Configurazione degli endpoint VPC per AWS DMS

AWS DMS supporta gli endpoint Amazon Virtual Private Cloud (VPC) come sorgenti e destinazioni. AWS DMS possono connettersi a qualsiasi database di AWS origine o destinazione con endpoint Amazon VPC purché nel rispettivo VPC siano definiti percorsi esplicitamente definiti verso questi database di origine e destinazione. AWS DMS

Supportando gli endpoint Amazon VPC, AWS DMS semplifica il mantenimento della sicurezza di end-to-end rete per tutte le attività di replica senza ulteriori configurazioni e configurazioni di rete. L'utilizzo degli endpoint VPC per tutti gli endpoint di origine e di destinazione garantisce che tutto il traffico rimanga all'interno del VPC e sotto il tuo controllo.

Per un'istanza di AWS DMS replica creata in una sottorete privata o nella replica AWS DMS senza server, per connettersi ai database AWS gestiti, è necessario configurare un endpoint Amazon VPC:

• Amazon S3

• Amazon DynamoDB

• Amazon Kinesis

• Amazon Redshift

• OpenSearch Servizio Amazon

Se utilizzi AWS Secrets Manager per archiviare le credenziali di connessione da utilizzare per DMS, devi anche configurare un endpoint VPC.

A partire dalla AWS DMS versione 3.4.7, gli endpoint VPC sono necessari per stabilire la connessione tra l'istanza di replica DMS o la replica Serverless e i servizi Amazon di cui sopra, quando viene utilizzata una rete privata.

Prerequisiti comuni AWS DMS

Prima di configurare un endpoint VPC, è necessario soddisfare i seguenti prerequisiti:

• Individua o crea il VPC da utilizzare con l'istanza di replica o AWS DMS AWS DMS la replica senza server. Se non fornisci queste informazioni, DMS tenta di utilizzare il VPC predefinito nella regione in cui è configurato.

• Assicurati di disporre delle autorizzazioni IAM per creare endpoint VPC. Per connetterti ad Amazon S3 e Amazon DynamoDB, puoi creare endpoint VPC gateway che forniscono una connettività affidabile senza richiedere un gateway Internet o un dispositivo NAT per il tuo VPC. Gli endpoint gateway non vengono utilizzati AWS PrivateLink, a differenza di altri tipi di endpoint VPC. Per ulteriori informazioni, consulta Gateway endpoints nella guida.AWS PrivateLink

• Configura le autorizzazioni IAM per utilizzare DMS:

  • Configura il ruolo. dms-vpc-role Per ulteriori informazioni, consulta la policy AWS gestita: Amazon DMSVPCManagement Role.

  • Configura il dms-cloudwatch-logs-role ruolo. Per ulteriori informazioni, consulta la policy AWS gestita: Amazon DMSCloud WatchLogsRole.

  • AWS DMS Serverless richiede che nel tuo account esista un ruolo collegato al servizio (SLR). AWS DMS gestisce la creazione e l'utilizzo di questo ruolo. Per ulteriori informazioni su come assicurarsi di disporre della reflex necessaria, consulta Ruolo collegato ai servizi per Serverless. AWS DMS Quando si crea una replica, Serverless crea a livello di codice un ruolo collegato al AWS DMS servizio Serverless. Puoi visualizzare questo ruolo nella console IAM.

Configura un endpoint Amazon VPC con Secrets Manager AWS

Puoi configurare un endpoint Amazon VPC con cui lavorare con AWS Secrets Manager. AWS DMS Creando questo endpoint, abiliti le istanze di AWS DMS replica o le configurazioni di replica senza server in sottoreti private per accedere in modo sicuro alle credenziali del database archiviate in Secrets Manager senza richiedere l'accesso pubblico a Internet.

Prerequisiti

Prima di configurare un endpoint VPC con AWS Secrets Manager in AWS DMS, devi soddisfare i seguenti prerequisiti:

• Assicurati di configurare tutti i. Prerequisiti comuni AWS DMS

• Crea e configura il database di origine o di destinazione a cui desideri connetterti.

