为复制实例设置网络 - Amazon 数据库迁移服务
数据库迁移的网络配置 创建复制子组 使用 DNS 解析域端点
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为复制实例设置网络

Amazon DMS 始终在基于 Amazon VPC 的 VPC 中创建复制实例。您可以指定复制实例所在的 VPC。您可以为您的账户和 Amazon 地区使用默认 VPC,也可以创建新的 VPC。

确保为复制实例的 VPC 分配的弹性网络接口与安全组关联。此外,请确保此安全组的规则允许所有端口上的所有流量流出(出口)VPC。使用此方法,如果端点上启用了正确的传出规则,就允许从复制实例与您的源和目标数据库端点通信。我们建议您为终端节点使用默认设置,这允许在所有端口上传出到所有地址。

源和目标终端节点连接到 VPC 或者位于 VPC 内部,以此来访问位于 VPC 内部的复制实例。数据库终端节点必须包含网络访问控制列表 (ACL) 安全组规则 (在适用时),允许来自复制实例的传入访问。如何进行此项设置取决于您使用的网络配置。您可以使用复制实例 VPC 安全组、复制实例的私有或公有 IP 地址或者 NAT 网关的公有 IP 地址。这些连接构成了您用于数据迁移的网络。

注意

由于 IP 地址可能会因底层基础设施的变化而发生变化,因此我们建议您使用 VPC CIDR 范围,或者通过与 NAT GW 关联的弹性 IP 路由复制实例的出站流量。有关创建 VPC(包括 CIDR 块)的更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的使用 VPC 和子网。有关弹性 IP 地址的更多信息,请参阅《Amazon Elastic Compute Cloud 用户指南》中的弹性 IP 地址

数据库迁移的网络配置

您可以在 D Amazon atabase Migration Service 中使用几种不同的网络配置。以下是用于数据库迁移的常见网络配置。

如果可行,我们建议您在与目标端点所在的相同区域以及相同 VPC 或子网中创建 DMS 复制实例。

一个 VPC 中具有所有数据库迁移组件的配置

对于数据库迁移而言,最简单的网络是源终端节点、复制实例和目标终端节点都位于同一个 VPC 中。当源和目标端点均位于 Amazon RDS 数据库实例或 Amazon EC2 实例上时,此配置非常合适。

下图显示了位于 Amazon EC2 实例上的数据库连接到复制实例并将数据迁移到 Amazon RDS 数据库实例的配置。

Amazon Database Migration Service 一体化 VPC 示例

此配置中使用的 VPC 安全组必须允许从复制实例向数据库端口的传入。可以通过多种方式执行此操作。您可以确保复制实例使用的安全组可以传入端点。或者,如果您正在使用复制实例,则可以允许复制实例的 VPC CIDR 范围、NAT GW 弹性 IP 或私有 IP 地址。但是我们不建议您使用复制实例的私有 IP 地址,因为如果复制 IP 地址发生变化,它可能中断您的复制。

多 VPC 配置

如果您的源端点和目标端点位于不同 VPC,则可以在其中一个 VPC 中创建复制实例。然后,可以使用 VPC 对等连接将这两个 VPC 链接起来。

VPC 对等连接是两个 VPC 之间的连接,使用各 VPC 的私有 IP 地址进行路由,就像它们位于同一个网络中一样。您可以在自己的 VPC 之间、与其他 Amazon 账户中的 VPC 或不同 Amazon 区域的 VPC 之间创建 VPC 对等连接。有关 VPC 对等连接的更多信息,请参阅《Amazon VPC 用户指南》中的 VPC 对等连接

下图显示了一个使用 VPC 对等连接的示例配置。在此处,VPC 中 Amazon EC2 实例上的源数据库通过 VPC 对等连接来连接到 VPC。此 VPC 包含 Amazon RDS 数据库实例上的复制实例和目标数据库。

Amazon 数据库 Migration Service 复制实例

要实现 VPC 对等连接,请按照《Amazon Virtual Private Cloud VPC 对等连接》文档中的使用 VPC 对等连接说明进行操作。请确保一个 VPC 的路由表中包含另一个 VPC 的 CIDR 块。例如,如果 VPC A 使用目标 10.0.0.0/16,而 VPC B 使用目标 172.31.0.0,则 VPC A 的路由表应包含 172.31.0.0,VPC B 的路由表必须包含 10.0.0.0/16。有关更多详细信息,请参阅《Amazon Virtual Private Cloud VPC 对等连接》文档中的更新 VPC 对等连接的路由表

