon](https://console.aws.amazon.com/vpc/).
1. Di panel navigasi, pilih **Peering Connections** di bawah **Virtual private cloud**.
1. Klik **Buat Koneksi Peering**.
1. Konfigurasikan koneksi peering:
+ Tag nama (opsional): Masukkan nama untuk koneksi peering (contoh:`DMS-RDS-Peering`).
**Pemohon VPC: Pilih** VPC yang berisi instance DMS Anda.
+ **Penerima VPC: Pilih** VPC yang berisi instance RDS Anda.
**catatan**
Jika VPC penerima dikaitkan dengan akun AWS lain, Anda harus memiliki ID Akun dan ID VPC untuk akun tersebut.
1. Klik **Buat Koneksi Peering**.
**Menerima koneksi peering VPC**
1. Dalam daftar **Peering Connections, temukan koneksi** peering baru dengan **status Penerimaan Tertunda**.
1. Pilih koneksi peering yang sesuai, klik **Tindakan** dan pilih **Terima Permintaan**.
Status koneksi peering berubah menjadi **Aktif**.
**Memperbarui tabel rute**
Untuk mengaktifkan lalu lintas di antara VPCs, Anda harus memperbarui tabel rute di kedua tabel Anda VPCs. Untuk memperbarui tabel rute di VPC DMS:
1. Identifikasi blok CIDR dari VPC RDS:
1. Arahkan ke Anda VPCs dan pilih VPC RDS Anda.
1. Salin nilai IPv4 CIDR di **CIDRs**tab.
1. Identifikasi tabel rute DMS yang relevan menggunakan peta sumber daya:
1. Arahkan ke Anda VPCs dan pilih VPC DMS Anda.
1. Klik tab **Resource Map** dan catat tabel rute yang terkait dengan subnet tempat instans DMS Anda berada.
1. Perbarui semua tabel rute di VPC DMS:
1. Arahkan ke tabel rute di konsol [VPC Amazon](https://console.aws.amazon.com/vpc/).
1. Pilih tabel rute yang mengidentifikasi untuk VPC DMS. Anda dapat membukanya dari tab **Peta Sumber Daya** VPC.
1. Klik **Edit rute**.
1. Klik Tambahkan rute dan masukkan informasi berikut:
+ **Tujuan**: Masukkan blok IPv4 CIDR dari VPC RDS (Contoh:). `10.1.0.0/16`
+ **Target**: Pilih ID konfigurasi peering (Contoh:`pcx-1234567890abcdef`).
1. Klik **Simpan rute**.
Rute VPC Anda disimpan untuk VPC DMS. Lakukan langkah yang sama untuk VPC RDS Anda.
**Perbarui Grup Keamanan**
1. Verifikasi Grup Keamanan instance DMS:
1. Anda harus memastikan bahwa aturan keluar memungkinkan lalu lintas ke instans RDS:
+ **Jenis**: TCP kustom atau port database tertentu (Contoh: 3306 untuk MySQL).
+ **Tujuan**: Blok CIDR dari RDS VPC atau grup keamanan instans RDS.
1. Verifikasi Grup Keamanan instans RDS:
1. Anda harus memastikan bahwa aturan masuk mengizinkan lalu lintas dari instans DMS:
+ **Jenis**: Port database tertentu.
+ Sumber: Blok CIDR dari DMS VPC atau grup keamanan instabce RDS.
**catatan**
Anda juga harus memastikan hal-hal berikut:
Koneksi **Peering Aktif: Pastikan koneksi** peering VPC dalam status Aktif sebelum **melanjutkan**.
**Peta Sumber Daya**: Gunakan tab **Peta sumber daya** di [konsol konsol VPC Amazon](https://console.aws.amazon.com/vpc/) untuk mengidentifikasi tabel rute mana yang perlu diperbarui.
**Tidak Ada Blok CIDR yang Tumpang Tindih: VPCs Harus memiliki blok CIDR** yang tidak tumpang tindih.
**Praktik Terbaik Keamanan**: Menahan aturan Grup Keamanan ke port dan sumber yang diperlukan.
Untuk informasi selengkapnya, lihat [Koneksi peering VPC di panduan](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html) pengguna *Amazon Virtual Private Cloud*.