• Crea un segreto in AWS Secrets Manager con le credenziali per accedere ai database di origine e di destinazione. Il segreto deve trovarsi nella stessa area dell'istanza di replica o AWS DMS della replica senza AWS DMS server. A seconda del tipo di database, lo schema del segreto può variare. Per ulteriori informazioni, consulta Lavorare con gli AWS DMS endpoint.

  Importante

  AWS DMS le istanze di replica e la replica AWS DMS serverless non funzionano con i segreti, gestiti da Amazon RDS. Queste credenziali non includono le informazioni sull'host e sulla porta, necessarie per stabilire connessioni. AWS DMS

• La configurazione delle autorizzazioni IAM per la gestione degli endpoint DMS è necessaria per alcuni database: Amazon S3, Amazon Kinesis, Amazon DynamoDB, Amazon Redshift, Amazon Service, Amazon Neptune e Amazon Timestream. OpenSearch Per ulteriori informazioni, consulta Working with AWS DMS endpoints.

Crea un endpoint VPC per Secrets Manager AWS

1. Accedi AWS Management Console e apri la console Amazon VPC all'indirizzo. https://console.aws.amazon.com/vpc/

2. Nella barra dei menu della console VPC, scegli la stessa istanza Regione AWS di AWS DMS replica.

3. Nel riquadro di navigazione VPC scegli Endpoint.

4. In Endpoint scegli Crea endpoint.

5. Configurare l'endpoint VPC come segue:

   1. Seleziona Tipo come AWS servizi.

   2. Nella casella di testo Service Name, cerca secretsmanager e seleziona com.amazonaws. [regione] .secretsmanager. Assicurati che il tipo per il servizio selezionato sia Interface.

   3. In Impostazioni di rete, seleziona il VPC in esecuzione nella stessa regione dell'istanza di replica DMS o in cui è stata creata la replica serverless.

   4. Nella sezione Subnet, seleziona le sottoreti desiderate su cui far funzionare DMS. Assicurati di selezionare solo sottoreti private. È possibile identificare una sottorete privata con l'ID della sottorete. Ad esempio: vpc-xxxxxx-subnet-private1-us-west-2a.

      Se l'istanza di replica DMS viene creata senza accesso pubblico, è necessario scegliere le tabelle di routing associate alle sottoreti private in cui risiede l'istanza di replica.

      Nota

      Assicurati di annotare le sottoreti private poiché ti viene richiesto di fornirle durante la creazione del gruppo di sottoreti di replica DMS. Per connettere DMS al gestore AWS Secrets utilizzando gli endpoint VPC, le sottoreti specificate per l'endpoint VPC devono essere le stesse delle sottoreti nel gruppo di sottoreti di replica DMS.

   5. Seleziona i gruppi di sicurezza desiderati. Le regole del gruppo di sicurezza controllano il traffico verso l'interfaccia di rete degli endpoint dalle risorse del tuo VPC. Se non si specifica un gruppo di sicurezza, viene selezionato il gruppo di sicurezza predefinito.

6. Seleziona Accesso completo in Politica. Se desideri utilizzare una politica personalizzata per specificare il tuo controllo di accesso, seleziona Personalizzato. È possibile utilizzare una politica di fiducia conforme al documento di policy JSON,. dms-vpc-role Per ulteriori informazioni, consulta Creazione dei ruoli IAM da utilizzare con. AWS DMS

7. Seleziona Crea endpoint.

   È necessario attendere che lo stato diventiAvailable. Il tuo endpoint VPC ora ha un ID che inizia con. vpce-xxxx

Ora hai creato con successo un endpoint VPC. È necessario configurare gli AWS DMS endpoint, i gruppi di sottoreti DMS. A seconda dell'opzione di migrazione scelta, configura l'istanza di replica DMS o la replica serverless.

