本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 的 VPC 端點 AWS DMS
AWS DMS 支援 Amazon Virtual Private Cloud (VPC) 端點做為來源和目標。 AWS DMS 可以使用 Amazon VPC 端點連線到任何來源 AWS 或目標資料庫,只要這些來源和目標資料庫的明確定義路由在其 VPC 中 AWS DMS 定義即可。
透過支援 Amazon VPC 端點, AWS DMS 可讓您更輕鬆地維護end-to-end網路安全,而無需額外的聯網組態和設定。針對所有來源和目標端點使用 VPC 端點,可確保所有流量都留在 VPC 內並在您的控制之中。
對於在私有子網路或無 AWS DMS 伺服器 AWS DMS 複寫中建立的複寫執行個體,若要連線到 AWS 受管資料庫,必須設定 Amazon VPC 端點:
-
Amazon S3
-
Amazon DynamoDB
-
Amazon Kinesis
-
Amazon Redshift
-
Amazon OpenSearch Service
如果您使用 AWS Secrets Manager 存放連線憑證以供 DMS 使用,則還需要設定 VPC 端點。
從 3.4.7 AWS DMS 版開始,使用私有網路時,需要在 DMS 複寫執行個體或無伺服器複寫與上述 Amazon 服務之間建立連線。
常見 AWS DMS 先決條件
設定 VPC 端點之前,您必須符合下列先決條件:
-
找到或建立要與 AWS DMS 複寫執行個體或 AWS DMS 無伺服器複寫搭配使用的 VPC。如果您未提供此資訊,DMS 會嘗試在其設定所在的區域中使用預設 VPC。
-
確保您具有建立 VPC 端點的 IAM 許可。若要連線至 Amazon S3 和 Amazon DynamoDB,您可以建立閘道 VPC 端點以提供可靠的連線,而不需要網際網路閘道或 VPC 的 NAT 裝置。與其他類型的 VPC 端點不同,閘道端點不會使用 AWS PrivateLink。如需詳細資訊,請參閱 AWS PrivateLink 指南中的閘道端點。
-
設定 IAM 許可以使用 DMS:
-
設定
dms-vpc-role角色。如需詳細資訊,請參閱 AWS 受管政策:AmazonDMSVPCManagementRole。 -
設定
dms-cloudwatch-logs-role角色。如需詳細資訊,請參閱 AWS 受管政策:AmazonDMSCloudWatchLogsRole。 -
AWS DMS Serverless 需要服務連結角色 (SLR) 存在於您的帳戶中。 AWS DMS 會管理此角色的建立和使用。如需確保您擁有必要 SLR 的詳細資訊,請參閱 AWS DMS Serverless 的服務連結角色。當您建立複寫時, AWS DMS Serverless 會以程式設計方式建立 Serverless 服務連結角色。您可以在 IAM 主控台中檢視此角色。
-
使用 AWS Secrets Manager 設定 Amazon VPC 端點
您可以為 AWS Secrets Manager 設定要使用的 Amazon VPC 端點 AWS DMS。透過建立此端點,您可以啟用私有子網路中的 AWS DMS 複寫執行個體或無伺服器複寫組態,安全地存取存放在 Secrets Manager 中的資料庫憑證,而不需要公有網際網路存取。
先決條件
在 中使用 AWS Secrets Manager 設定 VPC 端點之前 AWS DMS,您必須符合下列先決條件:
-
請務必設定所有 常見 AWS DMS 先決條件。
-