# Konfigurasi grup keamanan untuk AWS DMS
Grup keamanan di AWS DMS harus mengizinkan koneksi masuk dan keluar untuk instance replikasi Anda pada port database yang sesuai. Jika Anda menggunakan Amazon RDS, Anda harus mengonfigurasi grup keamanan antara DMS dan RDS untuk instans Anda.
Anda harus melakukan langkah-langkah berikut:
**Konfigurasikan grup keamanan instans RDS**
1. Arahkan ke [konsol VPC Amazon](https://console.aws.amazon.com/vpc/).
1. Di panel navigasi di sebelah kiri di bawah **Keamanan**, pilih **Grup Keamanan**.
1. Pilih Grup Keamanan RDS yang terkait dengan instans RDS Anda.
1. Edit aturan masuk:
1. Klik **Tindakan** dan pilih **Edit aturan masuk**.
1. Klik **Tambahkan Aturan** untuk membuat aturan baru.
1. Konfigurasikan aturan sebagai berikut:
+ **Jenis**: Pilih jenis database Anda (Contoh: MySQL/Aurora untuk port 3306, PostgreSQL untuk port 5432).
+ **Protokol**: Ini otomatis terisi berdasarkan jenis database Anda.
+ **Port Range**: ini otomatis terisi berdasarkan jenis database Anda.
+ **Sumber**: Pilih **Kustom**, dan tempel ID grup keamanan yang terkait dengan instans DMS Anda. Ini memungkinkan lalu lintas dari sumber daya apa pun dalam grup keamanan itu. Anda juga dapat menentukan rentang IP (blok CIDR) dari instance DMS Anda.
1. Klik **Simpan aturan**.
**Konfigurasikan grup keamanan instance replikasi DMS**
1. Arahkan ke [konsol VPC Amazon](https://console.aws.amazon.com/vpc/).
1. Di panel navigasi di sebelah kiri di bawah **Keamanan**, pilih **Grup Keamanan**.
1. Dalam daftar **Grup Keamanan**, temukan dan pilih grup keamanan yang terkait dengan instance replikasi DMS Anda.
1. Edit aturan keluar:
1. Klik **Tindakan** dan pilih **Edit aturan keluar**.
1. Klik **Tambahkan Aturan** untuk membuat aturan baru.
1. Konfigurasikan aturan sebagai berikut:
+ Jenis: Pilih jenis database Anda (Contoh: MySQL/Aurora, PostgreSQL).
+ Protokol: Ini otomatis terisi berdasarkan jenis database Anda.
+ Port Range: ini otomatis terisi berdasarkan jenis database Anda.
+ Sumber: Pilih **Kustom**, dan tempel ID grup keamanan yang terkait dengan instans RDS Anda. Ini memungkinkan lalu lintas dari sumber daya apa pun dalam grup keamanan itu. Anda juga dapat menentukan rentang IP (blok CIDR) dari instance RDS Anda.
1. Klik **Simpan aturan**.
## Pertimbangan Tambahan
Anda harus mempertimbangkan informasi konfigurasi tambahan berikut:
+ **Gunakan Referensi Grup Keamanan**: Mereferensikan grup keamanan dalam instance sumber atau dessional memungkinkan manajemen dinamis dan lebih aman daripada menggunakan alamat IP karena secara otomatis menyertakan semua sumber daya dalam grup.
+ **Database Ports**: Pastikan Anda menggunakan port yang benar untuk database Anda.
+ **Praktik Terbaik Keamanan**: Hanya buka port yang diperlukan untuk meminimalkan risiko keamanan. Anda juga harus meninjau aturan grup keamanan Anda secara teratur untuk memastikan mereka memenuhi standar dan persyaratan keamanan Anda.
# Konfigurasi Network Access Control List (NACL) untuk AWS DMS
Saat menggunakan Amazon RDS sebagai sumber replikasi, Anda harus memperbarui Network Access Control Lists (NACLs) untuk instans DMS dan RDS Anda. Pastikan bahwa NACLs terkait dengan subnet tempat kejadian ini berada. Ini memungkinkan lalu lintas masuk dan keluar pada port database tertentu.
Untuk memperbarui Daftar Kontrol Akses Jaringan, Anda harus melakukan langkah-langkah berikut:
**catatan**
Jika instans DMS dan RDS Anda berada di subnet yang sama, Anda hanya perlu memperbarui NACL subnet itu.
