将 VPC 端点配置为 Amazon DMS 源端点和目标端点 - Amazon 数据库迁移服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 VPC 端点配置为 Amazon DMS 源端点和目标端点

Amazon DMS 支持将 Amazon Virtual Private Cloud (VPC) 端点作为源和目标。Amazon只要源数据库和目标数据库在其 Amazon DMS VPC 中明确定义了指向它们的路径,DMS 就可以通过 Amazon VPC 端点连接到任何 Amazon 源或目标数据库。

通过支持 Amazon VPC 端点,Amazon DMS 可以更轻松地维护所有复制任务的端到端网络安全,而无需额外的联网配置和设置。为所有源端点和目标端点使用 VPC 端点,可确保您的所有流量保持在 VPC 内并处于您的控制之下。升级到 Amazon DMS 3.4.7 及更高版本时,需要将 Amazon DMS 配置为使用 VPC 端点,或者使用公共路由连接到与下列 Amazon Web Services 交互的所有源端点和目标端点:

  • Amazon S3

  • Amazon Kinesis

  • Amazon Secrets Manager

  • Amazon DynamoDB

  • Amazon Redshift

  • Amazon OpenSearch Service

从版本 3.4.7 开始,您可能需要使用 VPC 端点来支持 Amazon DMS,如下所述。

迁移到 Amazon DMS 版本 3.4.7 及更高版本时,谁会受到影响?

如果您在使用先前列出的一个或多个 Amazon DMS 端点,并且这些端点不可公开路由,或者它们没有与之关联的 VPC 端点,则您会受到影响。

迁移到 Amazon DMS 版本 3.4.7 及更高版本时,谁不会受到影响?

在以下情况下,您不会受到影响:

  • 您没有使用前面列出的一个或多个 Amazon DMS 端点。

  • 您在使用前面列出的任何端点,并且它们可以公开路由。

  • 您在使用前面列出的任何端点,并且它们具有与之关联的 VPC 端点。

准备迁移到 Amazon DMS 3.4.7 及更高版本

当您在使用前面描述的任何端点时,为了防止 Amazon DMS 任务失败,请在将 Amazon DMS 升级到版本 3.4.7 或更高版本之前执行以下步骤之一:

  • 使受影响的 Amazon DMS 端点可公开路由。例如,向 Amazon DMS 复制实例已使用的任何 VPC 添加互联网网关 (IGW) 路由,使其所有源端点和目标端点均可公开路由。

  • 创建 VPC 端点以访问 Amazon DMS 使用的所有源端点和目标端点,如下所述。

对于您用于 Amazon DMS 源端点和目标端点的任何现有 VPC 端点,请确保它们使用的信任策略符合 XML 策略文档 dms-vpc-role。有关此 XML 策略文档的更多信息,请参阅创建要与 Amazon CLI 和 Amazon DMS API 一起使用的 IAM 角色

否则,请将 VPC 端点添加到包含您的复制实例的 VPC 端点,以将复制实例配置为 VPC 端点。如果您配置的复制实例没有公有端点,请向包含您的复制实例的 VPC 添加可公开访问的 VPC 端点,这样就可以让这些端点可公开访问。您无需执行其他任何操作,即可专门将您的复制实例与 VPC 端点关联。

注意

不同的服务可能具有唯一的 VPC 端点配置。例如,在使用 Amazon Secrets Manager 时,您通常不需要调整路由表。务必检查每项服务的具体要求。

在包含您的复制实例的 VPC 上创建 VPC 端点
  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在 VPC 控制台菜单栏上,选择与您的 Amazon DMS 复制实例相同的 Amazon Web Services 区域。

  3. 在 VPC 导航窗格中,选择端点

  4. 端点下,选择创建端点

  5. 您可以选择指定名称标签。例如,my-endpoint-DynamoDB-01

  6. 仅在 S3 或 DynamoDB 的服务下,选择其类型设置为网关服务名称

  7. VPC 下,选择与 Amazon DMS 复制实例相同的 VPC 来创建端点。

  8. 路由表下,选择所有可用的路由表 ID 值。

  9. 要指定访问控制,请在策略下选择完全访问权限。如果要使用策略创建工具来指定自己的访问控制,请选择自定义。在任何情况下,请使用符合 JSON 策略文档 dms-vpc-role 的信任策略。有关此策略文档的更多信息,请参阅创建要与 Amazon CLI 和 Amazon DMS API 一起使用的 IAM 角色

  10. 端点下,确认您新创建的 VPC 端点状态是否为可用

有关为 Amazon DMS 复制实例配置 VPC 端点的更多信息,请参阅数据库迁移的网络配置。有关创建用于访问 Amazon 服务的接口 VPC 端点的更多信息,请参阅《Amazon PrivateLink 指南》中的使用接口 VPC 端点访问 Amazon 服务。有关 VPC 端点的 Amazon DMS 区域可用性的信息,请参阅 Amazon 区域表