Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erweiterte Endpunktkonfiguration
In AWS Database Migration Service (AWS DMS) können Sie erweiterte Einstellungen für Ihre Endgeräte konfigurieren, um die Kontrolle darüber zu erhalten, wie sich Quell- und Zielendpunkte während des Migrationsprozesses verhalten. Im Rahmen der erweiterten Konfiguration können Sie AWS DMS VPC-Peering konfigurieren, um eine sichere Kommunikation zwischen ihnen zu ermöglichen VPCs, DMS-Sicherheitsgruppen zur Kontrolle des eingehenden und ausgehenden Datenverkehrs, Netzwerkzugriffskontrolllisten (NACLs) als zusätzliche Sicherheitsebene und VPC-Endpunkte für Secrets Manager konfigurieren. AWS
Sie können diese Konfigurationen während der Endpunkterstellung festlegen oder später über die AWS DMS Konsole oder API ändern, um die Migrationsprozesse auf der Grundlage spezifischer Anforderungen und Leistungsanforderungen der Datenbank-Engine zu optimieren.
Im Folgenden finden Sie weitere Informationen zur erweiterten Endpunktkonfiguration.
**Topics**
+ [VPC-Peering-Konfiguration für. AWS DMS](CHAP_Advanced.Endpoints.vpc.peering.md)
+ [Konfiguration der Sicherheitsgruppe für AWS DMS](CHAP_Advanced.Endpoints.securitygroup.md)
+ [Konfiguration der Network Access Control List (NACL) für AWS DMS](CHAP_Advanced.Ednpoints.NACL.md)
+ [Konfiguration des VPC-Endpunkts für AWS DMS Secrets Manager](CHAP_Advanced.Endpoints.secretsmanager.md)
+ [Weitere Überlegungen](#CHAP_secretsmanager.additionalconsiderations)
# VPC-Peering-Konfiguration für. AWS DMS
VPC-Peering ermöglicht private Netzwerkkonnektivität zwischen zwei VPCs, sodass AWS DMS Replikationsinstanzen und Datenbank-Endpunkte über verschiedene Netzwerke hinweg kommunizieren können, VPCs als ob sie sich im selben Netzwerk befinden würden. Dies ist von entscheidender Bedeutung, wenn sich Ihre DMS-Replikationsinstanz in einer VPC befindet, während Quell- oder Zieldatenbanken getrennt existieren, was eine direkte VPCs, sichere Datenmigration ermöglicht, ohne das öffentliche Internet zu durchqueren.
Wenn Sie Amazon RDS verwenden, müssen Sie VPC-Peering zwischen DMS und RDS konfigurieren, wenn sich Ihre Instances an unterschiedlichen Standorten befinden. VPCs
Sie müssen die folgenden Schritte ausführen:
**Erstellen einer VPC-Peering-Verbindung**
1. Navigieren Sie zur [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich unter **Virtual Private** Cloud die Option **Peering Connections** aus.
1. Klicken Sie auf **Peering-Verbindung erstellen**.
1. Konfigurieren Sie die Peering-Verbindungen:
+ Namensschild (optional): Geben Sie einen Namen für die Peering-Verbindung ein (Beispiel:`DMS-RDS-Peering`).
**VPC-Anforderer**: Wählen Sie die VPC aus, die Ihre DMS-Instanz enthält.
+ **VPC-Akzepter**: Wählen Sie die VPC aus, die Ihre RDS-Instance enthält.
**Anmerkung**
Wenn die akzeptierende VPC mit einem anderen AWS Konto verknüpft ist, benötigen Sie die Konto-ID und die VPC-ID für dieses Konto.