**Identifikasi yang relevan NACLs**
1. Arahkan ke [konsol VPC Amazon](https://console.aws.amazon.com/vpc/).
1. Di panel navigasi di sebelah kiri di bawah **Keamanan**, pilih **Jaringan ACLs**.
1. Pilih yang relevan NACLs terkait dengan subnet tempat instans DMS dan RDS Anda berada.
**Perbarui NACLs subnet instance DMS**
1. Identifikasi NACL yang terkait dengan subnet instans DMS Anda. Untuk melakukannya, Anda dapat menelusuri subnet di konsol [VPC Amazon](https://console.aws.amazon.com/vpc/), menemukan subnet DMS, dan mencatat ID NACL terkait.
1. Edit aturan masuk:
1. Klik tab **Aturan Masuk** untuk NACL yang dipilih.
1. Pilih **Edit aturan masuk**.
1. Tambahkan aturan baru:
+ **Aturan \$1**: Pilih nomor unik (Contoh: 100).
+ **Jenis**: Pilih **Aturan TCP Kustom**.
+ **Protokol**: TCP
+ **Rentang Port**: Masukkan port database Anda (Contoh: 3306 untuk MySQL).
+ **Sumber**: Masukkan blok CIDR dari subnet RDS (Contoh: 10.1.0.0/16).
+ **Izinkan/Tolak: Pilih Izinkan****.**
1. Edit aturan keluar:
1. Klik tab **Aturan Keluar** untuk NACL yang dipilih.
1. Klik **Edit aturan keluar**.
1. Tambahkan aturan baru:
+ **Aturan \$1**: Gunakan nomor yang sama seperti yang digunakan dalam aturan masuk.
+ **Jenis**: Semua lalu lintas.
+ **Tujuan**: 0.0.0.0/0
+ **Izinkan/Tolak: Pilih Izinkan****.**
1. Klik **Simpan perubahan**.
1. Lakukan langkah yang sama untuk memperbarui subnet instans RDS yang NACLs terkait.
## Verifikasi aturan NACL
Anda harus memastikan kriteria berikut untuk mengenai aturan NACL. :
+ **Urutan aturan**: NACLs memproses aturan dalam urutan menaik berdasarkan nomor erule. Pastikan bahwa semua aturan yang ditetapkan sebagai "**Izinkan**" memiliki nomor aturan yang lebih rendah daripada semua aturan yang ditetapkan sebagai "**Deny**" karena dapat memblokir lalu lintas.
+ **Sifat tanpa kewarganegaraan**: NACLs tanpa kewarganegaraan. Anda harus secara eksplisit mengizinkan lalu lintas masuk dan keluar.
+ **Blok CIDR**: Anda harus memastikan bahwa blok CIDR yang Anda gunakan secara akurat mewakili subnet instance DMS dan RDS Anda.
# Mengkonfigurasi manajer AWS DMS rahasia VPC Endpoint
Anda harus membuat titik akhir VPC untuk mengakses AWS Secrets Manager dari instance replikasi di subnet pribadi. Hal ini memungkinkan instance replikasi mengakses Secrets Manager langsung melalui jaringan pribadi tanpa mengirim lalu lintas melalui internet publik.
Untuk mengkonfigurasi, Anda harus mengikuti langkah-langkah berikut:
**Buat grup keamanan untuk titik akhir VPC.**
1. Arahkan ke [konsol VPC Amazon](https://console.aws.amazon.com/vpc/).
1. Di panel navigasi di sebelah kiri, pilih **Grup keamanan**, dan pilih **Buat grup keamanan**.
1. Konfigurasikan detail grup keamanan:
+ **Nama grup keamanan**: Contoh: `SecretsManagerEndpointSG`
+ **Deskripsi**: Masukkan deskripsi yang sesuai. (Contoh: Grup keamanan untuk manajer rahasia VPC endpoint).
+ **VPC**: Pilih VPC tempat instance replikasi dan titik akhir Anda berada.
1. Klik **Tambahkan Aturan** untuk menetapkan aturan masuk dan mengkonfigurasi yang berikut:
+ Jenis: HTTPS (Karena manajer rahasia menggunakan HTTPS pada port 443).
