Configurando endpoints VPC para AWS DMS - AWS Database Migration Service
AWS DMS Pré-requisitos comunsConfigure um endpoint da Amazon VPC com o Secrets Manager AWSConfigure um endpoint da Amazon VPC com o Amazon S3Configurar um endpoint da Amazon VPC para o Amazon DynamoDBConfigurar um endpoint Amazon VPC para o Amazon KinesisConfigurar um endpoint da Amazon VPC para o Amazon RedshiftConfigurar um endpoint Amazon VPC para o Amazon Service OpenSearch Instância de replicação do DMS (provisionada e sem servidor), grupos de sub-rede e endpointsQuem é afetado ao migrar para as AWS DMS versões 3.4.7 e superiores?Quem não é afetado ao migrar para as AWS DMS versões 3.4.7 e superiores?Preparando uma migração para as versões 3.4.7 e superiores do AWS DMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando endpoints VPC para AWS DMS

AWS DMS suporta endpoints de nuvem privada virtual (VPC) da Amazon como fontes e destinos. AWS DMS podem se conectar a qualquer banco de dados de AWS origem ou destino com endpoints da Amazon VPC, desde que rotas explicitamente definidas para esses bancos de dados de origem e destino estejam definidas em sua VPC. AWS DMS

Ao oferecer suporte aos endpoints do Amazon VPC, AWS DMS fica mais fácil manter a segurança da end-to-end rede para todas as tarefas de replicação sem configuração e configuração adicionais da rede. A utilização de endpoints da VPC para todos os endpoints de origem e de destino garante que todo o tráfego permaneça dentro da VPC e sob o seu controle.

Para uma instância AWS DMS de replicação criada em uma sub-rede privada ou replicação AWS DMS sem servidor, para se conectar a bancos de dados AWS gerenciados, é necessário configurar um endpoint da Amazon VPC:

  • Amazon S3

  • Amazon DynamoDB

  • Amazon Kinesis

  • Amazon Redshift

  • OpenSearch Serviço Amazon

Se você estiver usando o AWS Secrets Manager para armazenar credenciais de conexão para uso do DMS, você também precisará configurar um VPC endpoint.

A partir da AWS DMS versão 3.4.7, os endpoints VPC são necessários para estabelecer conexão entre a instância de replicação do DMS ou a replicação sem servidor e os serviços da Amazon acima, quando a rede privada é usada.

AWS DMS Pré-requisitos comuns

Antes de configurar um VPC endpoint, você deve atender aos seguintes pré-requisitos:

  • Localize ou crie a VPC para usar com a instância de replicação ou AWS DMS com AWS DMS a replicação sem servidor. Se você não fornecer essas informações, o DMS tentará usar a VPC padrão na região em que ela está configurada.

  • Certifique-se de ter permissões do IAM para criar um VPC endpoint. Para se conectar ao Amazon S3 e ao Amazon DynamoDB, você pode criar endpoints Gateway VPC que fornecem conectividade confiável sem exigir um gateway de internet ou um dispositivo NAT para sua VPC. Os endpoints de gateway não usam AWS PrivateLink, ao contrário de outros tipos de endpoints de VPC. Para obter mais informações, consulte Endpoints do Gateway no AWS PrivateLinkguia.

  • Configure as permissões do IAM para usar o DMS:

    • Configure a dms-vpc-role função. Para obter mais informações, consulte Política AWS gerenciada: Amazon DMSVPCManagement Role.

    • Configure a dms-cloudwatch-logs-role função. Para obter mais informações, consulte a política AWS gerenciada: Amazon DMSCloud WatchLogsRole.

    • AWS DMS O Serverless exige que uma função vinculada ao serviço (SLR) exista em sua conta. AWS DMS gerencia a criação e o uso dessa função. Para obter mais informações sobre como garantir que você tenha a SLR necessária, consulte Função vinculada a serviços para Serverless. AWS DMS Quando você cria uma replicação, o AWS DMS Serverless cria programaticamente uma função vinculada ao serviço Serverless. É possível visualizar esse perfil no console do IAM.