1. **Klicken Sie auf Peering-Verbindung erstellen.**
**Akzeptieren der VPC-Peering-Verbindung**
1. **Suchen Sie in der Liste der **Peering-Verbindungen** nach der neuen Peering-Verbindung mit dem Status „Ausstehende Annahme“.**
1. **Wählen Sie die entsprechende Peering-Verbindung aus, klicken Sie auf **Aktionen** und wählen Sie Anfrage annehmen aus.**
**Der Status der Peering-Verbindung ändert sich in Aktiv.**
**Routentabellen werden aktualisiert**
Um den Verkehr zwischen den zu ermöglichen VPCs, müssen Sie die Routentabelle in Ihren beiden aktualisieren VPCs. So aktualisieren Sie die Routentabellen in der DMS-VPC:
1. Identifizieren Sie den CIDR-Block der RDS-VPC:
1. Navigieren Sie zu Ihrer RDS-VPC VPCs und wählen Sie sie aus.
1. Kopieren Sie den IPv4 CIDR-Wert auf der **CIDRs**Registerkarte.
1. Identifizieren Sie die relevanten DMS-Routing-Tabellen mithilfe der Ressourcenübersicht:
1. Navigieren Sie zu Ihrer DMS-VPC VPCs und wählen Sie sie aus.
1. Klicken Sie auf die Registerkarte **Resource Map** und notieren Sie sich die Routentabellen, die den Subnetzen zugeordnet sind, in denen sich Ihre DMS-Instanz befindet.
1. Aktualisieren Sie alle Routentabellen in der DMS-VPC:
1. Navigieren Sie zu den Routentabellen in der [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie die Routentabellen-IDs für die DMS-VPC aus. Sie können sie auf der Registerkarte **Ressourcenübersicht** der VPC öffnen.
1. Klicken Sie auf **Routen bearbeiten**.
1. Klicken Sie auf Route hinzufügen und geben Sie die folgenden Informationen ein:
+ **Ziel**: Geben Sie den IPv4 CIDR-Block der RDS-VPC ein (Beispiel:`10.1.0.0/16`).
+ **Ziel**: Wählen Sie die Peering-Konfigurations-ID aus (Beispiel:). `pcx-1234567890abcdef`
1. Klicken Sie auf **Routen speichern**.
Ihre VPC-Routen werden für die DMS-VPC gespeichert. Führen Sie dieselben Schritte für Ihre RDS-VPC aus.
**Aktualisieren von Sicherheitsgruppen**
1. Überprüfen Sie die Sicherheitsgruppe der DMS-Instanz:
1. Sie müssen sicherstellen, dass die Regeln für ausgehenden Datenverkehr Datenverkehr zur RDS-Instance zulassen:
+ **Typ**: Benutzerdefiniertes TCP oder der spezifische Datenbankport (Beispiel: 3306 für MySQL).
+ **Ziel**: Der CIDR-Block der RDS-VPC oder die Sicherheitsgruppe der RDS-Instance.
1. Überprüfen Sie die Sicherheitsgruppe der RDS-Instanz:
1. Sie müssen sicherstellen, dass die Regeln für eingehenden Datenverkehr von der DMS-Instanz aus zulassen:
+ **Typ**: Der spezifische Datenbankport.
+ Quelle: Der CIDR-Block der DMS-VPC oder die Sicherheitsgruppe der RDS-Instanz.
**Anmerkung**
Sie müssen außerdem Folgendes sicherstellen:
**Aktive Peering-Verbindung**: Stellen Sie sicher, dass sich die VPC-Peering-Verbindung im Status **Aktiv** befindet, bevor Sie fortfahren.
**Ressourcenübersicht**: Verwenden Sie die Registerkarte **Ressourcenübersicht** in der [Amazon VPC-Konsolenkonsole](https://console.aws.amazon.com/vpc/), um zu ermitteln, welche Routentabellen aktualisiert werden müssen.
**Keine überlappenden CIDR-Blöcke**: Sie VPCs müssen nicht überlappende CIDR-Blöcke haben.
**Bewährte Sicherheitsmethoden: Beschränken** Sie die Regeln für Sicherheitsgruppen auf die erforderlichen Ports und Quellen.
