受限複寫的架構元件和需求

本節提供最嚴格案例的詳細說明，其中所有通訊只會透過私有頻道進行，並包含針對每個區域所建置之需求和對應元件的詳細說明。

預備子網路

預備子網路是複寫基礎設施中最重要的部分。這是所有 Application Migration Service 複寫伺服器將啟動的位置，其中包含複寫流量將導向的 IP 地址。對於傳入私有資料複寫，請使用使用私有 IP 選項來設定 Application Migration Service 的複寫伺服器設定。

對於傳出需求，您可以使用建立公有 IP 選項，選擇複寫伺服器將透過私有或公有 IP 與所需 AWS 服務 (Amazon S3、Application Migration Service、Amazon EC2) 通訊。提供傳出網際網路連線的標準選項會列在 Application Migration Service 文件中：具有網際網路閘道的公有 IP 地址，或具有 NAT 閘道的私有 IP 地址。這兩個選項都可讓您實作簡化的混合式案例，其中資料複寫流量會透過私有連線 (AWS VPN 或 AWS Direct Connect)，而複寫伺服器會透過公有網路與 AWS 服務通訊。 

不過，在封閉的公司環境中通常禁止具有公有對外連線，這是下一節討論的最嚴格情況。在此情況下，您可以在複寫伺服器的預備子網路中使用 AWS PrivateLink 和設定下列 VPC 端點：

• 要與 Amazon S3 通訊的 VPC 閘道端點

• 要與 Application Migration Service 和 Amazon EC2 通訊的 VPC 介面端點

若要進一步了解 VPC 端點，請參閱 AWS PrivateLink 文件。

來源子網路

來源子網路是您複寫的任何子網路。這是來源伺服器所在的位置，而您將在這些伺服器上安裝 AWS 複寫代理程式。代理程式的網路需求包括：

• 透過 HTTPS/TCP 連接埠 443 與 AWS 服務 Amazon S3 和 Application Migration Service 通訊

• 與複寫伺服器的 IP 地址通訊 （私有或公有，根據其設定） 

代理程式也支援混合式案例，其中在透過私有網路將複寫資料傳送至複寫伺服器的私有 IP 時， AWS 服務 可以透過公有網路 （使用標準 HTTPS 流量） 與 通訊。

本指南著重於更嚴格的案例，其中即使來源系統不允許 HTTPS 流量傳入 AWS 服務 ，因此在預備子網路中設定下列端點：

• Application Migration Service 和 Amazon S3 的 VPC 介面端點 （區域介面端點，而不是複寫伺服器所需的閘道端點）

• 傳入 DNS 解析程式端點，允許內部部署來源和 DNS 伺服器解析位於預備子網路中的 VPC 端點的私有 IP 地址

目標子網路

目標子網路是您計劃啟動伺服器的任何子網路，包括測試和切換執行個體。這些子網路完全不需要網路連線，並且可以位於相同 AWS 帳戶 和 區域中的任何其他 VPC。這是因為 Application Migration Service 使用 Amazon EC2 APIs 來建立新的測試或切換執行個體 （這就是為什麼預備子網路中的複寫伺服器需要傳出 HTTPS 連線至 Amazon EC2)，並存取從複寫 EBS 磁碟區建立的區域 S3 快照。這些操作都不需要直接存取目標子網路或從目標子網路存取網路，因此這甚至可能是完全隔離的私有子網路。

不過，Application Migration Service 也會自動在目標執行個體上安裝數種工具，例如 EC2Config 或 AWS Systems Manager Agents (SSM Agents)，而且這些活動需要從目標執行個體和子網路傳出 HTTPS/TCP 連接埠 443 連線。