Configure um endpoint da Amazon VPC com o Secrets Manager AWS

Você pode configurar um endpoint Amazon VPC com o qual o AWS Secrets Manager trabalhe. AWS DMS Ao criar esse endpoint, você habilita instâncias de AWS DMS replicação ou configurações de replicação sem servidor em sub-redes privadas para acessar com segurança as credenciais do banco de dados armazenadas no Secrets Manager sem exigir acesso público à Internet.

Pré-requisitos

Antes de configurar um VPC endpoint com o AWS Secrets Manager AWS DMS, você deve atender aos seguintes pré-requisitos:

  • Certifique-se de configurar todos osAWS DMS Pré-requisitos comuns.

  • Crie e configure o banco de dados de origem ou destino ao qual você deseja se conectar.

  • Crie um segredo no gerenciador de AWS segredos com credenciais para acessar bancos de dados de origem e destino. O segredo deve estar localizado na mesma região da instância de AWS DMS replicação ou da replicação sem AWS DMS servidor. Dependendo do tipo de banco de dados, o esquema do segredo pode variar. Para obter mais informações, consulte Trabalhando com AWS DMS endpoints.

    Importante

    AWS DMS a instância de replicação e a replicação AWS DMS sem servidor não funcionam com segredos, gerenciados pelo Amazon RDS. Essas credenciais não incluem informações de host e porta, necessárias AWS DMS para estabelecer conexões.

  • A configuração de permissões do IAM para gerenciar o endpoint do DMS é necessária para alguns bancos de dados: Amazon S3, Amazon Kinesis, Amazon DynamoDB, Amazon Redshift, Amazon Service, Amazon Neptune e Amazon Timestream. OpenSearch Para obter mais informações, consulte Trabalhando com AWS DMS endpoints.

Crie um VPC endpoint para o Secrets Manager AWS

  1. Faça login no AWS Management Console e abra o console da Amazon VPC em. https://console.aws.amazon.com/vpc/

  2. Na barra de menu do console VPC, escolha a Região da AWS mesma da sua instância de AWS DMS replicação.

  3. No painel de navegação da VPC, escolha Endpoints.

  4. Em Endpoints, escolha Criar endpoint.

  5. Configure o VPC endpoint da seguinte forma:

    1. Selecione Tipo como AWS serviços.

    2. Na caixa de texto Nome do serviço, pesquise secretsmanager e selecione com.amazonaws. [região] .secretsmanager. Certifique-se de que o Tipo do serviço selecionado seja Interface.

    3. Em Configurações de rede, selecione a VPC que está sendo executada na mesma região da sua instância de replicação do DMS ou onde você criou a replicação sem servidor.

    4. Na seção Sub-redes, selecione as sub-redes desejadas nas quais você deseja que o DMS opere. Certifique-se de selecionar somente sub-redes privadas. Você pode identificar uma sub-rede privada com o ID da sub-rede. Por exemplo: vpc-xxxxxx-subnet-private1-us-west-2a.

      Se sua instância de replicação do DMS for criada sem acesso público, você deverá escolher as tabelas de rotas associadas às sub-redes privadas em que sua instância de replicação reside.

      nota

      Certifique-se de anotar as sub-redes privadas conforme necessário para fornecê-las ao criar um grupo de sub-redes de replicação do DMS. Para conectar o DMS ao gerenciador de AWS segredos usando os VPC endpoints, as sub-redes especificadas para o VPC endpoint devem ser iguais às sub-redes no grupo de sub-redes de replicação do DMS.

    5. Selecione os grupos de segurança desejados. As regras do grupo de segurança controlam o tráfego para a interface de rede do endpoint a partir dos recursos em sua VPC. Se você não especificar um grupo de segurança, o grupo de segurança padrão será selecionado.

  6. Selecione Acesso total em Política. Se você quiser usar uma política personalizada para especificar seu próprio controle de acesso, selecione Personalizado. Você pode usar uma política de confiança que esteja em conformidade com o documento de política JSON,. dms-vpc-role Para obter mais informações, consulte Como criar as funções do IAM para usar com AWS DMS.

