Amazon DMS 的网络访问控制列表(NACL)配置 - Amazon Database Migration Service
验证 NACL 规则
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon DMS 的网络访问控制列表(NACL)配置

使用 Amazon RDS 作为复制源时,您应该更新 DMS 和 RDS 实例的网络访问控制列表(NACL)。确保 NACL 与这些实例所在的子网关联。这允许特定数据库端口上的入站和出站流量。

要更新网络访问控制列表,您必须执行以下步骤:

注意

如果您的 DMS 和 RDS 实例位于同一个子网中,则只需更新该子网的 NACL 即可。

确定相关的 NACL

  1. 导航到 Amazon VPC 控制台

  2. 在左侧导航菜单的安全部分中选择网络 ACL

  3. 选择与您的 DMS 和 RDS 实例所在的子网关联的相关 NACL。

更新 DMS 实例子网的 NACL

  1. 确定与您 DMS 实例的子网关联的 NACL。为此,您可以在 Amazon VPC 控制台中浏览子网,找到 DMS 子网,并记下关联的 NACL ID。

  2. 编辑入站规则:

    1. 单击所选 NACL 的入站规则选项卡。

    2. 选择编辑入站规则

    3. 添加新规则:

      • 规则编号:选择一个唯一的编号(例如:100)。

      • 类型:选择自定义 TCP 规则

      • 协议:TCP

      • 端口范围:输入您的数据库端口(例如:MySQL 为 3306)。

      • 来源:输入 RDS 子网的 CIDR 数据块(示例:10.1.0.0/16)。

      • 允许/拒绝:选择允许

  3. 编辑出站规则:

    1. 单击所选 NACL 的出站规则选项卡。

    2. 单击编辑出站规则

    3. 添加新规则:

      • 规则编号:使用入站规则中所用的那个编号。

      • 类型:所有流量。

      • 目标 – 0.0.0.0/0

      • 允许/拒绝:选择允许

  4. 单击保存更改

  5. 执行相同的步骤来更新与 RDS 实例的子网关联的 NACL。

验证 NACL 规则

您必须确保符合以下有关 NACL 规则的标准:

  • 规则顺序:NACL 根据规则编号按升序处理规则。确保所有设为“允许”的规则的编号都低于所有设为“拒绝”的规则的编号,因为这可能会阻塞流量。

  • 无状态性质:NACL 是无状态的。您必须明确允许入站和出站流量。

  • CIDR 数据块:您必须确保所使用的 CIDR 数据块准确代表您的 DMS 和 RDS 实例的子网。