使用登入資料在 AWS Secrets Manager 中建立秘密,以存取來源和目標資料庫。秘密必須位於與 AWS DMS 複寫執行個體或無 AWS DMS 伺服器複寫相同的區域。根據資料庫類型,秘密的結構描述可能會有所不同。如需詳細資訊,請參閱使用 AWS DMS 端點。
重要
AWS DMS 複寫執行個體和無 AWS DMS 伺服器複寫不適用於由 Amazon RDS 管理的秘密。這些登入資料不包含 AWS DMS 建立連線所需的主機和連接埠資訊。
-
某些資料庫需要設定 IAM 許可來管理 DMS 端點:Amazon S3、Amazon Kinesis、Amazon DynamoDB、Amazon Redshift、Amazon OpenSearch Service、Amazon Neptune 和 Amazon Timestream。如需詳細資訊,請參閱使用 AWS DMS 端點。
建立 AWS Secrets Manager 的 VPC 端點
登入 AWS Management Console ,並在 https://console.aws.amazon.com/vpc/
:// 開啟 Amazon VPC 主控台。 -
在 VPC 主控台選單列上,選擇與 AWS DMS 複寫執行個體 AWS 區域 相同的 。
-
在 VPC 導覽窗格中選擇端點。
-
在端點中選擇建立端點。
-
設定 VPC 端點,如下所示:
-
選取類型即AWS 服務。
-
在服務名稱文字方塊中,搜尋
secretsmanager並選取 com.amazonaws.【region】.secretsmanager。請確定所選服務的類型為介面。 -
在網路設定下,選取在與 DMS 複寫執行個體相同區域中執行或您建立無伺服器複寫的 VPC。
-
在子網路區段中,選取您希望 DMS 操作的所需子網路。請確定您只選取私有子網路。您可以使用子網路 ID 來識別私有子網路。例如:
vpc-xxxxxx-subnet-private1-us-west-2a。如果您的 DMS 複寫執行個體是在未公開存取的情況下建立,您必須選擇與複寫執行個體所在的私有子網路相關聯的路由表。
注意
請務必記下私有子網路,因為您在建立 DMS 複寫子網路群組時必須提供它們。若要使用 VPC 端點連接 DMS 與 AWS Secrets Manager,為 VPC 端點指定的子網路必須與 DMS 複寫子網路群組中的子網路相同。
-
選取所需的安全群組。安全群組規則會從 VPC 中的資源控制端點網路界面的流量。如果您未指定安全群組,則會選取預設安全群組。
-
-
在政策下選取完整存取。如果您想要使用自訂政策來指定自己的存取控制,請選取自訂。您可以使用符合 JSON 政策文件 的信任政策
dms-vpc-role。如需詳細資訊,請參閱建立要與 搭配使用的 IAM 角色 AWS DMS。 -
選取建立端點。
您必須等到狀態變成
Available。您的 VPC 端點現在具有以 開頭的 IDvpce-xxxx。
您現在已成功建立 VPC 端點。您必須設定 AWS DMS 端點、DMS 子網路群組。根據您選擇的遷移選項,設定 DMS 複寫執行個體或無伺服器複寫。
使用 Amazon S3 設定 Amazon VPC 端點
您可以設定 Amazon VPC 端點,讓 Amazon S3 使用 AWS DMS。透過建立此端點,您可以啟用私有子網路中的 AWS DMS 複寫執行個體或無伺服器複寫組態,安全地存取存放在 S3 儲存貯體中的資料庫憑證,而不需要公有網際網路存取。
先決條件
在 中使用 Amazon S3 設定 VPC 端點之前 AWS DMS,您必須符合下列先決條件:
-
請務必設定所有 常見 AWS DMS 先決條件。
-