  7. Selecione Criar endpoint.

    Você deve esperar até que o status se torneAvailable. Seu VPC endpoint agora tem um ID começando com. vpce-xxxx

Agora você criou com sucesso um VPC endpoint. Você deve configurar AWS DMS endpoints, grupos de sub-redes do DMS. Dependendo da opção de migração escolhida, configure a instância de replicação do DMS ou a replicação sem servidor.

Configure um endpoint da Amazon VPC com o Amazon S3

Você pode configurar um endpoint da Amazon VPC para trabalhar com o Amazon S3. AWS DMS Ao criar esse endpoint, você habilita instâncias de AWS DMS replicação ou configurações de replicação sem servidor em sub-redes privadas para acessar com segurança as credenciais do banco de dados armazenadas em buckets do S3 sem exigir acesso público à Internet.

Pré-requisitos

Antes de configurar um VPC endpoint com o Amazon S3 AWS DMS, você deve atender aos seguintes pré-requisitos:

  • Certifique-se de configurar todos osAWS DMS Pré-requisitos comuns.

  • Crie um bucket do Amazon S3 para usar como banco de dados de origem ou destino. AWS DMS Não habilite o controle de versão para o S3. Se o versionamento do S3 for necessário, utilize políticas de ciclo de vida para excluir ativamente as versões antigas. Caso contrário, você poderá encontrar falhas na conexão do teste de endpoint devido ao tempo limite de chamada de objetos de lista do S3.

  • Configure as permissões do IAM para gerenciar o endpoint Amazon S3 do DMS. Se você estiver usando o AWS DMS Console, a função do IAM com as permissões necessárias poderá ser criada se você tiver permissões para criar funções do IAM.

Criação de um endpoint da VPC para o Amazon S3

  1. Faça login no AWS Management Console e abra o console da Amazon VPC em. https://console.aws.amazon.com/vpc/

  2. Na barra de menu do console VPC, escolha a Região da AWS mesma da sua instância de AWS DMS replicação.

  3. No painel de navegação da VPC, escolha Endpoints.

  4. Em Endpoints, escolha Criar endpoint.

  5. Configure o VPC endpoint da seguinte forma:

    1. Selecione Tipo como AWS serviços.

    2. Na caixa de texto Nome do serviço, pesquise s3 e selecione com.amazonaws. [região] .s3. Certifique-se de que o Tipo do serviço selecionado seja Gateway. Você pode criar um endpoint VPC Gateway ao se conectar ao Amazon S3 e ao DynamoDB. Os endpoints de gateway não usam o AWS PrivateLink, ao contrário de outros tipos de endpoints da VPC.

    3. Em Configurações de rede, selecione a VPC que está sendo executada na mesma região da sua instância de replicação do DMS ou onde você criou a replicação sem servidor.

    4. Na seção Sub-redes, selecione as sub-redes desejadas nas quais você deseja que o DMS opere. Certifique-se de selecionar somente sub-redes privadas. Você pode identificar uma sub-rede privada com o ID da sub-rede. Por exemplo: vpc-xxxxxx-subnet-private1-us-west-2a.

      nota

      Se você criou sua instância de replicação do DMS sem acesso público, deverá escolher as tabelas de rotas associadas às sub-redes privadas que estão na mesma região da sua instância do DMS. Certifique-se de anotar as sub-redes privadas conforme necessário para fornecê-las ao criar um grupo de sub-redes de replicação do DMS. Para conectar o DMS ao Amazon S3 usando os endpoints VPC, as sub-redes especificadas para o VPC endpoint devem ser iguais às sub-redes no grupo de sub-redes de replicação do DMS.

  6. Selecione Acesso total em Política. Se você quiser usar uma política personalizada para especificar seu próprio controle de acesso, selecione Personalizado. Você pode usar uma política de confiança que esteja em conformidade com o documento de política JSON,. dms-vpc-role Para obter mais informações, consulte Como criar as funções do IAM para usar com AWS DMS.