Weitere Informationen finden Sie unter [VPC-Peering-Verbindungen](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
# Konfiguration der Sicherheitsgruppe für AWS DMS
Die Sicherheitsgruppe in AWS DMS muss eingehende und ausgehende Verbindungen für Ihre Replikationsinstanzen am entsprechenden Datenbankport zulassen. Wenn Sie Amazon RDS verwenden, müssen Sie die Sicherheitsgruppe zwischen DMS und RDS für Ihre Instances konfigurieren.
Sie müssen die folgenden Schritte ausführen:
**Konfigurieren Sie die Sicherheitsgruppe der RDS-Instanz**
1. Navigieren Sie zur [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich auf der linken Seite unter **Sicherheit** die Option **Sicherheitsgruppen** aus.
1. Wählen Sie die RDS-Sicherheitsgruppe aus, die Ihrer RDS-Instance zugeordnet ist.
1. Bearbeiten Sie die Regeln für eingehenden Datenverkehr:
1. Klicken Sie auf **Aktionen** und wählen Sie Regeln für **eingehenden Datenverkehr bearbeiten** aus.
1. Klicken Sie auf **Regel hinzufügen**, um eine neue Regel zu erstellen.
1. Konfigurieren Sie die Regel wie folgt:
+ **Typ**: Wählen Sie Ihren Datenbanktyp aus (Beispiel: MySQL/Aurora für Port 3306, PostgreSQL für Port 5432).
+ **Protokoll**: Dies wird basierend auf Ihrem Datenbanktyp automatisch aufgefüllt.
+ **Portbereich**: Dieser Wert wird basierend auf Ihrem Datenbanktyp automatisch aufgefüllt.
+ **Quelle**: Wählen Sie **Benutzerdefiniert** und fügen Sie die Sicherheitsgruppen-ID ein, die Ihrer DMS-Instanz zugeordnet ist. Dies ermöglicht den Datenverkehr von jeder Ressource innerhalb dieser Sicherheitsgruppe. Sie können auch den IP-Bereich (CIDR-Block) Ihrer DMS-Instanz angeben.
1. Klicken Sie auf Regeln **speichern**.
**Konfigurieren Sie die Sicherheitsgruppe der DMS-Replikationsinstanz**
1. Navigieren Sie zur [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich auf der linken Seite unter **Sicherheit** die Option **Sicherheitsgruppen** aus.
1. Suchen Sie in der Liste der **Sicherheitsgruppen nach der Sicherheitsgruppe**, die Ihrer DMS-Replikationsinstanz zugeordnet ist, und wählen Sie sie aus.
1. Bearbeiten Sie die Regeln für ausgehenden Datenverkehr:
1. Klicken Sie auf **Aktionen** und wählen Sie Regeln für **ausgehenden Datenverkehr bearbeiten** aus.
1. Klicken Sie auf **Regel hinzufügen**, um eine neue Regel zu erstellen.
1. Konfigurieren Sie die Regel wie folgt:
+ Typ: Wählen Sie Ihren Datenbanktyp aus (Beispiel: MySQL/Aurora, PostgreSQL).
+ Protokoll: Dies wird basierend auf Ihrem Datenbanktyp automatisch aufgefüllt.
+ Portbereich: Dieser Wert wird basierend auf Ihrem Datenbanktyp automatisch aufgefüllt.
+ Quelle: Wählen Sie **Benutzerdefiniert** und fügen Sie die Sicherheitsgruppen-ID ein, die Ihrer RDS-Instance zugeordnet ist. Dies ermöglicht den Datenverkehr von jeder Ressource innerhalb dieser Sicherheitsgruppe. Sie können auch den IP-Bereich (CIDR-Block) Ihrer RDS-Instance angeben.