此配置中使用的 VPC 安全组必须允许从复制实例向数据库端口的传入,还应允许具有对等关系的 VPC 上 CIDR 块的传入。

使用共享 VPC 的配置

Amazon DMS 将共享给组织中参与客户账户的子网视为同一账户中的普通子网。以下描述了如何 Amazon DMS 处理 VPC、子网以及如何使用共享 VPC。

通过创建 ReplicationSubnetGroup 对象,您可以将网络配置设置为在自定义子网或 VPC 中运行。创建 ReplicationSubnetGroup 时,您可以选择指定账户中特定 VPC 的子网。您指定的子网列表必须包括至少两个位于不同可用区的子网,并且所有子网都必须位于同一 VPC 中。在创建时ReplicationSubnetGroup,客户只能指定子网。 Amazon DMS 将代表您确定 VPC,因为每个子网仅链接到一个 VPC。

创建 Amazon DMS ReplicationInstance或时 Amazon DMS ReplicationConfig,您可以选择指定ReplicationSubnetGroup或无服务器复制在其中运行的 VPC 安全组。ReplicationInstance如果未指定,则 Amazon DMS 选择客户默认值ReplicationSubnetGroup(如果未为默认 VPC 中的所有子网指定则代表您 Amazon DMS 创建)和默认 VPC 安全组。

您可以选择在您指定的可用区中运行迁移,也可以选择在 ReplicationSubnetGroup 中的任何可用区中运行迁移。当 Amazon DMS 尝试创建复制实例或启动无服务器复制时,它会将您的子网的可用区转换为核心服务账户中的可用区,以确保即使两个账户之间的可用区域映射不相同,我们也能在正确的可用区中启动实例。

如果您使用共享 VPC,则需确保创建映射到您希望从共享 VPC 使用的子网的 ReplicationSubnetGroup 对象。创建 ReplicationInstanceReplicationConfig 时,必须为共享 VPC 指定 ReplicationSubnetGroup,并在创建请求中指定您为共享 VPC 创建的 VPC 安全组。

请注意以下有关使用共享 VPC 的注意事项:

  • VPC 所有者不能与参与者共享资源,但参与者可以在所有者的子网中创建服务资源。

  • VPC 所有者无法访问参与者创建的资源(例如复制实例),因为所有资源都是特定于账户的。但是,只要您在共享 VPC 中创建复制实例,并且复制端点或任务具有正确的权限,它就可以访问 VPC 中的资源,而不管拥有哪个账户。

  • 由于资源是特定于账户的,因此其他参与者无法访问其他账户拥有的资源。您无法向其他账户授予任何权限,允许他们使用您的账户访问在共享 VPC 中创建的资源。

使用 Amazon Direct Connect 或 VPN 配置到 VPC 的网络

远程网络可以使用多种选项连接到 VPC,例如 Di Amazon rect Connect 或软件或硬件 VPN 连接。这些选项通常将内部网络扩展到 Amazon 云来集成现有现场服务,例如监控、身份验证、安全、数据或其他系统。使用此类型的网络扩展,您可以无缝连接到 Amazon 托管的资源,例如 VPC。

下图显示了源终端节点是公司数据中心内本地数据库的配置。它使用 Amazon Direct Connect 或 VPN 连接到 Amazon RDS 数据库实例上包含复制实例和目标数据库的 VPC。

Amazon 数据库 Migration Service 复制实例

在此配置中,VPC 安全组必须包含一个路由规则,即,将以 VPC CIDR 范围或特定 IP 地址为目标的流量发送到主机。此主机必须能够将流量从 VPC 桥接到本地 VPN 中。在这种情况下,NAT 主机包括自己的安全组设置。这些设置必须允许来自复制实例的 VPC CIDR 范围、私有 IP 地址或安全组的流量进入 NAT 实例。但是我们不建议您使用复制实例的私有 IP 地址,因为如果复制 IP 地址发生变化,它可能中断您的复制。

使用 Internet 连接 VPC 的网络配置

如果您不使用 VPN 或 Amazon Direct Connect 不连接 Amazon 资源,则可以使用互联网迁移数据库。在这种情况下,您可以迁移到 Amazon EC2 实例或 Amazon RDS 数据库实例。此配置涉及到带有 Internet 网关的 VPC 中的公有复制实例,该 VPC 中包含目标终端节点和复制实例。