建立 Amazon S3 儲存貯體以用作來源或目標資料庫 AWS DMS。請勿啟用 S3 的版本控制。如果您需要 S3 版本控制,請使用生命週期政策以主動刪除舊版本。否則,您可能會因為 S3 清單物件呼叫逾時而遇到端點測試連線失敗。
-
設定 IAM 許可以管理 DMS Amazon S3 端點。如果您使用的是 AWS DMS 主控台,則如果您具有建立 IAM 角色的許可,則可以建立具有必要許可的 IAM 角色。
為 Amazon S3 建立 VPC 端點
登入 AWS Management Console ,並在 https://console.aws.amazon.com/vpc/
:// 開啟 Amazon VPC 主控台。 -
在 VPC 主控台選單列上,選擇與 AWS DMS 複寫執行個體 AWS 區域 相同的 。
-
在 VPC 導覽窗格中選擇端點。
-
在端點中選擇建立端點。
-
設定 VPC 端點,如下所示:
-
選取類型即AWS 服務。
-
在服務名稱文字方塊中,搜尋
s3並選取 com.amazonaws.【region】.s3。請確定所選服務的類型為 Gateway。您可以在連線至 Amazon S3 和 DynamoDB 時建立閘道 VPC 端點。與其他類型的 VPC 端點不同,閘道端點不會使用 AWS PrivateLink。 -
在網路設定下,選取在與 DMS 複寫執行個體相同區域中執行或您建立無伺服器複寫的 VPC。
-
在子網路區段中,選取您希望 DMS 操作的所需子網路。請確定您只選取私有子網路。您可以使用子網路 ID 來識別私有子網路。例如:
vpc-xxxxxx-subnet-private1-us-west-2a。注意
如果您已在沒有公有存取權的情況下建立 DMS 複寫執行個體,則必須選擇與 DMS 執行個體位於相同區域中的私有子網路相關聯的路由表。請務必記下私有子網路,因為您在建立 DMS 複寫子網路群組時必須提供它們。若要使用 VPC 端點連接 DMS 與 Amazon S3,為 VPC 端點指定的子網路必須與 DMS 複寫子網路群組中的子網路相同。
-
-
在政策下選取完整存取。如果您想要使用自訂政策來指定自己的存取控制,請選取自訂。您可以使用符合 JSON 政策文件 的信任政策
dms-vpc-role。如需詳細資訊,請參閱建立要與 搭配使用的 IAM 角色 AWS DMS。 -
選取建立端點。
您必須等到狀態變成
Available。您的 VPC 端點現在具有以 開頭的 IDvpce-xxxx。
您現在已成功建立 VPC 端點。您必須設定 AWS DMS 端點、DMS 子網路群組。根據您選擇的遷移選項,設定 DMS 複寫執行個體或無伺服器複寫。
設定 Amazon DynamoDB 的 Amazon VPC 端點
在私有子網路或無 AWS DMS 伺服器複寫中使用 AWS DMS 複寫執行個體時,您必須建立 VPC 端點,以與 Amazon DynamoDB 建立安全連線。如果沒有 VPC 端點組態, 會 AWS DMS 面對連線錯誤。
建立 VPC 端點時,您必須在 DMS 主控台中選取端點類型做為閘道或界面。如需詳細資訊,請參閱:
設定 Amazon Kinesis 的 Amazon VPC 端點
在私有子網路或無 AWS DMS 伺服器 AWS DMS 複寫中使用複寫執行個體時,您必須建立 VPC 端點,以與 Amazon Kinesis 建立安全連線。如果沒有 VPC 端點組態, 會 AWS DMS 面對連線錯誤。如需詳細資訊,請參閱:
設定 Amazon Redshift 的 Amazon VPC 端點
在私有子網路或無 AWS DMS 伺服器複寫中使用 AWS DMS 複寫執行個體時,您必須建立 VPC 端點,以與 Amazon Redshift 建立安全連線。如果沒有 VPC 端點組態, 會 AWS DMS 面對連線錯誤。如需詳細資訊,請參閱:
設定 Amazon OpenSearch Service 的 Amazon VPC 端點
在私有子網路或無 AWS DMS 伺服器複寫中使用 AWS DMS 複寫執行個體時,您必須建立 VPC 端點,以與 Amazon OpenSearch Service 建立安全連線。如果沒有 VPC 端點組態, 會 AWS DMS 面對連線錯誤。如需詳細資訊,請參閱:
設定複寫執行個體、DMS 子網路群組和 DMS 端點
您必須在建立 VPC 端點後設定 AWS DMS 複寫資源。您可以設定用於網路隔離的複寫子網路群組、用於處理的複寫執行個體或無伺服器複寫,以及用於連線至來源和目標資料庫的端點,以在 VPC 內啟用安全的資料庫遷移。
設定 AWS DMS 複寫執行個體
若要設定 AWS DMS 佈建的複寫執行個體,您必須設定 DMS 複寫子網路群組。
建立 DMS 複寫子網路群組
-
登入 AWS Management Console 並開啟 DMS 主控台。
-
從左側導覽窗格中,開啟至子網路群組,然後選取建立子網路群組。
-
輸入名稱和描述。
-
從 VPC 下拉式功能表中,選取在您要建立 DMS 複寫執行個體的相同區域中執行的 VPC。
-
從新增子網路下拉式功能表中,新增您在建立 VPC 端點時指定的私有子網路。您可以使用子網路 ID 來識別私有子網路。例如:
vpc-xxxxxx-subnet-private1-us-west-2a。 -
按一下建立子網路群組。
建立 DMS 複寫執行個體 (佈建)
-
導覽至 AWS Management Console 以建立複寫執行個體。如需詳細資訊,請參閱建立複寫執行個體。若要進一步了解複寫執行個體的選擇、調整大小和設定,請參閱使用 AWS DMS 複寫執行個體。
-
在連線和安全性區段中,從要建立複寫執行個體的 IPv4 或雙堆疊模式的虛擬私有雲端 (VPC) 中選取 VPC。 AWS DMS 如需詳細資訊,請參閱設定複寫執行個體的網路。
-
從複寫子網路群組下拉式功能表中,選擇您為複寫執行個體建立的子網路群組。
注意
確保為 VPC 端點指定的子網路與 DMS 複寫執行個體子網路群組中的子網路相同。您必須從子網路群組移除任何未與 VPC 端點相關聯的子網路。
-
取消勾選可公開存取核取方塊以停用公開存取。
-
在進階設定區段的 VPC 安全群組下拉式功能表中,選取與複寫執行個體相關聯的所有 VPC 子網路群組。這些群組必須包含子網路群組,其中包含您在建立 VPC 端點時指定的子網路。
如果您未指定子網路群組,DMS 會選擇預設的複寫子網路群組,或在不存在時建立子網路群組。如需詳細資訊,請參閱 的安全群組組態 AWS DMS。
-
完成複寫執行個體組態,然後選取建立複寫執行個體。
您必須等到狀態變成
Available。
建立 AWS DMS 來源和目標端點
設定無 AWS DMS 伺服器複寫
若要設定無 AWS DMS 伺服器複寫,您必須設定 DMS 複寫子網路群組。
建立 AWS DMS 來源和目標端點
-
登入 DMS 主控台。
-
導覽至AWS DMS 端點,然後選取建立端點。
-
在 DMS 主控台中,您可以選擇現有的 IAM 角色,或建立新的 IAM 角色,以存取 AWS Secrets Manager 中存放的資料庫登入資料。
注意
對於無 AWS DMS 伺服器複寫,您無法測試 DMS 端點的連線或使用
TestConnectionAPI。連線測試會在 DMS 執行個體和來源/目標資料庫之間的無伺服器複寫啟動期間執行。如需詳細資訊,請參閱AWS DMS 無伺服器元件。 -
選取建立端點。
建立 DMS 複寫子網路群組
-
登入 AWS Management Console 並開啟 DMS 主控台。
-
