AWS Database Migration Service
用户指南 (版本 API Version 2016-01-01)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

为复制实例设置网络

AWS DMS 始终在基于 Amazon Virtual Private Cloud (Amazon VPC) 的 VPC 中创建复制实例。您可以指定复制实例所在的 VPC。可以使用您账户和 AWS 区域的默认 VPC,也可以创建新的 VPC。VPC 必须至少有两个子网在一个可用区中。

在您的 VPC 中为复制实例分配的弹性网络接口 (ENI) 必须与安全组关联,该安全组应具有规则,允许所有端口上的所有流量离开 (传出) VPC。使用此方法,只要终端节点上启用了正确的传出规则,就允许从复制实例与您的源和目标数据库终端节点通信。我们建议您为终端节点使用默认设置,这允许在所有端口上传出到所有地址。

源和目标终端节点连接到 VPC 或者位于 VPC 内部,以此来访问位于 VPC 内部的复制实例。数据库终端节点必须包含网络访问控制列表 (ACL) 安全组规则 (在适用时),允许来自复制实例的传入访问。根据您正在使用的网络配置,您可以使用复制实例 VPC 安全组、复制实例的私有或公有 IP 地址或者 NAT 网关的公有 IP 地址。这些连接构成了您用于数据迁移的网络。

数据库迁移的网络配置

您可以为 AWS Database Migration Service 使用多种不同的网络配置。以下是用于数据库迁移的常见网络配置。

一个 VPC 中具有所有数据库迁移组件的配置

对于数据库迁移而言,最简单的网络是源终端节点、复制实例和目标终端节点都位于同一个 VPC 中。当源和目标终端节点均位于 Amazon RDS 数据库实例或 Amazon EC2 实例上时,此配置非常合适。

下图显示了位于 Amazon EC2 实例上的数据库连接到复制实例并且数据被迁移到 Amazon RDS 数据库实例的配置。


                             AWS Database Migration Service 全合一 VPC 示例

此配置中使用的 VPC 安全组必须允许从复制实例向数据库端口的传入。您可以通过确保复制实例使用的安全组已传入到终端节点,或者通过明确允许复制实例的私有 IP 地址来实现这一点。

两个 VPC 的配置

如果您的源终端节点和目标终端节点位于不同 VPC,则可以在一个 VPC 中创建复制实例,然后使用 VPC 对等链接两个 VPC。

VPC 对等连接是两个 VPC 之间的连接,使用各 VPC 的私有 IP 地址进行路由,就像它们位于同一个网络中一样。我们建议使用此方法来连接位于一个 AWS 区域中的 VPC。您可以在您自己的 VPC 之间创建 VPC 对等连接,也可以在您自己的 VPC 与同一 AWS 区域内其他 AWS 账户中的 VPC 之间进行创建。有关 VPC 对等的更多信息,请参阅 Amazon VPC 用户指南中的 VPC 对等

下图显示了一个使用 VPC 对等连接的示例配置。在此处,VPC 中的 Amazon EC2 实例上的源数据库通过 VPC 对等连接来连接到 VPC。此 VPC 包含 Amazon RDS 数据库实例上的复制实例和目标数据库。


                             AWS Database Migration Service 复制实例

此配置中使用的 VPC 安全组必须允许从复制实例向数据库端口的传入。

使用 AWS Direct Connect 或 VPN 连接到 VPC 的网络的配置

远程网络可以使用多种选项连接到 VPC,例如 AWS Direct Connect 或者软件或硬件 VPN 连接。这些选项通常将内部网络扩展到 AWS 云来集成现有现场服务,例如监控、身份验证、安全、数据或其他系统。使用此类型的网络扩展,您可以无缝连接到 AWS 托管的资源,例如 VPC。

下图显示了源终端节点是公司数据中心内本地数据库的配置。它使用 AWS Direct Connect 或 VPN 连接到 Amazon RDS 数据库实例上包含复制实例和目标数据库的 VPC。


                             AWS Database Migration Service 复制实例

在此配置中,VPC 安全组必须包含一个路由规则,即将发往特定 IP 地址或范围的流量发送到主机。此主机必须能够将流量从 VPC 桥接到本地 VPN 中。在这种情况下,NAT 主机包括自己的安全组设置,必须允许从复制实例私有 IP 地址或安全组到 NAT 实例的流量。

