Componenti dell'architettura e requisiti per la replica limitata - AWS Guida prescrittiva
Sottorete di stagingSottorete di origineSottorete di destinazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Componenti dell'architettura e requisiti per la replica limitata

Questa sezione fornisce una descrizione dettagliata dello scenario più restrittivo, in cui tutte le comunicazioni avvengono solo sul canale privato, e include una spiegazione dettagliata dei requisiti e dei componenti corrispondenti da creare per ciascuna area.

Sottorete di staging

La sottorete di gestione temporanea è la parte più importante dell'infrastruttura di replica. È qui che verranno avviati tutti i server di replica dell'Application Migration Service e contiene gli indirizzi IP a cui verrà indirizzato il traffico di replica. Per la replica dei dati privati in entrata, configura le impostazioni del server di replica per Application Migration Service con l'opzione Usa IP privato.

Per i requisiti in uscita, puoi utilizzare l'opzione Create public IP per scegliere se i server di replica comunicheranno con i AWS servizi richiesti (Amazon S3, Application Migration Service, EC2 Amazon) tramite IP privato o pubblico. Le opzioni standard per fornire la connettività Internet in uscita sono elencate nella documentazione dell'Application Migration Service: un indirizzo IP pubblico con un gateway Internet o un indirizzo IP privato con un gateway NAT. Entrambe le opzioni consentono di implementare uno scenario ibrido semplificato in cui il traffico di replica dei dati passa attraverso una connessione privata (AWS VPN o AWS Direct Connect) mentre i server di replica comunicano con i AWS servizi sulla rete pubblica. 

Tuttavia, la connettività pubblica in uscita è generalmente vietata negli ambienti aziendali chiusi e questo è lo scenario più restrittivo discusso nella sezione successiva. In questo caso, si utilizzano AWS PrivateLink e si configurano i seguenti endpoint VPC nelle sottoreti di staging per i server di replica:

  • Endpoint gateway VPC per comunicare con Amazon S3

  • Endpoint di interfaccia VPC per comunicare con Application Migration Service e Amazon EC2

Per ulteriori informazioni sugli endpoint VPC, consulta la documentazione. AWS PrivateLink

Sottorete di origine

La sottorete di origine è qualsiasi sottorete da cui si esegue la replica. Qui si trovano i server di origine e dove installerai AWS Replication Agent su questi server. I requisiti di rete per un agente includono:

  • Comunicazione tramite la porta HTTPS/TCP 443 con Servizi AWS Amazon S3 e Application Migration Service

  • Comunicazione con l'indirizzo IP del server di replica (privato o pubblico, in base alle impostazioni) 

L'agente supporta anche scenari ibridi in cui la comunicazione Servizi AWS può avvenire sulla rete pubblica (utilizzando il traffico HTTPS standard) mentre i dati di replica vengono inviati tramite reti private all'IP privato del server di replica.

Questa guida si concentra su uno scenario più restrittivo in cui non Servizi AWS è consentito nemmeno il traffico HTTPS proveniente dai sistemi di origine, pertanto i seguenti endpoint sono configurati nella sottorete di staging:

  • Endpoint di interfaccia VPC per Application Migration Service e Amazon S3 (endpoint di interfaccia regionale, non l'endpoint gateway richiesto per i server di replica)

  • Un endpoint resolver DNS in entrata, per consentire alle sorgenti locali e ai server DNS di risolvere gli indirizzi IP privati per gli endpoint VPC, situati nella sottorete di staging

Sottorete di destinazione

La sottorete di destinazione è qualsiasi sottorete in cui intendete avviare i server, incluse le istanze di test e cutover. Queste sottoreti non hanno alcun requisito di connettività di rete e potrebbero trovarsi in qualsiasi altro VPC nella stessa regione. Account AWS Questo perché Application Migration Service utilizza Amazon EC2 APIs per creare nuove istanze di test o cutover (motivo per cui i server di replica nella sottorete di staging richiedono la connettività HTTPS in uscita ad EC2 Amazon) e accede agli snapshot S3 regionali creati da volumi EBS replicati. Nessuna di queste operazioni richiede l'accesso diretto alla rete da o verso la sottorete di destinazione, quindi potrebbe trattarsi anche di una sottorete privata completamente isolata.

Tuttavia, Application Migration Service installa automaticamente anche diversi strumenti come EC2 Config AWS Systems Manager o Agents (SSM Agents) sulle istanze di destinazione e queste attività richiedono la connettività della porta HTTPS/TCP 443 in uscita dalle istanze e dalle sottoreti di destinazione.