View a markdown version of this page

Configuración de una red para la conversión de esquemas del DMS - AWS Database Migration Service
Configuración de una sola VPCMúltiples configuraciones de VPCConfiguración de VPC compartidaUso de Direct Connect una VPNUso de una conexión de InternetResolución de puntos de conexión de dominio mediante DNSSolución de problemas de red

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de una red para la conversión de esquemas del DMS

La conversión de esquemas de DMS es una función sin servidor. Para conectarse a sus bases de datos, coloca una interface de red elástica (ENI) en una subred dentro de la VPC. Cuando creas tu perfil de instancia, especificas la VPC, el grupo de subredes y los grupos de seguridad que vas a usar. Puede usar su VPC predeterminada para su cuenta o puede crear una nueva VPC. Región de AWS

Para garantizar una conectividad adecuada entre DMS Schema Conversion y sus proveedores de datos, configure los siguientes componentes de red:

  • Grupos de seguridad: configure las reglas de salida en el grupo de seguridad asociado a la conversión de esquemas de DMS para permitir el tráfico saliente a las redes de bases de datos de origen y destino. Configure las reglas de entrada en los grupos de seguridad de la base de datos para permitir el tráfico entrante desde el grupo de seguridad de conversión de esquemas de DMS.

  • ACL de red: si las subredes utilizan listas de control de acceso a la red, asegúrese de que permiten el tráfico entre las subredes de conversión de esquemas del DMS y las subredes de la base de datos.

  • Tablas de enrutamiento: asegúrese de que las tablas de enrutamiento asociadas a las subredes de conversión de esquemas de DMS tengan rutas para llegar a las bases de datos de origen y destino. Esto puede incluir rutas de emparejamiento de VPC, rutas de puerta de enlace VPN o rutas de puerta de enlace NAT, según la configuración.

  • Subredes: la conversión de esquemas de DMS coloca su ENI en las subredes definidas en su grupo de subredes. El grupo de subredes debe contener al menos dos subredes en zonas de disponibilidad independientes.

importante

Como la conversión de esquemas de DMS no tiene servidor, la dirección IP del ENI puede cambiar en cualquier momento. No utilice una dirección IP específica para la lista de permitidos. En su lugar, haga referencia al grupo de seguridad DMS Schema Conversion en las reglas de entrada del grupo de seguridad de su base de datos o dirija el tráfico saliente a través de una puerta de enlace NAT con una dirección IP elástica asociada para la conectividad local.

Puede usar varias configuraciones de red diferentes con DMS Schema Conversion. Las siguientes son configuraciones comunes para una red utilizada para la conversión de esquemas. Cuando sea práctico, le recomendamos que cree un perfil de instancia en la misma región que el punto final de destino y utilice la misma VPC o subred que el punto final de destino.

Uso de una sola VPC para los proveedores de datos de origen y destino

La configuración de red más sencilla para la conversión de esquemas del DMS es una configuración de VPC única. En esta configuración, el perfil de instancia especifica la misma VPC en la que residen las bases de datos de origen y destino. La conversión de esquemas de DMS usa un ENI en esa VPC para conectarse a ambas bases de datos.

La siguiente ilustración muestra una configuración en la que una base de datos de origen se conecta a la conversión de esquemas de DMS y el esquema se convierte en una base de datos de destino, todo dentro de la misma VPC.

Base de datos de origen, conversión de esquemas de DMS y base de datos de destino en una única VPC que se comunica a través de la misma subred.

Los grupos de seguridad de las bases de datos deben permitir la entrada en el puerto de la base de datos desde el grupo de seguridad de conversión de esquemas de DMS. No utilice una dirección IP de ENI específica para incluir en la lista de permitidos, ya que la dirección IP de ENI puede cambiar en cualquier momento.

Los siguientes ejemplos muestran las reglas de entrada de un grupo de seguridad de base de datos. En estos ejemplos, sg-1234567890abcdef0 es el grupo de seguridad asociado a la conversión de esquemas de DMS. Utilice el puerto para el que está configurada la base de datos.

Ejemplo de reglas de entrada para un grupo de seguridad de base de datos
Tipo Protocolo Intervalo de puertos origen Description (Descripción)
Oracle-RDS TCP 1521 sg-1234567890abcdef0 Base de datos de Oracle
MySQL/Aurora TCP 3306 sg-1234567890abcdef0 Base de datos MySQL o Aurora MySQL
PostgreSQL TCP 5432 sg-1234567890abcdef0 Base de datos PostgreSQL o Aurora PostgreSQL
MSSQL TCP 1433 sg-1234567890abcdef0 Base de datos Microsoft SQL Server
TCP personalizada TCP Tu puerto sg-1234567890abcdef0 Cualquier otra base de datos que utilice un puerto personalizado

Uso de múltiples VPC para los proveedores de datos de origen y destino

Si las bases de datos de origen y destino están en VPC diferentes, incluidas las VPC de AWS cuentas o regiones diferentes, puede configurar el perfil de instancia para usar una de las VPC y, a continuación, vincular las dos VPC mediante el emparejamiento de VPC. También puedes usar otras opciones de VPC-to-VPC conectividad, como AWS Transit Gateway. Para obtener más información, consulte Opciones de conectividad de Amazon VPC-to-Amazon VPC.