從左側導覽窗格中,開啟至子網路群組,然後選取建立子網路群組。
-
輸入名稱和描述。
-
從 VPC 下拉式選單中,選取與 DMS 無伺服器執行個體在相同區域中執行的 VPC。
-
從新增子網路下拉式功能表中,新增您在建立 VPC 端點時指定的私有子網路。您可以使用子網路 ID 來識別私有子網路。例如:
vpc-xxxxxx-subnet-private1-us-west-2a。 -
按一下建立子網路群組。
建立 DMS 無伺服器複寫
-
導覽至 DMS 主控台以建立無伺服器執行個體。如需詳細資訊,請參閱建立無伺服器複寫。若要進一步了解選擇、調整大小和設定無伺服器執行個體,請參閱使用無 AWS DMS 伺服器。
-
在連線和安全性區段中,從要建立無 AWS DMS 伺服器執行個體的虛擬私有雲端 (VPC) 下拉式功能表中選取 VPC。如需詳細資訊,請參閱設定複寫執行個體的網路。
-
從子網路群組下拉式功能表中,選擇您為無伺服器執行個體建立的子網路群組。
注意
確保為 VPC 端點指定的子網路與 DMS 無伺服器執行個體子網路群組中的子網路相同。您必須從子網路群組中移除任何未與無伺服器執行個體相關聯的子網路。
-
選取可用區域。
-
從最大 DMS 容量單位 (DCU) 下拉式功能表中,選取所需的 DCU 容量。
-
選取建立任務。這會建立 DMS 無伺服器複寫組態,此組態會出現在狀態為 的任務清單中
Start required。 -
若要開始無伺服器複寫,請選擇您的任務,然後從動作功能表中選取開始。
遷移至 3.4.7 版和更新 AWS DMS 版本時,誰會受到影響?
如果您使用的是先前列出的 AWS DMS 一或多個端點,且這些端點無法公開路由,或沒有與其相關聯的 VPC 端點,則會受到影響。
遷移至 3.4.7 版和更新 AWS DMS 版本時,誰不會受到影響?
在下列情況下,您不會受影響:
您未使用先前列出的一或多個 AWS DMS 端點。
您正在使用任何先前列出的端點,它們是可公開路由的。
您正在使用任何先前列出的端點,並且這些端點具有與其相關聯的 VPC 端點。
準備遷移至 AWS DMS 3.4.7 版和更新版本
若要在使用上述任何端點時防止 DMS AWS 任務失敗,請在將 AWS DMS 升級到 3.4.7 版或更新版本之前採取下列其中一個步驟:
-
將受影響的 AWS DMS 端點設為可公開路由。例如,將網際網路閘道 (IGW) AWS 路由新增至 DMS 複寫執行個體已使用的任何 VPC,使其所有來源和目標端點可公開路由。
-
如下所述,建立 VPC 端點以存取 AWS DMS 使用的所有來源和目標端點。
對於您用於 DMS AWS 來源和目標端點的任何現有 VPC 端點,請確保它們使用符合 XML 政策文件 的信任政策dms-vpc-role。如需此 XML 政策文件的詳細資訊,請參閱建立要與 搭配使用的 IAM 角色 AWS DMS。
否則,請將複寫執行個體設為 VPC 端點,方法是將 VPC 端點新增至包含這些端點的 VPC 端點。如果您在沒有公有端點的情況下設定複寫執行個體,請將可公開存取的 VPC 端點新增至包含複寫執行個體的 VPC,讓它們可公開存取。您無須進一步操作,即可將複寫執行個體與 VPC 端點建立關聯。
注意
不同的服務可能具有唯一的 VPC 端點組態。例如,使用 AWS Secrets Manager時,通常不需要調整路由表。請務必檢查每項服務的特定需求。
如需為 DMS 複寫執行個體設定 VPC AWS 端點的詳細資訊,請參閱 資料庫遷移的網路組態。如需建立介面 VPC 端點以一般存取 AWS 服務的詳細資訊,請參閱《 AWS PrivateLink 指南》中的使用介面 VPC 端點存取 AWS 服務。如需 VPC 端點的 AWS DMS 區域可用性資訊,請參閱AWS 區域表