Configura un endpoint Amazon VPC con Amazon S3

Puoi configurare un endpoint Amazon VPC con cui lavorare con Amazon S3. AWS DMS Creando questo endpoint, abiliti le istanze di replica o le configurazioni di AWS DMS replica senza server in sottoreti private per accedere in modo sicuro alle credenziali del database archiviate nei bucket S3 senza richiedere l'accesso pubblico a Internet.

Prerequisiti

Prima di configurare un endpoint VPC con Amazon S3 in AWS DMS, devi soddisfare i seguenti prerequisiti:

• Assicurati di configurare tutti i. Prerequisiti comuni AWS DMS

• Crea un bucket Amazon S3 da utilizzare come database di origine o di destinazione. AWS DMS Non abilitare il controllo delle versioni per S3. Se hai bisogno del controllo delle versioni S3, utilizza le policy del ciclo di vita per eliminare attivamente le vecchie versioni. In caso contrario, è possibile che si verifichino errori di connessione al test degli endpoint a causa di un timeout di chiamata S3 list-Object.

• Configura le autorizzazioni IAM per gestire gli endpoint DMS Amazon S3. Se utilizzi AWS DMS Console, puoi creare il ruolo IAM con le autorizzazioni necessarie se disponi delle autorizzazioni per creare ruoli IAM.

Crea un endpoint VPC per Amazon S3

1. Accedi AWS Management Console e apri la console Amazon VPC all'indirizzo. https://console.aws.amazon.com/vpc/

2. Nella barra dei menu della console VPC, scegli la stessa istanza Regione AWS di AWS DMS replica.

3. Nel riquadro di navigazione VPC scegli Endpoint.

4. In Endpoint scegli Crea endpoint.

5. Configurare l'endpoint VPC come segue:

   1. Seleziona Tipo come AWS servizi.

   2. Nella casella di testo Service Name, cerca s3 e seleziona com.amazonaws. [regione] .s3. Assicurati che il tipo per il servizio selezionato sia Gateway. Puoi creare un endpoint VPC Gateway durante la connessione ad Amazon S3 e DynamoDB. Gli endpoint gateway non utilizzano AWS PrivateLink, a differenza di altri tipi di endpoint VPC.

   3. In Impostazioni di rete, seleziona il VPC in esecuzione nella stessa regione dell'istanza di replica DMS o in cui è stata creata la replica serverless.

   4. Nella sezione Subnet, seleziona le sottoreti desiderate su cui far funzionare DMS. Assicurati di selezionare solo sottoreti private. È possibile identificare una sottorete privata con l'ID della sottorete. Ad esempio: vpc-xxxxxx-subnet-private1-us-west-2a.

      Nota

      Se hai creato l'istanza di replica DMS senza accesso pubblico, devi scegliere le tabelle di routing associate alle sottoreti private che si trovano nella stessa regione dell'istanza DMS. Assicurati di annotare le sottoreti private poiché ti viene richiesto di fornirle quando crei un gruppo di sottoreti di replica DMS. Per connettere DMS con Amazon S3 utilizzando gli endpoint VPC, le sottoreti specificate per l'endpoint VPC devono essere le stesse delle sottoreti del gruppo di sottoreti di replica DMS.

6. Seleziona Accesso completo in Policy. Se desideri utilizzare una politica personalizzata per specificare il tuo controllo di accesso, seleziona Personalizzato. È possibile utilizzare una politica di fiducia conforme al documento di policy JSON,. dms-vpc-role Per ulteriori informazioni, consulta Creazione dei ruoli IAM da utilizzare con. AWS DMS

7. Seleziona Crea endpoint.

   È necessario attendere che lo stato diventiAvailable. Il tuo endpoint VPC ora ha un ID che inizia con. vpce-xxxx

Ora hai creato con successo un endpoint VPC. È necessario configurare gli AWS DMS endpoint, i gruppi di sottoreti DMS. A seconda dell'opzione di migrazione scelta, configura l'istanza di replica DMS o la replica serverless.

Configurazione di un endpoint Amazon VPC per Amazon DynamoDB

Quando si utilizzano istanze di AWS DMS replica in sottoreti private o repliche AWS DMS senza server, è necessario creare un endpoint VPC per stabilire una connettività sicura con Amazon DynamoDB. Senza una configurazione degli endpoint VPC, si verificano errori di connessione AWS DMS .