Una conexión de emparejamiento de VPC es una conexión de red entre dos VPC que activa el enrutamiento mediante la dirección IP privada de cada VPC como si estuvieran en la misma red. Puede crear una conexión de emparejamiento de VPC entre sus propias VPC, con una VPC de otra cuenta o con una VPC de otra AWS . Región de AWS Para obtener más información acerca de las interconexiones de VPC, consulte Interconexiones de VPC en la Guía del usuario de Amazon VPC.

En la siguiente ilustración, se muestra una configuración mediante el emparejamiento de VPC. En este caso, la base de datos de origen de una VPC se conecta mediante emparejamiento de VPC a otra VPC que contiene DMS Schema Conversion y la base de datos de destino.

Base de datos de origen en la VPC A conectada mediante emparejamiento de VPC a DMS Schema Conversion y base de datos de destino en la VPC B.

Para implementar el emparejamiento de VPC, siga las instrucciones de Cómo trabajar con conexiones de emparejamiento de VPC en la Guía del usuario de Amazon VPC. Asegúrese de que la tabla de enrutamiento de una VPC contenga el bloque de CIDR de la otra. Por ejemplo, supongamos que la VPC A utiliza el destino 10.0.0. 0/16 y la VPC B utiliza el destino 172.31.0. 0/16. En este caso, la tabla de enrutamiento de la VPC A debe contener 172.31.0. 0/16, y la tabla de enrutamiento de la VPC B debe contener 10.0.0. 0/16. Para obtener información más detallada, consulte Actualizar las tablas de enrutamiento para la conexión de emparejamiento de VPC en la Guía de emparejamiento de Amazon VPC.

Los grupos de seguridad de sus bases de datos deben permitir la entrada en el puerto de la base de datos desde el grupo de seguridad DMS Schema Conversion. Si sus VPC están en AWS cuentas o regiones diferentes, es posible que no se admitan las referencias a los grupos de seguridad. En este caso, utilice en su lugar los rangos CIDR de subred de la VPC emparejada.

Los siguientes ejemplos muestran las reglas de entrada para la base de datos de origen en la VPC A que permiten el acceso desde el rango CIDR de la subred de conversión de esquemas del DMS en la VPC B (172.31.1). 0/24). Utilice el puerto en el que está configurada la base de datos para escuchar. Si ambas VPC están en la misma región y cuenta, se recomienda utilizar una referencia de grupo de seguridad en lugar de un rango CIDR para un control de acceso más estricto.

Ejemplo de reglas de entrada para un grupo de seguridad de bases de datos (interconexión de VPC)
Tipo Protocolo Intervalo de puertos origen Description (Descripción)
Oracle-RDS TCP 1521 172.31.1. 0/24 Base de datos de Oracle
MySQL/Aurora TCP 3306 172,31,1. 0/24 Base de datos MySQL o Aurora MySQL
PostgreSQL TCP 5432 172.31.1. 0/24 Base de datos PostgreSQL o Aurora PostgreSQL
MSSQL TCP 1433 172.31.1. 0/24 Base de datos Microsoft SQL Server
TCP personalizada TCP Tu puerto 172.31.1. 0/24 Cualquier otra base de datos que utilice un puerto personalizado

Uso de VPC compartidas para los proveedores de datos de origen y destino

AWS Database Migration Service trata las subredes que se comparten con una cuenta de cliente participante en una organización del mismo modo que las subredes normales de la misma cuenta.

Puede configurar su red para que funcione en subredes o VPC personalizadas mediante la creación de grupos de subredes de replicación. Al crear un grupo de subredes de replicación, se especifican las subredes de una VPC concreta. La lista de subredes debe incluir al menos dos subredes en zonas de disponibilidad independientes y todas las subredes deben estar en la misma VPC.

Si usa una VPC compartida, cree grupos de subredes de replicación que se asignen a las subredes que quiere usar desde la VPC compartida. Al crear un perfil de instancia, especifique el grupo de subredes de replicación para la VPC compartida y un grupo de seguridad de VPC que creó para la VPC compartida.

Tenga en cuenta lo siguiente sobre el uso de una VPC compartida:

  • El propietario de la VPC no puede compartir un recurso con un participante, pero el participante puede crear un recurso de servicio en la subred del propietario.

  • El propietario de la VPC no puede acceder a un recurso creado por el participante, ya que todos los recursos son específicos de la cuenta. Sin embargo, siempre que configure el perfil de la instancia para usar la VPC compartida, DMS Schema Conversion puede acceder a los recursos de la VPC independientemente de la cuenta propietaria, siempre que existan los permisos correctos.