Amazon 数据库 Migration Service 复制实例

要将互联网网关添加到 VPC,请参阅《Amazon VPC 用户指南》中的连接互联网网关

VPC 路由表必须包含一个路由规则,即,将并非以 VPC 为目标的流量默认发送到互联网网关。在此配置中,与终端节点的连接将显示为来自复制实例的公有 IP 地址,而非私有 IP 地址。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC 路由表

我们将于 2022 年 8 月 15 日停用 EC2-Classic。我们建议您从 EC2-Classic 迁移到 VPC。有关更多信息,请参阅《Amazon EC2 用户指南》中的从 EC2-Classic 迁移到 VPC 和博客 EC2-Classic Networking is Retiring – Here’s How to Prepare

要将不在 VPC 中的 Amazon RDS 数据库实例连接到 DMS 复制服务器和 VPC 中的数据库实例 ClassicLink ,您可以使用代理服务器。

ClassicLink 使您能够将 EC2-Classic 数据库实例关联到同一 Amazon 区域内您账户中的 VPC。在您创建了链接之后,源数据库实例可以与 VPC 中的复制实例通过其私有 IP 地址进行通信。

由于 VPC 中的复制实例无法使用直接访问 EC2-Classic 平台上的源数据库实例 ClassicLink,因此您可以使用代理服务器。代理服务器将源数据库实例连接到包含复制实例和目标数据库实例的 VPC。代理服务器用于连接 ClassicLink 到 VPC。代理服务器上的端口转发允许源数据库实例与 VPC 中的目标数据库实例之间的通信。

Amazon 数据库迁移服务使用 ClassicLink

使用 D Amazon atabas ClassicLink e Migration Service

您可以将不在 VPC 中的 Amazon RDS 数据库实例连接到位于 VPC 中的 Amazon DMS 复制服务器和数据库实例。为此,您可以将 Amazon EC2 ClassicLink 与代理服务器一起使用。

以下过程说明如何 ClassicLink 用于此目的。此过程将不在 VPC 中的 Amazon RDS 源数据库实例连接到包含 Amazon DMS 复制实例和目标数据库实例的 VPC。

  • 在 VPC 中创建 Amazon DMS 复制实例。(在 VPC 中创建所有复制实例。)

  • 将 VPC 安全组与复制实例和目标数据库实例关联。当两个实例共享一个 VPC 安全组时,默认情况下,它们可以相互通信。

  • 在 EC2 Classic 实例上设置代理服务器。

  • 在代理服务器和 VPC ClassicLink 之间使用创建连接。

  • 为源数据库和目标数据库创建 Amazon DMS 端点。

  • 创建 Amazon DMS 任务。

用于 ClassicLink 将不在 VPC 中的数据库实例上的数据库迁移到 VPC 中数据库实例上的数据库

  1. 创建 Amazon DMS 复制实例并分配 VPC 安全组:

    1. 登录 Amazon Web Services Management Console 并打开 Amazon DMS 控制台,网址为 https://console.aws.amazon.com/dms/v2/

      如果您以 Amazon Identity and Access Management (IAM) 用户身份登录,请确保您拥有相应的访问权限 Amazon DMS。有关数据库迁移所需权限的更多信息,请参阅 使用 Amazon DMS 所需的 IAM 权限

    2. 控制面板页中,选择复制实例。按照步骤 1:使用 Amazon DMS 控制台创建复制实例中的说明操作来创建复制实例。

    3. 创建 Amazon DMS 复制实例后,打开 EC2 服务控制台。从导航窗格中选择网络接口

    4. 选择 DMS NetworkInterface,然后从 “操作” 菜单中选择 “更改安全组”。

    5. 选择要用于复制实例和目标数据库实例的安全组。

  2. 将最后一步中的安全组与目标数据库实例关联:

    1. 打开 Amazon RDS 服务控制台。从导航窗格中选择实例

    2. 选择目标数据库实例。在实例操作中,选择修改

    3. 对于安全组参数,请选择在上一步中使用的安全组。

    4. 选择继续,然后选择修改数据库实例

  3. 步骤 3:使用 NGINX 在 EC2 Classic 实例上设置代理服务器。使用您选择的 AMI 启动 EC2 Classic 实例。下面的示例基于 AMI Ubuntu Server 14.04 LTS (HVM)。

    在 EC2 Classic 实例上设置代理服务器

    1. 使用以下命令连接到 EC2 Classic 实例并安装 NGINX:

      
Prompt> sudo apt-get update
Prompt> sudo wget http://nginx.org/download/nginx-1.9.12.tar.gz
Prompt> sudo tar -xvzf nginx-1.9.12.tar.gz 
Prompt> cd nginx-1.9.12
Prompt> sudo apt-get install build-essential
Prompt> sudo apt-get install libpcre3 libpcre3-dev
Prompt> sudo apt-get install zlib1g-dev
Prompt> sudo ./configure --with-stream
Prompt> sudo make
Prompt> sudo make install

    2. 使用以下代码编辑 NGINX 守护程序文件 /etc/init/nginx.conf

      
# /etc/init/nginx.conf – Upstart file

description "nginx http daemon"
author "email"

start on (filesystem and net-device-up IFACE=lo)
stop on runlevel [!2345]

env DAEMON=/usr/local/nginx/sbin/nginx
env PID=/usr/local/nginx/logs/nginx.pid

expect fork
respawn
respawn limit 10 5

pre-start script
        $DAEMON -t
        if [ $? -ne 0 ]
                then exit $?
        fi
end script

exec $DAEMON

    3. /usr/local/nginx/conf/nginx.conf 中创建 NGINX 配置文件。在配置文件中,添加以下内容:

      
# /usr/local/nginx/conf/nginx.conf - NGINX configuration file

worker_processes  1;

events {
    worker_connections  1024;
}

stream {
  server {
    listen DB instance port number;
proxy_pass DB instance identifier:DB instance port number;
    }
}

    4. 从命令行中,使用以下命令启动 NGINX:

      
Prompt> sudo initctl reload-configuration
Prompt> sudo initctl list | grep nginx
Prompt> sudo initctl start nginx

  4. 在代理服务器和包含目标数据库实例和复制实例的目标 VPC 之间创建 ClassicLink 连接:

    1. 打开 EC2 控制台,并选择正在运行代理服务器的 EC2 Classic 实例。

    2. 对于 “操作”,选择 ClassicLink,然后选择 “链接到 VPC”。

    3. 选择本过程中前面使用的安全组。

    4. 选择链接到 VPC

  5. 步骤 5:使用中的步骤创建 Amazon DMS 端点。步骤 2:指定源和目标端点在指定源端点时,请确保将代理的内部 EC2 DNS 主机名作为服务器名称。

  6. 使用中的步骤创建 Amazon DMS 任务。步骤 3:创建任务并迁移数据

创建复制子组

作为数据库迁移所用网络的一部分,您需要指定计划在虚拟私有云(VPC)中使用的子网。此 VPC 必须基于 Amazon VPC 服务。子网 是在指定可用区中您的 VPC 内的 IP 地址范围。这些子网可以分布在您的 VPC 所在 Amazon 区域的可用区中。

在 Amazon DMS 控制台中创建复制实例或实例配置文件时,您可以使用您选择的子网。

您创建复制子网组来定义要使用的子网。您必须指定至少位于两个可用区中的子网。

创建复制子网组

  1. 登录 Amazon Web Services Management Console 并打开 Amazon DMS 控制台,网址为 https://console.aws.amazon.com/dms/v2/

    如果以 IAM 用户身份登录,请确保具有适当的 Amazon DMS 访问权限。有关数据库迁移所需权限的更多信息,请参阅 使用 Amazon DMS 所需的 IAM 权限

  2. 在导航窗格中,选择子网组

  3. 选择 Create subnet group (创建子网组)

  4. 创建复制子网组页中,指定您的复制子网组信息。下表描述了设置。

    选项 操作

    名称

    为复制子网组输入包含 8 到 16 个可打印 ASCII 字符(不含 /、" 和 @)的名称。对于您所选 Amazon 地区的账户,该名称应是唯一的。例如,您可以选择在名称中添加一些情报,例如包括您正在执行的 Amazon 区域和任务DMS-default-VPC

    描述

    输入复制子网组的简短说明。

    VPC

    选择您要用于数据库迁移的 VPC。请记住,VPC 必须至少有一个位于两个可用区中的子网。

    添加子网

    选择您要包括在复制子网组中的子网。您必须选择至少位于两个可用区中的子网。

  5. 选择 Create subnet group (创建子网组)

使用 DNS 解析域端点

通常, Amazon DMS 复制实例使用 Amazon EC2 实例中的域名系统 (DNS) 解析器来解析域终端节点。如果您需要 DNS 解析,可以使用 Amazon Route 53 Resolver。有关使用 Route 53 DNS 解析程序的更多信息,请参阅 Route 53 Resolver 入门

有关如何使用您自己的本地名称服务器通过 Amazon Route 53 Resolver 解析某些端点的信息,请参阅 使用您自己的本地名称服务器