  7. Selecione Criar endpoint.

    Você deve esperar até que o status se torneAvailable. Seu VPC endpoint agora tem um ID começando com. vpce-xxxx

Agora você criou com sucesso um VPC endpoint. Você deve configurar AWS DMS endpoints, grupos de sub-redes do DMS. Dependendo da opção de migração escolhida, configure a instância de replicação do DMS ou a replicação sem servidor.

Configurar um endpoint da Amazon VPC para o Amazon DynamoDB

Ao usar instâncias de AWS DMS replicação em sub-redes privadas ou replicação AWS DMS sem servidor, você deve criar um VPC endpoint para estabelecer conectividade segura com o Amazon DynamoDB. Sem uma configuração de VPC endpoint, AWS DMS enfrenta erros de conexão.

Ao criar o VPC endpoint, você deve selecionar o tipo de endpoint como gateway ou interface no console do DMS. Para obter mais informações, consulte:

Configurar um endpoint Amazon VPC para o Amazon Kinesis

Ao usar instâncias AWS DMS de replicação em sub-redes privadas ou replicação AWS DMS sem servidor, você deve criar um VPC endpoint para estabelecer conectividade segura com o Amazon Kinesis. Sem uma configuração de VPC endpoint, AWS DMS enfrenta erros de conexão. Para obter mais informações, consulte:

Configurar um endpoint da Amazon VPC para o Amazon Redshift

Ao usar instâncias AWS DMS de replicação em sub-redes privadas ou replicação AWS DMS sem servidor, você deve criar um VPC endpoint para estabelecer conectividade segura com o Amazon Redshift. Sem uma configuração de VPC endpoint, AWS DMS enfrenta erros de conexão. Para obter mais informações, consulte:

Configurar um endpoint Amazon VPC para o Amazon Service OpenSearch

Ao usar instâncias AWS DMS de replicação em sub-redes privadas ou replicação AWS DMS sem servidor, você deve criar um VPC endpoint para estabelecer conectividade segura com o Amazon Service. OpenSearch Sem uma configuração de VPC endpoint, AWS DMS enfrenta erros de conexão. Para obter mais informações, consulte:

Configure instâncias de replicação, grupos de sub-redes do DMS e endpoints do DMS

Você deve configurar os recursos de AWS DMS replicação depois de criar VPC endpoints. Você pode configurar grupos de sub-redes de replicação para isolamento de rede, instâncias de replicação ou replicações sem servidor para processamento e endpoints para conexão com bancos de dados de origem e destino para permitir a migração segura do banco de dados em sua VPC.

Configurar uma instância de AWS DMS replicação

Para configurar uma instância de replicação AWS DMS provisionada, você deve configurar grupos de sub-redes de replicação do DMS.

Crie grupos de sub-redes de replicação do DMS

  1. Faça login AWS Management Console e abra o console do DMS.

  2. No painel de navegação esquerdo, abra os grupos de sub-redes e selecione Criar grupo de sub-redes.

  3. Insira o nome e a descrição.

  4. No menu suspenso VPC, selecione a VPC que está sendo executada na mesma região em que você deseja criar sua instância de replicação do DMS.

  5. No menu suspenso Adicionar sub-redes, adicione as sub-redes privadas que você especificou ao criar seu VPC endpoint. Você pode identificar uma sub-rede privada com o ID da sub-rede. Por exemplo: vpc-xxxxxx-subnet-private1-us-west-2a.

  6. Clique em Criar grupo de sub-redes.

Criar instância de replicação do DMS (provisionada)

  1. Navegue até o AWS Management Console para criar uma instância de replicação. Para obter mais informações, consulte Criação de uma instância de replicação. Para saber mais sobre como escolher, dimensionar e configurar instâncias de replicação, consulte Como trabalhar com uma AWS DMS instância de replicação.