Quando si crea l'endpoint VPC, è necessario selezionare il tipo di endpoint come Gateway o Interface nella console DMS. Per ulteriori informazioni, consultare:

• Prerequisiti comuni AWS DMS

• Endpoint gateway per Amazon DynamoDB

• Come posso risolvere i problemi di connettività con i miei endpoint Amazon VPC gateway?

Configurazione di un endpoint Amazon VPC per Amazon Kinesis

Quando si utilizzano istanze di AWS DMS replica in sottoreti private o repliche AWS DMS senza server, è necessario creare un endpoint VPC per stabilire una connettività sicura con Amazon Kinesis. Senza una configurazione degli endpoint VPC, si verificano errori di connessione AWS DMS . Per ulteriori informazioni, consultare:

• Prerequisiti comuni AWS DMS

• Utilizzo di Amazon Kinesis Data Streams come destinazione per AWS Database Migration Service

Configurazione di un endpoint Amazon VPC per Amazon Redshift

Quando si utilizzano istanze di AWS DMS replica in sottoreti private o repliche AWS DMS senza server, è necessario creare un endpoint VPC per stabilire una connettività sicura con Amazon Redshift. Senza una configurazione degli endpoint VPC, si verificano errori di connessione AWS DMS . Per ulteriori informazioni, consultare:

• Prerequisiti comuni AWS DMS

• Endpoint VPC gestiti da Redshift

Configurazione di un endpoint Amazon VPC per Amazon Service OpenSearch

Quando si utilizzano istanze di AWS DMS replica in sottoreti private o repliche AWS DMS senza server, è necessario creare un endpoint VPC per stabilire una connettività sicura con Amazon Service. OpenSearch Senza una configurazione degli endpoint VPC, si verificano errori di connessione AWS DMS . Per ulteriori informazioni, consultare:

• Prerequisiti comuni AWS DMS

• Configurazione dell'accesso VPC per le pipeline di Amazon Ingestion OpenSearch

Configura istanze di replica, gruppi di sottoreti DMS ed endpoint DMS

È necessario configurare le risorse di AWS DMS replica dopo aver creato gli endpoint VPC. È possibile configurare sottoreti di replica per l'isolamento della rete, istanze di replica o repliche serverless per l'elaborazione ed endpoint per la connessione ai database di origine e di destinazione per consentire la migrazione sicura del database all'interno del VPC.

AWS DMS Configurazione di un'istanza di replica

Per configurare un'istanza di replica AWS DMS fornita, è necessario configurare i gruppi di sottoreti di replica DMS.

Creare sottoreti di replica DMS

1. Accedi AWS Management Console e apri la console DMS.

2. Dal riquadro di navigazione a sinistra, apri Gruppi di sottoreti e seleziona Crea gruppo di sottoreti.

3. Inserisci nome e descrizione.

4. Dal menu a discesa VPC, seleziona il VPC in esecuzione nella stessa regione in cui desideri creare l'istanza di replica DMS.

5. Dal menu a discesa Aggiungi sottoreti, aggiungi le sottoreti private che hai specificato durante la creazione dell'endpoint VPC. Puoi identificare una sottorete privata con l'ID della sottorete. Ad esempio: vpc-xxxxxx-subnet-private1-us-west-2a.

6. Fai clic su Crea gruppo di sottorete.

Crea un'istanza di replica DMS (fornita)

1. Passa a per creare un' AWS Management Console istanza di replica. Per ulteriori informazioni, vedere Creazione di un'istanza di replica. Per ulteriori informazioni sulla scelta, il dimensionamento e la configurazione delle istanze di replica, consulta Lavorare con un'istanza di replica. AWS DMS

2. Nella sezione Connettività e sicurezza, seleziona il VPC dal cloud privato virtuale (VPC) IPv4 o dalla modalità Dual-stack in cui desideri creare l'istanza di replica. AWS DMS Per ulteriori informazioni, vedere Configurazione di una rete per un'istanza di replica.

