Componentes de arquitetura e requisitos para replicação restrita - AWS Orientação prescritiva
Estagiando a sub-redeSub-rede de origemSub-rede de destino

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Componentes de arquitetura e requisitos para replicação restrita

Esta seção fornece uma descrição detalhada do cenário mais restritivo, em que toda a comunicação ocorre somente pelo canal privado, e inclui uma explicação detalhada dos requisitos e dos componentes correspondentes a serem criados para cada área.

Estagiando a sub-rede

A sub-rede de teste é a parte mais importante da infraestrutura de replicação. É aqui que todos os servidores de replicação do Application Migration Service serão iniciados e ele contém os endereços IP para os quais o tráfego de replicação será direcionado. Para replicação de dados privados de entrada, defina as configurações do servidor de replicação para o Serviço de Migração de Aplicativos com a opção Usar IP privado.

Para requisitos de saída, você pode usar a opção Criar IP público para escolher se os servidores de replicação se comunicarão com os AWS serviços necessários (Amazon S3, Application Migration Service, EC2 Amazon) por IP público ou privado. As opções padrão para fornecer conectividade de saída à Internet estão listadas na documentação do Serviço de Migração de Aplicativos: um endereço IP público com um gateway de Internet ou um endereço IP privado com um gateway NAT. Ambas as opções permitem que você implemente um cenário híbrido simplificado no qual o tráfego de replicação de dados passa por uma conexão privada (AWS VPN ou AWS Direct Connect) enquanto os servidores de replicação se comunicam com AWS os serviços pela rede pública. 

No entanto, ter conectividade externa pública geralmente é proibido em ambientes corporativos fechados, e esse é o cenário mais restritivo discutido na próxima seção. Nesse caso, você usa AWS PrivateLink e configura os seguintes VPC endpoints para preparar sub-redes para servidores de replicação:

  • Endpoint do gateway VPC para comunicação com o Amazon S3

  • Endpoints da interface VPC para comunicação com o Application Migration Service e a Amazon EC2

Para saber mais sobre os VPC endpoints, consulte a documentação. AWS PrivateLink

Sub-rede de origem

A sub-rede de origem é qualquer sub-rede da qual você está replicando. É aqui que seus servidores de origem estão localizados e onde você instalará o Agente de AWS Replicação nesses servidores. Os requisitos de rede para um agente incluem:

  • Comunicação pela porta HTTPS/TCP 443 com Serviços da AWS Amazon S3 e Application Migration Service

  • Comunicação com o endereço IP do servidor de replicação (privado ou público, com base em suas configurações) 

O Agente também oferece suporte a cenários híbridos em que a comunicação com Serviços da AWS pode ocorrer pela rede pública (usando tráfego HTTPS padrão) enquanto os dados de replicação são enviados por redes privadas para o IP privado do servidor de replicação.

Este guia se concentra em um cenário mais restritivo em que até mesmo o tráfego HTTPS Serviços da AWS não é permitido nos sistemas de origem, portanto, os seguintes endpoints são configurados na sub-rede de teste:

  • Endpoints de interface VPC para Application Migration Service e Amazon S3 (endpoint de interface regional, não o endpoint de gateway necessário para servidores de replicação)

  • Um endpoint resolvedor de DNS de entrada, para permitir que fontes locais e servidores DNS resolvam endereços IP privados para endpoints VPC, localizados na sub-rede de teste

Sub-rede de destino

A sub-rede de destino é qualquer sub-rede na qual você planeja lançar seus servidores, incluindo instâncias de teste e substituição. Essas sub-redes não têm nenhum requisito de conectividade de rede e podem estar localizadas em qualquer outra VPC na mesma região. Conta da AWS Isso ocorre porque o Application Migration Service usa EC2 APIs a Amazon para criar novas instâncias de teste ou transferência (e é por isso que os servidores de replicação na sub-rede de teste exigem conectividade HTTPS de saída com a EC2 Amazon) e acessa snapshots regionais do S3 criados a partir de volumes replicados do EBS. Nenhuma dessas operações exige acesso direto à rede de ou para a sub-rede de destino, então essa pode até ser uma sub-rede privada completamente isolada.

No entanto, o Application Migration Service também instala automaticamente várias ferramentas, como EC2 Config AWS Systems Manager ou Agents (SSM Agents) nas instâncias de destino, e essas atividades exigem conectividade de saída da porta HTTPS/TCP 443 das instâncias e sub-redes de destino.