配置 VPC 终端节点 Amazon DMS - Amazon 数据库迁移服务
常见 Amazon DMS 先决条件使用 S Amazon ecrets Manager 设置亚马逊 VPC 终端节点使用亚马逊 S3 设置亚马逊 VPC 终端节点为亚马逊 DynamoDB 设置亚马逊 VPC 终端节点为亚马逊 Kinesis 设置亚马逊 VPC 终端节点为亚马逊 Redshift 设置亚马逊 VPC 终端节点为亚马逊 OpenSearch 服务设置亚马逊 VPC 终端节点DMS 复制实例(预配置和无服务器)、子网组和终端节点迁移到 3.4.7 及更高 Amazon DMS 版本时谁会受到影响?谁在迁移到 3.4.7 及更高 Amazon DMS 版本时不受影响?准备迁移到 Amazon DMS 3.4.7 及更高版本
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 VPC 终端节点 Amazon DMS

Amazon DMS 支持 Amazon 虚拟私有云 (VPC) 终端节点作为源和目标。 Amazon DMS 只要在 Amazon 源数据库和目标数据库的 VPC 中定义了明确定义的路由,就可以通过 Amazon Amazon DMS VPC 终端节点连接到任何源数据库或目标数据库。

通过支持 Amazon VPC 终端节点, Amazon DMS 可以更轻松地维护所有复制任务的 end-to-end网络安全,而无需进行额外的联网配置和设置。为所有源端点和目标端点使用 VPC 端点,可确保您的所有流量保持在 VPC 内并处于您的控制之下。

对于在私有子网或 Amazon DMS 无服务器 Amazon DMS 复制中创建的复制实例,要连接到 Amazon 托管数据库,必须设置 Amazon VPC 终端节点:

  • Amazon S3

  • Amazon DynamoDB

  • Amazon Kinesis

  • Amazon Redshift

  • 亚马逊 OpenSearch 服务

如果您使用 S Amazon ecrets Manager 存储连接凭证供 DMS 使用,则还需要设置 VPC 终端节点。

从 Amazon DMS 版本 3.4.7 开始,当使用私有网络时,需要使用 VPC 终端节点才能在 DMS 复制实例或无服务器复制与上述 Amazon 服务之间建立连接。

常见 Amazon DMS 先决条件

在配置 VPC 终端节点之前,必须满足以下先决条件:

  • 找到或创建用于 Amazon DMS 复制实例或 Amazon DMS 无服务器复制的 VPC。如果您不提供此信息,则 DMS 会尝试使用设置该区域的默认 VPC。

  • 确保您拥有创建 VPC 终端节点的 IAM 权限。要连接到 Amazon S3 和 Amazon DynamoDB,您可以创建网关 VPC 终端节点,这样您的 VPC 无需互联网网关或 NAT 设备即可提供可靠连接。与其他类型的 VPC 终端节点不同 Amazon PrivateLink,网关终端节点不使用。有关更多信息,请参阅Amazon PrivateLink指南中的网关终端节点

  • 配置 IAM 权限以使用 DMS:

使用 S Amazon ecrets Manager 设置亚马逊 VPC 终端节点

您可以设置 S Amazon ecrets Manager 使用的亚马逊 VPC 终端节点 Amazon DMS。通过创建此终端节点,您可以启用私有子网中的 Amazon DMS 复制实例或无服务器复制配置,以安全地访问存储在 Secrets Manager 中的数据库凭据,而无需访问公共 Internet。

先决条件

在配置带有 S Amazon ecrets Manager 的 VPC 终端节点之前 Amazon DMS,您必须满足以下先决条件:

  • 确保您配置了所有的常见 Amazon DMS 先决条件

  • 创建和配置要连接的数据库或目标数据库。

  • 使用访问源数据库和目标数据库的凭据在 S Amazon ecrets 管理器中创建密钥。Secret 必须与 Amazon DMS 复制实例或 Amazon DMS 无服务器复制位于同一区域。根据数据库类型,密钥的架构可能会有所不同。有关更多信息,请参阅使用 Amazon DMS 终端节点