  2. Na seção Conectividade e segurança, selecione a VPC na nuvem privada virtual (VPC) IPv4 ou no modo de pilha dupla em que você deseja criar a instância de replicação. AWS DMS Para obter mais informações, consulte Como configurar uma rede para uma instância de replicação.

  3. No menu suspenso Grupo de sub-redes de replicação, escolha o grupo de sub-redes que você criou para sua instância de replicação.

    nota

    Certifique-se de que as sub-redes especificadas para o VPC endpoint sejam idênticas às sub-redes no grupo de sub-redes da instância de replicação do DMS. Você deve remover todas as sub-redes do seu grupo de sub-redes que não estejam associadas ao VPC endpoint.

  4. Desmarque a caixa de seleção Acessível ao público para desativar o acesso público.

  5. Na seção Configurações avançadas, no menu suspenso Grupos de segurança da VPC, selecione todos os grupos de sub-redes da VPC associados à sua instância de replicação. Esses grupos devem incluir o grupo de sub-redes que inclui as sub-redes que você especificou ao criar o VPC endpoint.

    Se você não especificar os grupos de sub-redes, o DMS escolherá o grupo de sub-redes de replicação padrão ou o criará se ele não existir. Para obter mais informações, consulte Configuração do grupo de segurança para AWS DMS.

  6. Conclua a configuração da instância de replicação e selecione Criar instância de replicação.

    Você deve esperar até que o status se torneAvailable.

Crie endpoints de AWS DMS origem e destino

  1. Faça login no console do DMS.

  2. Navegue até os AWS DMS endpoints e selecione Create endpoint.

  3. Crie e configure endpoints de origem e destino.

  4. No console do DMS, você pode escolher uma função do IAM existente ou criar uma nova função do IAM para acessar suas credenciais de banco de dados armazenadas no gerenciador de AWS segredos.

  5. Clique em Executar teste para testar a conexão do endpoint na sua instância de replicação do DMS. Sua instância de replicação deve ter Available status para executar o teste com ela.

  6. Selecione Criar endpoint.

Configurar uma replicação AWS DMS sem servidor

Para configurar uma replicação AWS DMS sem servidor, você deve configurar grupos de sub-redes de replicação do DMS.

Crie endpoints de AWS DMS origem e destino

  1. Faça login no console do DMS.

  2. Navegue até os AWS DMS endpoints e selecione Create endpoint.

  3. Crie e configure endpoints de origem e destino.

  4. No console do DMS, você pode escolher uma função do IAM existente ou criar uma nova função do IAM para acessar suas credenciais de banco de dados armazenadas no gerenciador de AWS segredos.

    nota

    Para replicação AWS DMS sem servidor, você não pode testar a conexão para o endpoint do DMS nem usar a API. TestConnection O teste de conexão é realizado durante a execução da replicação sem servidor entre a instância do DMS e seus bancos de dados. source/target Para obter mais informações, consulte AWS DMS Componentes sem servidor.

  5. Selecione Criar endpoint.

Crie grupos de sub-redes de replicação do DMS

  1. Faça login AWS Management Console e abra o console do DMS.

  2. No painel de navegação esquerdo, abra os grupos de sub-redes e selecione Criar grupo de sub-redes.

  3. Insira o nome e a descrição.

  4. No menu suspenso VPC, selecione a VPC que está sendo executada na mesma região da sua instância sem servidor do DMS.

  5. No menu suspenso Adicionar sub-redes, adicione as sub-redes privadas que você especificou ao criar seu VPC endpoint. Você pode identificar uma sub-rede privada com o ID da sub-rede. Por exemplo: vpc-xxxxxx-subnet-private1-us-west-2a.

  6. Clique em Criar grupo de sub-redes.

Crie replicação sem servidor do DMS

  1. Navegue até o console do DMS para criar uma instância sem servidor. Para obter mais informações, consulte Criação de uma replicação sem servidor. Para saber mais sobre como escolher, dimensionar e configurar instâncias sem servidor, consulte Como trabalhar com instâncias sem servidor. AWS DMS

  2. Na seção Conectividade e segurança, selecione a VPC no menu suspenso Virtual Private Cloud (VPC) em que você deseja criar a instância sem servidor. AWS DMS Para obter mais informações, consulte Como configurar uma rede para uma instância de replicação.