1. Klicken Sie auf **Regeln speichern**.
## Weitere Überlegungen
Sie müssen die folgenden zusätzlichen Konfigurationsinformationen berücksichtigen:
+ **Verwenden Sie Sicherheitsgruppenreferenzen**: Der Verweis auf Sicherheitsgruppen in der Quell- oder Zielinstanz ermöglicht eine dynamische Verwaltung und ist sicherer als die Verwendung von IP-Adressen, da dadurch automatisch alle Ressourcen innerhalb der Gruppe eingeschlossen werden.
+ **Datenbank-Ports**: Stellen Sie sicher, dass Sie den richtigen Port für Ihre Datenbank verwenden.
+ **Bewährte Sicherheitsmethoden**: Öffnen Sie nur die erforderlichen Ports, um Sicherheitsrisiken zu minimieren. Außerdem müssen Sie Ihre Sicherheitsgruppenregeln regelmäßig überprüfen, um sicherzustellen, dass sie Ihren Sicherheitsstandards und -anforderungen entsprechen.
# Konfiguration der Network Access Control List (NACL) für AWS DMS
Wenn Sie Amazon RDS als Replikationsquelle verwenden, sollten Sie die Network Access Control Lists (NACLs) für Ihr DMS und Ihre RDS-Instance aktualisieren. Stellen Sie sicher, dass NACLs sie den Subnetzen zugeordnet sind, in denen sich diese Instances befinden. Dies ermöglicht eingehenden und ausgehenden Verkehr auf dem spezifischen Datenbankport.
Um die Network Access Control Lists zu aktualisieren, müssen Sie die folgenden Schritte ausführen:
**Anmerkung**
Wenn sich Ihre DMS- und RDS-Instances im selben Subnetz befinden, müssen Sie nur die NACL dieses Subnetzes aktualisieren.
**Identifizieren Sie die relevanten NACLs**
1. Navigieren Sie zur [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich auf der linken Seite unter **Sicherheit** die Option **Netzwerk ACLs** aus.
1. Wählen Sie die NACLs entsprechenden Subnetze aus, in denen sich Ihre DMS- und RDS-Instances befinden.
**Aktualisieren Sie das NACLs für das DMS-Instanz-Subnetz**
1. Identifizieren Sie die NACL, die dem Subnetz Ihrer DMS-Instanz zugeordnet ist. Dazu können Sie die Subnetze in der [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/) durchsuchen, das DMS-Subnetz suchen und die zugehörige NACL-ID notieren.
1. Bearbeiten Sie die Regeln für eingehende Nachrichten:
1. Klicken Sie für die ausgewählte NACL auf die Registerkarte **Inbound Rules**.
1. Wählen Sie **Regeln für ausgehenden Datenverkehr bearbeiten** aus.
1. Fügen Sie eine neue Regel hinzu:
+ **Regel Nr.**: Wählen Sie eine eindeutige Zahl (Beispiel: 100).
+ **Typ**: Wählen Sie **Benutzerdefinierte TCP-Regel** aus.
+ **Protocol (Protokoll)**: TCP
+ **Portbereich**: Geben Sie Ihren Datenbankport ein (Beispiel: 3306 für MySQL).
+ **Quelle**: Geben Sie den CIDR-Block des RDS-Subnetzes ein (Beispiel: 10.1.0.0/16).
+ ****Zulassen/Verweigern: Wählen Sie Zulassen aus.****
1. Bearbeiten Sie die Regeln für ausgehende Nachrichten:
1. Klicken Sie auf die Registerkarte **Ausgehende Regeln** für die ausgewählte NACL.
1. Klicken Sie auf Regeln für **ausgehenden Datenverkehr bearbeiten**.
1. Fügen Sie eine neue Regel hinzu:
+ **Regel Nr.**: Verwenden Sie dieselbe Nummer wie in den Regeln für eingehende Nachrichten.
+ **Typ**: Gesamter Verkehr.