3. Dal menu a discesa del gruppo di sottoreti di replica, scegli il gruppo di sottoreti creato per l'istanza di replica.

   Nota

   Assicurati che le sottoreti specificate per l'endpoint VPC siano identiche alle sottoreti nel gruppo di sottoreti dell'istanza di replica DMS. È necessario rimuovere tutte le sottoreti dal gruppo di sottoreti che non sono associate all'endpoint VPC.

4. Deseleziona la casella di controllo Accessibile al pubblico per disabilitare l'accesso pubblico.

5. Nella sezione Impostazioni avanzate, dal menu a discesa Gruppi di sicurezza VPC, seleziona tutti i gruppi di sottoreti VPC associati all'istanza di replica. Questi gruppi devono includere il gruppo di sottoreti che include le sottoreti specificate durante la creazione dell'endpoint VPC.

   Se non si specificano i gruppi di sottoreti, DMS sceglie il gruppo di sottoreti di replica predefinito o lo crea se non esiste. Per ulteriori informazioni, vedere Configurazione del gruppo di sicurezza per. AWS DMS

6. Completa la configurazione dell'istanza di replica e seleziona Crea istanza di replica.

   È necessario attendere che lo stato diventi. Available

Crea endpoint di AWS DMS origine e destinazione

1. Accedi alla console DMS.

2. Vai agli AWS DMS endpoint e seleziona Crea endpoint.

3. Crea e configura gli endpoint di origine e di destinazione.

4. Nella console DMS, puoi scegliere un ruolo IAM esistente o creare un nuovo ruolo IAM per accedere alle credenziali del database archiviate nel gestore Secrets. AWS

5. Fai clic su Esegui test per testare la connessione dell'endpoint nell'istanza di replica DMS. L'istanza di replica dovrebbe avere Available lo stato necessario per eseguire il test con essa.

6. Seleziona Crea endpoint.

Imposta una replica AWS DMS senza server

Per configurare una replica AWS DMS serverless, è necessario configurare i gruppi di sottoreti di replica DMS.

AWS DMS Crea endpoint di origine e di destinazione

1. Accedi alla console DMS.

2. Vai agli AWS DMS endpoint e seleziona Crea endpoint.

3. Crea e configura gli endpoint di origine e di destinazione.

4. Nella console DMS, puoi scegliere un ruolo IAM esistente o creare un nuovo ruolo IAM per accedere alle credenziali del database archiviate nel gestore Secrets. AWS

   Nota

   Per la replica AWS DMS senza server, non è possibile testare la connessione per l'endpoint DMS o utilizzare l'API. TestConnection Il test di connessione viene eseguito durante l'avvio della replica senza server tra l'istanza DMS e i database. source/target Per ulteriori informazioni, consulta AWS DMS Componenti serverless.

5. Seleziona Crea endpoint.

Crea sottoreti di replica DMS

1. Accedi AWS Management Console e apri la console DMS.

2. Dal riquadro di navigazione a sinistra, apri Gruppi di sottoreti e seleziona Crea gruppo di sottoreti.

3. Inserisci nome e descrizione.

4. Dal menu a discesa VPC, seleziona il VPC in esecuzione nella stessa regione dell'istanza serverless DMS.

5. Dal menu a discesa Aggiungi sottoreti, aggiungi le sottoreti private che hai specificato durante la creazione dell'endpoint VPC. Puoi identificare una sottorete privata con l'ID della sottorete. Ad esempio: vpc-xxxxxx-subnet-private1-us-west-2a.

6. Fai clic su Crea gruppo di sottorete.

Crea una replica DMS senza server

1. Accedi alla console DMS per creare un'istanza serverless. Per ulteriori informazioni, consulta Creazione di una replica serverless. Per ulteriori informazioni sulla scelta, il dimensionamento e la configurazione delle istanze serverless, consulta Lavorare con le istanze serverless. AWS DMS

2. Nella sezione Connettività e sicurezza, seleziona il VPC dal menu a discesa Virtual private cloud (VPC) in cui desideri creare l'istanza serverless. AWS DMS Per ulteriori informazioni, consulta Configurazione di una rete per un'istanza di replica.