    重要

    Amazon DMS 复制实例和 Amazon DMS 无服务器复制不适用于由 Amazon RDS 管理的密钥。这些凭证不包括建立连接所需的主 Amazon DMS 机和端口信息。

  • 某些数据库需要配置 IAM 权限来管理 DMS 终端节点:亚马逊 S3、亚马逊 Kinesis、亚马逊 DynamoDB、亚马逊 Redshift、亚马逊服务、亚马逊 Neptune 和亚马逊 Time OpenSearch stream。有关更多信息,请参阅使用 Amazon DMS 端点

为 S Amazon ecrets Manager 创建 VPC 终端节点

  1. 登录 Amazon Web Services Management Console 并打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在 VPC 控制台菜单栏上,选择与您的 Amazon DMS 复制实例 Amazon Web Services 区域 相同的选项。

  3. 在 VPC 导航窗格中,选择端点

  4. 端点下,选择创建端点

  5. 按如下方式配置 VPC 终端节点:

    1. 选择 “类型” 为 “Amazon 服务”。

    2. 在 “服务名称” 文本框中,搜索secretsmanager并选择 com.amazonaws。 [区域] .secretsmanager。确保所选服务的类型接口

    3. 在 “网络设置” 下,选择与您的 DMS 复制实例位于同一区域或您创建无服务器复制所在的 VPC。

    4. 在 “子网” 部分,选择您希望 DMS 在其中运行的所需子网。确保只选择私有子网。您可以使用子网 ID 标识私有子网。例如:vpc-xxxxxx-subnet-private1-us-west-2a

      如果您的 DMS 复制实例是在没有公共访问权限的情况下创建的,则必须选择与您的复制实例所在的私有子网关联的路由表。

      注意

      请务必记下私有子网,因为在创建 DMS 复制子网组时需要提供这些子网。要使用 VPC 终端节点将 DMS 与 Secrets 管理器连接,为 VPC 终端节点指定的子网必须与 DMS 复制子网组中的子网相同。 Amazon

    5. 选择所需的安全组。安全组规则控制从您的 VPC 中的资源到终端节点网络接口的流量。如果您未指定安全组,则会选择默认安全组。

  6. 在 “策略” 下选择 “完全访问权限”。如果要使用自定义策略来指定自己的访问控制,请选择自定义。您可以使用符合 JSON 策略文档的信任策略。dms-vpc-role有关更多信息,请参阅创建要与一起使用的 IAM 角色 Amazon DMS

  7. 选择创建终端节点

    您必须等待,直到状态变成Available。您的 VPC 终端节点现在有一个以开头的 ID vpce-xxxx

现在,您已成功创建 VPC 终端节点。您必须配置 Amazon DMS 端点、DMS 子网组。根据您选择的迁移选项,配置 DMS 复制实例或无服务器复制。

使用亚马逊 S3 设置亚马逊 VPC 终端节点

您可以设置亚马逊 VPC 终端节点以供亚马逊 S3 使用 Amazon DMS。通过创建此端点,您可以启用私有子网中的 Amazon DMS 复制实例或无服务器复制配置,以安全地访问存储在 S3 存储桶中的数据库凭证,而无需公共 Internet 访问。

先决条件

在配置 Amazon S3 的 VPC 终端节点之前 Amazon DMS,您必须满足以下先决条件:

  • 确保您配置了所有的常见 Amazon DMS 先决条件

  • 创建 Amazon S3 存储桶以用作数据库或目标数据库 Amazon DMS。不要为 S3 启用版本控制。如果您需要 S3 版本控制,请使用生命周期策略主动删除旧版本。否则,您可能会遇到由于 S3 列表对象调用超时而导致的端点测试连接失败。

  • 配置 IAM 权限以管理 DMS Amazon S3 终端节点。如果您使用的是 Amazon DMS 控制台,如果您有权创建 IAM 角色,则可以创建具有必要权限的 IAM 角色。