使用 Internet 连接 VPC 的网络配置

如果不使用 VPN 或 AWS Direct Connect 连接到 AWS 资源,则可以使用 Internet 将数据库迁移到 Amazon EC2 实例或 Amazon RDS 数据库实例。此配置涉及到带有 Internet 网关的 VPC 中的公有复制实例,该 VPC 中包含目标终端节点和复制实例。


                             AWS Database Migration Service 复制实例

要将 Internet 网关添加到 VPC,请参阅 Amazon VPC 用户指南中的连接 Internet 网关

VPC 安全组必须包括路由规则,将默认并非以 VPC 为目标的流量发送到 Internet 网关。在此配置中,与终端节点的连接将显示为来自复制实例的公有 IP 地址,而非私有 IP 地址。

您可以将 ClassicLink 与代理服务器结合使用,以便将不在 VPC 中的 Amazon RDS 数据库实例连接到 AWS DMS 复制服务器和 VPC 中的数据库实例。

ClassicLink 允许将您的 EC2-Classic 数据库实例链接到您账户中位于同一区域内的 AWS 区域。在您创建了链接之后,源数据库实例可以与 VPC 中的复制实例通过其私有 IP 地址进行通信。

由于 VPC 中的复制实例无法使用 ClassicLink 直接访问 EC2-Classic 平台上的源数据库实例,您必须使用代理服务器。代理服务器将源数据库实例连接到包含复制实例和目标数据库实例的 VPC。代理服务器使用 ClassicLink 连接到 VPC。代理服务器上的端口转发允许源数据库实例与 VPC 中的目标数据库实例之间的通信。


                        AWS Database Migration Service 使用 ClassicLink

将 ClassicLink 用于 AWS Database Migration Service

您可以将 ClassicLink 与代理服务器结合使用,以便将不在 VPC 中的 Amazon RDS 数据库实例连接到 AWS DMS 复制服务器和 VPC 中的数据库实例。

以下过程说明如何使用 ClassicLink 来将未位于 VPC 中的 Amazon RDS 源数据库实例连接到包含 AWS DMS 复制实例和目标数据库实例的 VPC。

  • 在 VPC 中创建 AWS DMS 复制实例。(在 VPC 中创建所有复制实例)。

  • 将 VPC 安全组与复制实例和目标数据库实例关联。当两个实例共享一个 VPC 安全组时,默认情况下,它们可以相互通信。

  • 在 EC2 Classic 实例上设置代理服务器。

  • 使用 ClassicLink 在代理服务器和 VPC 之间创建连接。

  • 为源数据库和目标数据库创建 AWS DMS 终端节点。

  • 创建 AWS DMS 任务。

使用 ClassicLink 将未位于 VPC 中的数据库实例上的数据库迁移到 VPC 中的数据库实例上的数据库

  1. 步骤 1:创建 AWS DMS 复制实例

    创建 AWS DMS 复制实例并分配 VPC 安全组:

    1. 登录到 AWS 管理控制台,然后选择 AWS Database Migration Service。请注意,如果以 AWS Identity and Access Management (IAM) 用户身份登录,则必须具有 AWS DMS 的相应访问权限。有关数据库迁移所需权限的更多信息,请参阅 使用 AWS DMS 所需的 IAM 权限

    2. 控制面板页中,选择复制实例。按照步骤 2:创建复制实例中的说明操作来创建复制实例。

    3. 在创建 AWS DMS 复制实例后,打开 EC2 访问控制台。从导航窗格中选择网络接口

    4. 选择 DMSNetworkInterface,然后从操作菜单中选择更改安全组

    5. 选择要用于复制实例和目标数据库实例的安全组。

  2. 步骤 2:将最后一步中的安全组与目标数据库实例关联。

    将安全组与数据库实例关联

    1. 打开 Amazon RDS 服务控制台。从导航窗格中选择实例

    2. 选择目标数据库实例。从实例操作中,选择修改

    3. 对于安全组参数,请选择在上一步中使用的安全组。

    4. 选择继续,然后选择修改数据库实例

  3. 步骤 3:使用 NGINX 在 EC2 Classic 实例上设置代理服务器。使用您选择的 AMI 启动 EC2 Classic 实例。下面的示例基于 AMI Ubuntu Server 14.04 LTS (HVM)。