  3. No menu suspenso Grupo de sub-redes, escolha o grupo de sub-redes que você criou para sua instância sem servidor.

    nota

    Certifique-se de que as sub-redes especificadas para o VPC endpoint sejam idênticas às sub-redes no grupo de sub-redes de instâncias sem servidor do DMS. Você deve remover todas as sub-redes do seu grupo de sub-redes que não estejam associadas à sua instância sem servidor.

  4. Selecione a zona de disponibilidade.

  5. No menu suspenso Unidades de capacidade máxima de DMS (DCU), selecione a capacidade DCU desejada.

  6. Selecione Criar tarefa. Isso cria uma configuração de replicação sem servidor do DMS que aparece na lista de tarefas com o status. Start required

  7. Para iniciar a replicação sem servidor, escolha sua tarefa e selecione Iniciar no menu Ações.

Quem é afetado ao migrar para as AWS DMS versões 3.4.7 e superiores?

Você será afetado se estiver usando um ou mais dos endpoints listados anteriormente, e esses AWS DMS endpoints não forem roteáveis publicamente ou se não tiverem endpoints de VPC já associados a eles.

Quem não é afetado ao migrar para as AWS DMS versões 3.4.7 e superiores?

Você não será afetado se:

  • Você não está usando um ou mais dos AWS DMS endpoints listados anteriormente.

  • Você está usando qualquer um dos endpoints listados anteriormente e eles podem ser roteados publicamente.

  • Você está utilizando qualquer um dos endpoints listados anteriormente e eles tiverem endpoints da VPC associados a eles.

Preparando uma migração para as versões 3.4.7 e superiores do AWS DMS

Para evitar falhas AWS nas tarefas do DMS ao usar qualquer um dos endpoints descritos anteriormente, siga uma das etapas a seguir antes de atualizar o AWS DMS para a versão 3.4.7 ou superior:

  • Torne os endpoints do AWS DMS afetados publicamente roteáveis. Por exemplo, adicione uma rota de Internet Gateway (IGW) a qualquer VPC já usada pela AWS sua instância de replicação do DMS para tornar todos os endpoints de origem e destino roteáveis publicamente.

  • Crie endpoints da VPC para acessar todos os endpoints de origem e de destino utilizados pelo AWS DMS, conforme descrito a seguir.

Para todos os endpoints de VPC existentes que você usa para seus endpoints de origem e destino do AWS DMS, certifique-se de que eles usem uma política de confiança que esteja em conformidade com o documento de política XML,. dms-vpc-role Para obter mais informações sobre o documento da política XML, consulte Criação das funções do IAM para usar com AWS DMS.

Caso contrário, configure as instâncias de replicação como endpoints da VPC adicionando um endpoint da VPC à VPC que os contém. Se você configurou suas instâncias de replicação sem endpoints públicos, adicionar um endpoint de VPC acessível ao público à VPC que contém suas instâncias de replicação as torna acessíveis publicamente. Não é necessário fazer mais nada para associar especificamente as instâncias de replicação ao endpoint da VPC.

nota

Serviços diferentes podem ter configurações exclusivas do endpoint da VPC. Por exemplo, ao utilizar o AWS Secrets Manager, normalmente não é necessário ajustar a tabela de roteamento. Sempre verifique os requisitos específicos de cada serviço.

Para obter mais informações sobre como configurar VPC endpoints para AWS uma instância de replicação do DMS, consulte. Configurações de rede para migração de banco de dados Para obter mais informações sobre a criação de endpoints VPC de interface para acessar AWS serviços em geral, consulte Acessar um AWS serviço usando um endpoint VPC de interface no Guia.AWS PrivateLink Para obter informações sobre a disponibilidade regional do AWS DMS para VPC endpoints, consulte AWS a Tabela de regiões.