受限复制的架构组件和要求

本节详细描述了最严格的场景，即所有通信仅通过私人渠道进行，并详细说明了每个区域的要求和要构建的相应组件。

暂存子网

暂存子网是复制基础架构中最重要的部分。这是启动所有应用程序迁移服务复制服务器的地方，它包含复制流量将定向到的 IP 地址。对于入站私有数据复制，请使用 “使用私有 IP” 选项配置应用程序迁移服务的复制服务器设置。

对于出站要求，您可以使用创建公有 IP 选项来选择复制服务器是通过私有还是公有 IP 与所需 AWS 服务（Amazon S3、应用程序迁移服务、Amazon EC2）通信。应用程序迁移服务文档中列出了提供出站 Internet 连接的标准选项：带互联网网关的公有 IP 地址或带有 NAT 网关的私有 IP 地址。这两个选项都允许您实现简化的混合场景，在这种场景中，数据复制流量通过专用连接（AWS VPN 或 AWS Direct Connect）传输，而复制服务器则通过公共网络与 AWS 服务通信。 

但是，在封闭的企业环境中，通常禁止使用公共出站连接，这是下一节中讨论的最严格的情况。在这种情况下，您可以在复制服务器的暂存子网中使用 AWS PrivateLink 和配置以下 VPC 终端节点：

• 用于与 Amazon S3 通信的 VPC 网关终端节点

• 用于与应用程序迁移服务和 Amazon 通信的 VPC 接口终端节点 EC2

要了解有关 VPC 终端节点的更多信息，请参阅AWS PrivateLink文档。

源子网

源子网是您要从中复制的任何子网。这是您的源服务器所在的位置，也是在这些服务器上安装 AWS Replication Agent 的地方。代理的网络要求包括：

• 通过 HTTPS/TCP 端口 443 与 AWS 服务 Amazon S3 和应用程序迁移服务等进行通信

• 与复制服务器的 IP 地址（私有或公用，视其设置而定）通信 

代理还支持混合方案，在这种场景中， AWS 服务 可以通过公共网络（使用标准 HTTPS 流量）进行通信，而复制数据则通过专用网络发送到复制服务器的私有 IP。

本指南重点介绍一种限制性更强的场景，即便是 HTTPS 流量 AWS 服务 也不允许来自源系统，因此在暂存子网中配置了以下端点：

• 应用程序迁移服务和 Amazon S3 的 VPC 接口终端节点（区域接口终端节点，不是复制服务器所需的网关终端节点）

• 入站 DNS 解析器终端节点，允许本地源和 DNS 服务器解析位于暂存子网中的 VPC 终端节点的私有 IP 地址

目标子网

目标子网是您计划将服务器启动到的任何子网，包括测试和转换实例。这些子网完全没有网络连接要求，可以位于同一 AWS 账户 地区的任何其他 VPC 中。这是因为应用程序迁移服务使用 Amazon EC2 APIs 创建新的测试或直接转换实例（这就是暂存子网中的复制服务器需要与 Amazon 的出站 HTTPS 连接的原因 EC2），并访问从复制的 EBS 卷创建的区域 S3 快照。这些操作都不需要直接访问目标子网或从目标子网访问网络，因此这甚至可能是一个完全隔离的私有子网。

但是，应用程序迁移服务还会在目标实例上自动安装 C EC2 onfig 或 AWS Systems Manager 代理（SSM 代理）等多种工具，这些活动需要目标实例和子网的出站 HTTPS/TCP 端口 443 连接。