+ **Ziel**: 0.0.0.0/0
+ **Zulassen/Verweigern****: Wählen Sie Zulassen aus.**
1. Klicken Sie auf **Änderungen speichern**.
1. Führen Sie dieselben Schritte aus, um das mit dem Subnetz der RDS-Instanz NACLs verknüpfte Subnetz zu aktualisieren.
## Überprüfen Sie die NACL-Regeln
Sie müssen die folgenden Kriterien für die Einhaltung der NACL-Regeln sicherstellen. :
+ **Reihenfolge der Regeln**: NACLs Verarbeitet Regeln in aufsteigender Reihenfolge auf der Grundlage der Regelnummer. Stellen Sie sicher, dass alle auf "**Zulassen**" festgelegten Regeln niedrigere Regelnummern haben als alle auf "**Verweigern**" festgelegten Regeln, da dies den Verkehr blockieren könnte.
+ **Staatenlosigkeit:** NACLs sind staatenlos. Sie müssen sowohl eingehenden als auch ausgehenden Verkehr ausdrücklich zulassen.
+ **CIDR-Blöcke**: Sie müssen sicherstellen, dass die von Ihnen verwendeten CIDR-Blöcke die Subnetze Ihrer DMS- und RDS-Instances genau wiedergeben.
# Konfiguration des VPC-Endpunkts für AWS DMS Secrets Manager
Sie müssen einen VPC-Endpunkt erstellen, um von einer Replikationsinstanz in einem privaten Subnetz auf den AWS Secrets Manager zuzugreifen. Dadurch kann die Replikationsinstanz direkt über das private Netzwerk auf den Secrets Manager zugreifen, ohne Datenverkehr über das öffentliche Internet zu senden.
Zur Konfiguration müssen Sie die folgenden Schritte ausführen:
**Erstellen Sie eine Sicherheitsgruppe für den VPC-Endpunkt.**
1. Navigieren Sie zur [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich auf der linken Seite **Sicherheitsgruppen** und anschließend **Sicherheitsgruppe erstellen** aus.
1. Konfigurieren Sie die Details der Sicherheitsgruppe:
+ **Name der Sicherheitsgruppe**: Beispiel: `SecretsManagerEndpointSG`
+ **Beschreibung**: Geben Sie eine entsprechende Beschreibung ein. (Beispiel: Sicherheitsgruppe für Secrets Manager VPC-Endpunkt).
+ **VPC**: Wählen Sie die VPC aus, in der sich Ihre Replizierungsinstanz und Ihre Endpoints befinden.
1. Klicken Sie auf **Regel hinzufügen**, um Regeln für eingehenden Datenverkehr festzulegen und Folgendes zu konfigurieren:
+ Typ: HTTPS (da der Secrets Manager HTTPS auf Port 443 verwendet).
+ Quelle: Wählen Sie **Benutzerdefiniert** und geben Sie die Sicherheitsgruppen-ID Ihrer Replikationsinstanz ein. Dadurch wird sichergestellt, dass jede Instance, die dieser Sicherheitsgruppe zugeordnet ist, auf den VPC-Endpunkt zugreifen kann.
1. Überprüfen Sie die Änderungen und klicken Sie auf **Sicherheitsgruppe erstellen**.
**Erstellen Sie einen VPC-Endpunkt für Secrets Manager**
**Anmerkung**
Erstellen Sie einen VPC-Schnittstellen-Endpunkt, wie im [Dokumentationsthema Creating an Interface Endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch* beschrieben. Achten Sie bei der Durchführung dieses Verfahrens auf Folgendes:
Als **Servicekategorie** sollten Sie **AWS Dienste auswählen.**
Suchen Sie nach **dem Dienst** Secretes Manager `seretsmanager` und wählen Sie ihn aus.
1. Wählen Sie **VPC und Subnetze** aus und konfigurieren Sie Folgendes:
+ **VPC**: Stellen Sie sicher, dass es sich um dieselbe VPC wie Ihre Replikationsinstanz handelt.