    在 EC2 Classic 实例上设置代理服务器

    1. 使用以下命令连接到 EC2 Classic 实例并安装 NGINX:

      Prompt> sudo apt-get update Prompt> sudo wget http://nginx.org/download/nginx-1.9.12.tar.gz Prompt> sudo tar -xvzf nginx-1.9.12.tar.gz Prompt> cd nginx-1.9.12 Prompt> sudo apt-get install build-essential Prompt> sudo apt-get install libpcre3 libpcre3-dev Prompt> sudo apt-get install zlib1g-dev Prompt> sudo ./configure --with-stream Prompt> sudo make Prompt> sudo make install
    2. 使用以下代码编辑 NGINX 守护程序文件 /etc/init/nginx.conf:

      # /etc/init/nginx.conf – Upstart file description "nginx http daemon" author "email" start on (filesystem and net-device-up IFACE=lo) stop on runlevel [!2345] env DAEMON=/usr/local/nginx/sbin/nginx env PID=/usr/local/nginx/logs/nginx.pid expect fork respawn respawn limit 10 5 pre-start script $DAEMON -t if [ $? -ne 0 ] then exit $? fi end script exec $DAEMON
    3. 在 /usr/local/nginx/conf/nginx.conf 处创建 NGINX 配置文件。在配置文件中,添加以下内容:

      # /usr/local/nginx/conf/nginx.conf - NGINX configuration file worker_processes 1; events { worker_connections 1024; } stream { server { listen <DB instance port number>; proxy_pass <DB instance identifier>:<DB instance port number>; } }
    4. 从命令行中,使用以下命令启动 NGINX:

      Prompt> sudo initctl reload-configuration Prompt> sudo initctl list | grep nginx Prompt> sudo initctl start nginx
  4. 步骤 4:创建代理服务器和目标 VPC (包含目标数据库实例和复制实例) 之间的 ClassicLink 连接

    使用 ClassicLink 将代理服务器与目标 VPC 连接

    1. 打开 EC2 控制台并选择正在运行代理服务器的 EC2 Classic 实例。

    2. 操作下面选择 ClassicLink,然后选择链接到 VPC

    3. 选择本过程中前面使用的安全组。

    4. 选择链接到 VPC

  5. 步骤 5:使用步骤 3:指定源和目标终端节点的过程创建 AWS DMS 终端节点。在指定源终端节点时,您必须将代理的内部 EC2 DNS 主机名作为服务器名称。

  6. 步骤 6:使用步骤 4:创建任务的过程创建 AWS DMS 任务。

创建复制子组

作为数据库迁移所用网络的一部分,您需要指定计划在 Amazon Virtual Private Cloud (Amazon VPC) 中使用的子网。子网 是在指定可用区中您的 VPC 内的 IP 地址范围。这些子网可以分布在您的 VPC 所在 AWS 区域的可用区中。

您在选择的子网中创建复制实例,可以使用 AWS DMS 控制台来管理源或目标终端节点使用什么子网。

您创建复制子网组来定义要使用的子网。您必须至少有一个位于两个不同可用区的子网。

创建复制子网组

  1. 登录 AWS 管理控制台并选择 AWS Database Migration Service。如果以 AWS Identity and Access Management (IAM) 用户身份登录,则必须具有 AWS DMS 的相应访问权限。有关数据库迁移所需权限的更多信息,请参阅 使用 AWS DMS 所需的 IAM 权限

  2. 在导航窗格中,选择 Subnet Groups

  3. 选择 Create Subnet Group

  4. 编辑复制子网组页中 (如下所示),指定您的复制子网组信息。下表描述了设置。

    
                             AWS Database Migration Service 复制实例
    对于此选项 请执行该操作

    标识符

    为复制子网组指定包含 8 到 16 个可打印 ASCII 字符 (不含 /、" 和 @) 的名称。该名称对于所选 AWS 区域中您的账户应该是唯一的。您可以选择向名称中添加一些信息,例如包含 AWS 区域和要执行的任务,例如 DMS-default-VPC

    描述

    键入复制子网组的简短说明。

    VPC

    选择您要用于数据库迁移的 VPC。请记住,VPC 必须至少有一个位于两个可用区中的子网。

    可用子网

    选择您要包括在复制子网组中的子网。您必须选择至少位于两个可用区中的子网。

  5. 选择添加以将子网添加到复制子网组中。

  6. 选择 Create