AWS Database Migration Service
用户指南 (版本 API Version 2016-01-01)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Database Migration Service 网络安全

在使用 AWS Database Migration Service 时为网络创建的安全要求取决于配置网络的方式。AWS DMS 网络安全的一般规则如下:

  • 复制实例必须具有对源和目标终端节点的访问权限。复制实例的安全组必须具有网络 ACL 或规则来允许从实例数据库端口上传出到数据库终端节点。

  • 数据库终端节点必须包括网络 ACL 和安全组规则,允许来自复制实例的传入访问。根据配置,您可以使用复制实例的安全组、私有 IP 地址、公有 IP 地址或 NAT 网关的公有地址来实现这一点。

  • 如果您的网络使用 VPN 隧道,则作为 NAT 网关的 EC2 实例使用的安全组必须具有规则,允许复制实例通过它发送流量。

默认情况下,AWS DMS 复制实例使用的 VPC 安全组具有允许传出到所有端口上的 0.0.0.0/0 的规则。如果您修改此安全组或者使用自己的安全组,则必须至少允许传出到相应数据库端口上的源和目标终端节点。

您可用于数据库迁移的网络配置均要求有特定安全注意事项:

  • 一个 VPC 中具有所有数据库迁移组件的配置 — 终端节点使用的安全组必须允许从复制实例向数据库端口上的传入。确保由复制实例使用的安全组已传入到终端节点,或者您可以在由终端节点使用的安全组中创建规则,允许访问复制实例的私有 IP 地址。

  • 两个 VPC 的配置 — 复制实例使用的安全组规则必须具有针对数据库上的 VPC 范围和数据库端口的规则。

  • 使用 AWS Direct Connect 或 VPN 连接到 VPC 的网络的配置 — VPN 隧道,允许流量从 VPC 通过隧道流向本地 VPN。在此配置中,VPC 包含路由规则,会将以特定 IP 地址或范围为目标的流量发送到主机,该主机可以桥接从 VPC 到本地 VPN 的流量。如果是这种情况,NAT 主机包括自己的安全组设置,必须允许从复制实例私有 IP 地址或安全组到 NAT 实例的流量。

  • 使用 Internet 连接 VPC 的网络配置 — VPC 安全组必须包括路由规则,将并非以 VPC 为目标的流量发送到 Internet 网关。在此配置中,与终端节点的连接显示为来自复制实例上的公有 IP 地址。

  • 使用 ClassicLink 将不在 VPC 中的 Amazon RDS 数据库实例迁移到 VPC 中数据库实例的配置 — 当源或目标 Amazon RDS 数据库实例不在 VPC 中,并且不与复制实例所在的 VPC 共享安全组时,您可以设置代理服务器并使用 ClassicLink 连接源数据库和目标数据库。

  • 源终端节点位于复制实例所使用的 VPC 的外部并使用 NAT 网关 — 您可以使用绑定到单个弹性网络接口(将接收 NAT 标识符 (nat-#####))的单个弹性 IP 地址来配置网络地址转换 (NAT) 网关。如果 VPC 包含到 NAT 网关而不是 Internet 网关的默认路由,复制实例将改为显示使用 Internet 网关的公有 IP 地址连接数据库终端节点。在这种情况下,对 VPC 外部的数据库终端节点的传入需要允许从 NAT 地址的传入,而不是复制实例的公有 IP 地址。