为亚马逊 S3 创建 VPC 终端节点

  1. 登录 Amazon Web Services Management Console 并打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在 VPC 控制台菜单栏上,选择与您的 Amazon DMS 复制实例 Amazon Web Services 区域 相同的选项。

  3. 在 VPC 导航窗格中,选择端点

  4. 端点下,选择创建端点

  5. 按如下方式配置 VPC 终端节点:

    1. 选择 “类型” 为 “Amazon 服务”。

    2. 在 “服务名称” 文本框中,搜索s3并选择 com.amazonaws。 [区域] .s3. 确保所选服务的类型网关。在连接到 Amazon S3 和 DynamoDB 时,您可以创建网关 VPC 终端节点。与其他类型的 VPC 端点不同,网关端点不使用 Amazon PrivateLink。

    3. 在 “网络设置” 下,选择与您的 DMS 复制实例位于同一区域或您创建无服务器复制所在的 VPC。

    4. 在 “子网” 部分,选择您希望 DMS 在其中运行的所需子网。确保只选择私有子网。您可以使用子网 ID 标识私有子网。例如:vpc-xxxxxx-subnet-private1-us-west-2a

      注意

      如果您创建的 DMS 复制实例没有公共访问权限,则必须选择与私有子网关联的路由表,这些子网与您的 DMS 实例位于同一区域。请务必记下私有子网,因为在创建 DMS 复制子网组时需要提供这些子网。要使用 VPC 终端节点将 DMS 与 Amazon S3 连接,为 VPC 终端节点指定的子网必须与 DMS 复制子网组中的子网相同。

  6. 在 “策略” 下选择 “完全访问权限”。如果要使用自定义策略来指定自己的访问控制,请选择自定义。您可以使用符合 JSON 策略文档的信任策略。dms-vpc-role有关更多信息,请参阅创建要与一起使用的 IAM 角色 Amazon DMS

  7. 选择创建终端节点

    您必须等待,直到状态变成Available。您的 VPC 终端节点现在有一个以开头的 ID vpce-xxxx

现在,您已成功创建 VPC 终端节点。您必须配置 Amazon DMS 端点、DMS 子网组。根据您选择的迁移选项,配置 DMS 复制实例或无服务器复制。

为亚马逊 DynamoDB 设置亚马逊 VPC 终端节点

在私有子网或 Amazon DMS 无服务器 Amazon DMS 复制中使用复制实例时,必须创建 VPC 终端节点才能与 Amazon DynamoDB 建立安全连接。如果没有 VPC 终端节点配置,则会 Amazon DMS 面临连接错误。

创建 VPC 终端节点时,必须在 DMS 控制台中选择终端节点类型作为网关接口。有关更多信息,请参阅:

为亚马逊 Kinesis 设置亚马逊 VPC 终端节点

在私有子网或 Amazon DMS 无服务器 Amazon DMS 复制中使用复制实例时,必须创建 VPC 终端节点才能与 Amazon Kinesis 建立安全连接。如果没有 VPC 终端节点配置,则会 Amazon DMS 面临连接错误。有关更多信息,请参阅:

为亚马逊 Redshift 设置亚马逊 VPC 终端节点

在私有子网或 Amazon DMS 无服务器 Amazon DMS 复制中使用复制实例时,必须创建 VPC 终端节点才能与 Amazon Redshift 建立安全连接。如果没有 VPC 终端节点配置,则会 Amazon DMS 面临连接错误。有关更多信息,请参阅:

为亚马逊 OpenSearch 服务设置亚马逊 VPC 终端节点

在私有子网或 Amazon DMS 无服务器 Amazon DMS 复制中使用复制实例时,必须创建 VPC 终端节点才能与 Ama OpenSearch zon Service 建立安全连接。如果没有 VPC 终端节点配置,则会 Amazon DMS 面临连接错误。有关更多信息,请参阅:

设置复制实例、DMS 子网组和 DMS 终端节点

创建 VPC 终端节点后,必须配置 Amazon DMS 复制资源。您可以设置用于网络隔离的复制子网组、用于处理的复制实例或无服务器复制,以及用于连接到源数据库和目标数据库的终端节点,以便在您的 VPC 内实现安全的数据库迁移。

设置 Amazon DMS 复制实例

要配置 Amazon DMS 预配置的复制实例,必须设置 DMS 复制子网组。

创建 DMS 复制子网组

  1. 登录 Amazon Web Services Management Console 并打开 DMS 控制台。

  2. 在左侧导航窗格中,打开 “子网组”,然后选择 “创建子网组”。

  3. 输入名称描述

  4. VPC 下拉菜单中,选择在您要创建 DMS 复制实例的同一区域中运行的 VPC。

  5. 添加子网下拉菜单中,添加您在创建 VPC 终端节点时指定的私有子网。您可以使用子网 ID 标识私有子网。例如:vpc-xxxxxx-subnet-private1-us-west-2a

  6. 单击 “创建子网组”。

创建 DMS 复制实例(已预配置)

  1. 导航 Amazon Web Services Management Console 到创建复制实例。有关更多信息,请参阅创建复制实例。要了解更多选择、大小和配置复制实例,请参阅使用 Amazon DMS 复制实例

  2. 连接和安全部分中,从虚拟私有云 (VPC) IPv4双栈模式中选择要在其中创建 Amazon DMS 复制实例的 VPC。有关更多信息,请参阅为复制实例设置网络

  3. 复制子网组下拉菜单中,选择您为复制实例创建的子网组。

    注意

    确保为 VPC 终端节点指定的子网与 DMS 复制实例子网组中的子网相同。您必须从子网组中移除与 VPC 终端节点无关的所有子网。

  4. 取消选中 “公共可访问” 复选框以禁用公共访问。

  5. 高级设置部分的 VPC 安全组下拉菜单中,选择与您的复制实例关联的所有 VPC 子网组。这些组必须包含子网组,该子网组包含您在创建 VPC 终端节点时指定的子网。

    如果您未指定子网组,则 DMS 会选择默认的复制子网组,如果不存在则创建该子网组。有关更多信息,请参阅的安全组配置 Amazon DMS

  6. 完成复制实例配置并选择创建复制实例

    您必须等待,直到状态变成Available

创建 Amazon DMS 源端点和目标端点

  1. 登录 DMS 控制台。

  2. 导航到Amazon DMS 端点并选择创建端点

  3. 创建和配置端点和目标端点。

  4. 在 DMS 控制台中,您可以选择现有的 IAM 角色或创建新的 IAM 角色来访问 Amazon 密钥管理器中存储的数据库证书。

  5. 单击 “运行测试” 以测试 DMS 复制实例中的终端节点连接。您的复制实例应具有运行测试的Available状态。

  6. 选择创建终端节点

设置 Amazon DMS 无服务器复制

要配置 Amazon DMS 无服务器复制,必须设置 DMS 复制子网组。

创建 Amazon DMS 源端点和目标端点

  1. 登录 DMS 控制台。

  2. 导航到Amazon DMS 端点并选择创建端点

  3. 创建和配置端点和目标端点。

  4. 在 DMS 控制台中,您可以选择现有的 IAM 角色或创建新的 IAM 角色来访问 Amazon 密钥管理器中存储的数据库证书。

    注意

    对于 Amazon DMS 无服务器复制,您无法测试 DMS 端点的连接或使用 API。TestConnection连接测试在 DMS 实例和您的 source/target 数据库之间的无服务器复制启动期间执行。有关更多信息,请参阅Amazon DMS 无服务器组件