+ Sumber: Pilih **Kustom**, dan masukkan ID grup securty dari instance replikasi Anda. Ini memastikan bahwa setiap instance yang terkait dengan grup keamanan tersebut dapat mengakses titik akhir VPC.
1. Tinjau perubahan dan klik **Buat grup keamanan**.
**Buat titik akhir VPC untuk manajer rahasia**
**catatan**
Buat titik akhir VPC antarmuka sebagai garis besar dalam topik [dokumentasi Creating an Interface Endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di panduan pengguna *Amazon Virtual* Private Cloud. Saat mengikuti prosedur ini, pastikan hal berikut:
Untuk **Kategori Layanan**, Anda harus memilih **AWS layanan.**
Untuk **nama Layanan**, cari `seretsmanager` dan pilih layanan manajer rahasia.
1. Pilih **VPC dan Subnet dan** konfigurasikan yang berikut ini:
+ **VPC**: Pastikan itu adalah VPC yang sama dengan instance replikasi Anda.
+ **Subnet**: Pilih subnet tempat instance replikasi Anda berada.
1. Di **Pengaturan Tambahan**, pastikan bahwa **nama Aktifkan DNS** diaktifkan secara default untuk titik akhir antarmuka
1. Di bawah **Grup keamanan**, pilih nama grup keamanan yang sesuai. Contoh: `SecretsManagerEndpointSG` seperti yang dibuat sebelumnya).
1. Tinjau semua pengaturan dan Klik **Buat titik akhir**.
**Ambil nama DNS titik akhir VPC**
1. Akses detail titik akhir VPC:
1. **Arahkan ke [konsol VPC Amazon](https://console.aws.amazon.com/vpc/) dan pilih Endpoints.**
1. Pilih titik akhir yang sesuai yang Anda buat.
1. Salin nama DNS:
1. Di bawah tab **Detail**, navigasikan ke bagian **Nama DNS**.
1. Salin nama DNS pertama yang terdaftar. (Contoh:`vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`). Ini adalah nama DNS regional.
**Perbarui titik akhir DMS Anda**
1. Arahkan ke [AWS DMS](https://console.aws.amazon.com/dms/v2)konsol.
1. Ubah titik akhir DMS:
1. Di panel navigasi di sebelah kiri, pilih **Endpoints**.
1. Pilih titik akhir yang sesuai yang ingin Anda konfigurasikan.
1. Klik **Tindakan** dan pilih **Ubah**.
1. Konfigurasikan pengaturan titik akhir:
1. Arahkan ke **pengaturan Endpoint** dan pilih **Gunakan atribut koneksi titik akhir kotak centang**.
1. Di bidang **atribut Koneksi**, tambahkan:`secretsManagerEndpointOverride=`.
**catatan**
Jika Anda memiliki beberapa atribut koneksi, Anda dapat memisahkannya dengan titik koma “;”. Misalnya: `datePartitionEnabled=false;secretsManagerEndpointOverride=vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`
1. Klik **Ubah titik akhir** untuk menyimpan perubahan Anda.
## Pertimbangan tambahan
Anda harus mempertimbangkan informasi konfigurasi tambahan berikut:
**Grup keamanan contoh replikasi:**
+ Pastikan bahwa grup keamanan yang terkait dengan instance replikasi Anda memungkinkan lalu lintas keluar ke titik akhir VPC pada port 443 (HTTPS).
**Pengaturan DNS VPC:**
+ Konfirmasikan bahwa **resolusi DNS** dan **hotname DNS** diaktifkan di VPC Anda. Hal ini memungkinkan instans Anda untuk menyelesaikan nama DNS titik akhir VPC. ****Anda dapat mengonfirmasi bahwa dengan menavigasi ke VPCs [konsol VPC Amazon dan memilih VPC](https://console.aws.amazon.com/vpc/) Anda untuk memverifikasi bahwa **resolusi DNS dan hotname DNS disetel** ke "Ya”.****
**Menguji konektivitas:**
+ Dari instance replikasi, Anda dapat melakukan pencarian DNS untuk memastikannya menyelesaikan titik akhir VPC:. `nslookup secretsmanager.amazonaws.com` Itu harus mengembalikan alamat Ip yang terkait dengan titik akhir VPC Anda