+ **Subnetze**: Wählen Sie die Subnetze aus, in denen sich Ihre Replikationsinstanz befindet.
1. Stellen Sie unter **Zusätzliche Einstellungen** sicher, dass die Option „**DNS-Namen aktivieren**“ standardmäßig für die Schnittstellenendpunkte aktiviert ist
1. Wählen Sie unter **Sicherheitsgruppe** den entsprechenden Sicherheitsgruppennamen aus. Beispiel: `SecretsManagerEndpointSG` wie zuvor erstellt).
1. Überprüfen Sie alle Einstellungen und klicken Sie auf **Endpunkt erstellen**.
**Rufen Sie den DNS-Namen des VPC-Endpunkts ab**
1. Greifen Sie auf die VPC-Endpunktdetails zu:
1. Navigieren Sie zur [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/) und wählen Sie **Endpoints** aus.
1. Wählen Sie den entsprechenden Endpunkt aus, den Sie erstellt haben.
1. Kopieren Sie den DNS-Namen:
1. Navigieren Sie auf der Registerkarte **Details** zum Abschnitt **DNS-Namen**.
1. Kopieren Sie den ersten aufgelisteten DNS-Namen. (Beispiel: `vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`). Dies ist der regionale DNS-Name.
**Aktualisieren Sie Ihren DMS-Endpunkt**
1. Navigieren Sie zur [AWS DMS](https://console.aws.amazon.com/dms/v2) Konsole.
1. Ändern Sie den DMS-Endpunkt:
1. Wählen Sie im Navigationsbereich auf der linken Seite **Endpoints** aus.
1. Wählen Sie den entsprechenden Endpunkt aus, den Sie konfigurieren möchten.
1. Klicken Sie auf **Aktionen** und wählen Sie **Ändern** aus.
1. Konfigurieren Sie die Endpunkteinstellungen:
1. Navigieren Sie zu **Endpunkteinstellungen** und aktivieren Sie das Kontrollkästchen **Verbindungsattribute für Endgeräte verwenden**.
1. Fügen Sie im Feld **Verbindungsattribute** Folgendes hinzu:`secretsManagerEndpointOverride=`.
**Anmerkung**
Wenn Sie mehrere Verbindungsattribute haben, können Sie sie durch ein Semikolon „;“ trennen. Beispiel: `datePartitionEnabled=false;secretsManagerEndpointOverride=vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`
1. Klicken Sie auf **Endpunkt ändern**, um Ihre Änderungen zu speichern.
## Weitere Überlegungen
Sie müssen die folgenden zusätzlichen Konfigurationsinformationen berücksichtigen:
**Sicherheitsgruppe für die Replikationsinstanz:**
+ Stellen Sie sicher, dass die Ihrer Replikationsinstanz zugeordnete Sicherheitsgruppe ausgehenden Datenverkehr zum VPC-Endpunkt auf Port 443 (HTTPS) zulässt.
**VPC-DNS-Einstellungen:**
+ Vergewissern Sie sich, dass **DNS-Auflösung** und **DNS-Hotnames** in Ihrer VPC aktiviert sind. Dadurch können Ihre Instances die DNS-Namen der VPC-Endpunkte auflösen. **Sie können dies bestätigen, indem Sie VPCs in der [Amazon VPC-Konsole zu navigieren und Ihre VPC](https://console.aws.amazon.com/vpc/) auswählen, um zu überprüfen, ob die **DNS-Auflösung und die **DNS-Hotnames**** auf „Ja“ gesetzt sind.**
**Konnektivität testen:**
+ Von Ihrer Replikationsinstanz aus können Sie eine DNS-Suche durchführen, um sicherzustellen, dass sie den VPC-Endpunkt auflöst:. `nslookup secretsmanager.amazonaws.com` Es muss die mit Ihrem VPC-Endpunkt verknüpfte IP-Adresse zurückgeben