  5. 选择创建终端节点

创建 DMS 复制子网组

  1. 登录 Amazon Web Services Management Console 并打开 DMS 控制台。

  2. 在左侧导航窗格中,打开 “子网组”,然后选择 “创建子网组”。

  3. 输入名称描述

  4. VPC 下拉菜单中,选择与您的 DMS 无服务器实例位于同一区域的 VPC。

  5. 添加子网下拉菜单中,添加您在创建 VPC 终端节点时指定的私有子网。您可以使用子网 ID 标识私有子网。例如:vpc-xxxxxx-subnet-private1-us-west-2a

  6. 单击 “创建子网组”。

创建 DMS 无服务器复制

  1. 导航到 DMS 控制台以创建无服务器实例。有关更多信息,请参阅创建无服务器复制。要了解更多选择、调整和配置无服务器实例,请参阅使用无 Amazon DMS 服务器

  2. 连接和安全部分,从虚拟私有云 (VPC) 下拉菜单中选择要在其中创建 Amazon DMS 无服务器实例的 VPC。有关更多信息,请参阅为复制实例设置网络

  3. 子网组下拉菜单中,选择您为无服务器实例创建的子网组。

    注意

    确保为 VPC 终端节点指定的子网与 DMS 无服务器实例子网组中的子网相同。您必须从子网组中移除所有与您的无服务器实例无关联的子网。

  4. 选择可用区

  5. 从最大 DMS 容量单位 (DCU) 下拉菜单中,选择所需的 DCU 容量。

  6. 选择创建任务。这将创建一个 DMS 无服务器复制配置,该配置以状态显示在任务列表中。Start required

  7. 要启动无服务器复制,请选择您的任务,然后从 “操作” 菜单中选择 “启动”。

迁移到 3.4.7 及更高 Amazon DMS 版本时谁会受到影响?

如果您使用的是前面列出的一个或多个 Amazon DMS 终端节点,并且这些终端节点不可公开路由,或者它们没有与之关联的 VPC 终端节点,则会受到影响。

谁在迁移到 3.4.7 及更高 Amazon DMS 版本时不受影响?

在以下情况下,您不会受到影响:

  • 您没有使用先前列出的一个或多个 Amazon DMS 终端节点。

  • 您正在使用前面列出的任何终端节点,并且它们可以公开路由。

  • 您在使用前面列出的任何端点,并且它们具有与之关联的 VPC 端点。

准备迁移到 Amazon DMS 3.4.7 及更高版本

要防止在使用前面描述的任何端点时发生 Amazon DMS 任务失败,请在将 Amazon DMS 升级到 3.4.7 或更高版本之前执行以下步骤之一:

  • 使受影响的 Amazon DMS 端点可公开路由。例如,向 Amazon DMS 复制实例已使用的任何 VPC 添加 Internet Gateway (IGW) 路由,使其所有源端点和目标终端节点均可公开路由。

  • 创建 VPC 端点以访问 Amazon DMS 使用的所有源端点和目标端点,如下所述。

对于您用于 Amazon DMS 源和目标终端节点的任何现有 VPC 终端节点,请确保它们使用的信任策略符合 XML 策略文档。dms-vpc-role有关此 XML 策略文档的更多信息,请参阅创建要与一起使用的 IAM 角色 Amazon DMS

否则,请将 VPC 端点添加到包含您的复制实例的 VPC 端点,以将复制实例配置为 VPC 端点。如果您配置的复制实例不带公有终端节点,则向包含您的复制实例的 VPC 添加可公开访问的 VPC 终端节点将使其可公开访问。您无需执行其他任何操作,即可专门将您的复制实例与 VPC 端点关联。

注意

不同的服务可能具有唯一的 VPC 端点配置。例如,在使用 Amazon Secrets Manager时,您通常不需要调整路由表。务必检查每项服务的具体要求。

有关为 Amazon DMS 复制实例配置 VPC 终端节点的更多信息,请参阅数据库迁移的网络配置。有关创建用于访问 Amazon 服务的接口 VPC 终端节点的更多信息,请参阅Amazon PrivateLink 指南中的使用接口 VPC 终端节点访问 Amazon 服务。有关 Amazon DMS 在 VPC 终端节点上的区域可用性的信息,请参阅Amazon 区域表