3. Dal menu a discesa Subnet group, scegli il gruppo di sottoreti che hai creato per la tua istanza serverless.

   Nota

   Assicurati che le sottoreti specificate per l'endpoint VPC siano identiche alle sottoreti del gruppo di sottoreti di istanze serverless DMS. È necessario rimuovere tutte le sottoreti dal gruppo di sottoreti che non sono associate all'istanza serverless.

4. Seleziona la zona di disponibilità.

5. Dal menu a discesa DCU (Maximum DMS capacity units), seleziona la capacità DCU desiderata.

6. Seleziona Crea attività. In questo modo viene creata una configurazione di replica senza server DMS che viene visualizzata nell'elenco delle attività con lo stato. Start required

7. Per avviare la replica senza server, scegli l'attività e seleziona Avvia dal menu Azioni.

Chi è interessato dalla migrazione alle AWS DMS versioni 3.4.7 e successive?

Ne risentirai se utilizzi uno o più degli AWS DMS endpoint elencati in precedenza e questi endpoint non sono instradabili pubblicamente o non hanno endpoint VPC già associati.

Chi non è interessato dalla migrazione alle versioni 3.4.7 e successive? AWS DMS

Non si è interessati se:

• Non stai utilizzando uno o più degli endpoint elencati in precedenza. AWS DMS

• Stai utilizzando uno qualsiasi degli endpoint elencati in precedenza e questi sono instradabili pubblicamente.

• Utilizzi uno qualsiasi degli endpoint elencati in precedenza a cui sono associati endpoint VPC.

Preparazione di una migrazione alle versioni AWS DMS 3.4.7 e successive

Per evitare errori nelle attività AWS DMS quando utilizzi uno degli endpoint descritti in precedenza, esegui una delle seguenti operazioni prima di aggiornare AWS DMS alla versione 3.4.7 o successiva:

• Rendi gli endpoint DMS interessati instradabili pubblicamente. AWS Ad esempio, aggiungi una route Internet Gateway (IGW) a qualsiasi VPC già utilizzato dall' AWS istanza di replica DMS per rendere instradabili pubblicamente tutti gli endpoint di origine e di destinazione.

• Crea gli endpoint VPC per accedere a tutti gli endpoint di origine e di destinazione utilizzati da AWS DMS come descritto di seguito.

Per tutti gli endpoint VPC esistenti che utilizzi per gli endpoint di origine e di destinazione AWS DMS, assicurati che utilizzino una politica di attendibilità conforme al documento di policy XML,. dms-vpc-role Per ulteriori informazioni sul documento di policy XML, consulta Creazione dei ruoli IAM da utilizzare con AWS DMS.

In alternativa, configura le istanze di replica come endpoint VPC aggiungendo un endpoint VPC al VPC che le contiene. Se hai configurato le istanze di replica senza endpoint pubblici, l'aggiunta di un endpoint VPC accessibile pubblicamente al VPC che contiene le istanze di replica le rende accessibili pubblicamente. Non sono necessarie altre operazioni per associare in modo specifico le istanze di replica all'endpoint VPC.

Nota

Servizi diversi potrebbero avere configurazioni dell'endpoint VPC univoche. Ad esempio, quando si utilizza AWS Secrets Manager, in genere non è necessario modificare la tabella di routing. Verifica sempre i requisiti specifici per ogni servizio.

Per ulteriori informazioni sulla configurazione degli endpoint VPC per AWS un'istanza di replica DMS, vedere. Configurazioni di rete per la migrazione del database Per ulteriori informazioni sulla creazione di endpoint VPC di interfaccia per l'accesso ai AWS servizi in generale, consulta Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia nella Guida.AWS PrivateLink Per informazioni sulla disponibilità regionale del AWS DMS per gli endpoint VPC, consulta AWS la tabella delle regioni.