  • Como los recursos son específicos de cada cuenta, los demás participantes no pueden acceder a los recursos que son propiedad de otras cuentas. No hay permisos que pueda conceder a otras cuentas para que puedan acceder a los recursos creados en la VPC compartida con la cuenta.

Utilización Direct Connect o una VPN para configurar una red en una VPC

Las redes remotas se pueden conectar a una VPC mediante varias opciones, como Direct Connect una conexión VPN de software o hardware. Puede utilizar estas opciones para integrar los servicios locales existentes ampliando una red interna en Nube de AWS. Puede integrar servicios locales, como el monitoreo, la autenticación, la seguridad, los datos u otros sistemas. Al usar este tipo de extensión de red, puede conectar sin problemas los servicios in situ a los recursos alojados en AWS, como una VPC. Puede utilizar esta configuración para convertir la base de datos de origen en las instalaciones.

La siguiente ilustración muestra una configuración en la que el punto de enlace de origen es una base de datos local en un centro de datos corporativo. Se conecta mediante Direct Connect una VPN a una VPC que contiene la conversión de esquemas de DMS y la base de datos de destino.

On-premises base de datos de origen conectada a través Direct Connect de una VPN a una VPC que contiene la conversión de esquemas de DMS y la base de datos de destino.

En esta configuración, configure los siguientes componentes de red:

  • La tabla de enrutamiento asociada a las subredes de conversión de esquemas del DMS debe incluir una ruta que envíe el tráfico destinado al rango CIDR local a la puerta de enlace privada virtual (VGW) o a la puerta de enlace de tránsito.

  • El grupo de seguridad del host NAT o puente debe permitir el tráfico entrante del grupo de seguridad de conversión de esquemas de DMS en los puertos de base de datos requeridos.

  • El grupo de seguridad de conversión de esquemas de DMS debe permitir el tráfico saliente al puerto de la base de datos local.

No utilice una dirección IP de ENI específica para la lista de permitidos, ya que la dirección IP de ENI puede cambiar en cualquier momento. Para obtener más información, consulte Crear una conexión Site-to-Site VPN en la Guía del AWS Site-to-Site VPN usuario.

Uso de una conexión de Internet a una VPC

Si no utiliza una VPN ni Direct Connect para conectarse a AWS los recursos, puede utilizar Internet para conectarse a la base de datos de origen. Esta configuración usa una VPC con subredes privadas y una puerta de enlace NAT que proporciona acceso a Internet saliente. Puede usar esta configuración para convertir la base de datos local de origen que tiene accesibilidad pública.

La siguiente ilustración muestra una configuración en la que la conversión de esquemas de DMS en una VPC se conecta a una base de datos de origen local a través de Internet mediante una puerta de enlace NAT.

On-premises base de datos de origen conectada a través de Internet y una puerta de enlace NAT a la conversión de esquemas de DMS en una subred privada.

Para habilitar la conectividad de la VPC a una base de datos fuente de acceso público, configure la VPC con subredes privadas que se conecten a Internet a través de una puerta de enlace NAT. La puerta de enlace NAT proporciona una dirección IP pública coherente que puede añadir a la lista de firewalls permitidos de la base de datos de origen, lo que permite que los recursos de la subred privada se conecten a la base de datos de origen a través de Internet.

La tabla de enrutamiento de la VPC debe incluir reglas de enrutamiento que envíen el tráfico no destinado a la VPC de forma predeterminada a la puerta de enlace NAT. En esta configuración, la conexión con el proveedor de datos parece provenir de la dirección IP pública de la puerta de enlace NAT. Para obtener más información, consulte Tablas de enrutamiento de VPC en la Guía del usuario de Amazon VPC.

Para agregar una gateway de Internet a la VPC, consulte Asociar una gateway de Internet en la Guía del usuario de Amazon VPC.

Resolución de puntos de conexión de dominio mediante DNS

Si necesita resolver los puntos de enlace de dominio de sus bases de datos, puede utilizar Amazon Route 53 Resolver. Para obtener más información acerca del uso de Route 53 DNS Resolver, consulte Introducción a Route 53 Resolver.

Para obtener información sobre cómo utilizar su propio servidor de nombres en las instalaciones para resolver determinados puntos de conexión mediante Amazon Route 53 Resolver, consulte Uso de su propio servidor de nombres en las instalaciones.

Solución de problemas de red para la conversión de esquemas de DMS

En las siguientes secciones se describen los errores comunes relacionados con la red que se pueden producir al utilizar la conversión de esquemas de DMS y cómo resolverlos.

Errores de conectividad de bases de datos

Es posible que aparezca el siguiente mensaje de error cuando la conversión de esquemas de DMS no puede llegar a la base de datos de origen o destino:

  • Could not connect to your {origin} database at '{serverName}:{port}'. Verify your network configuration, security groups, and that the database server is reachable.

    Dónde {origin} está source otarget, {serverName} es el nombre de host del servidor de base de datos y {port} es el número de puerto de la base de datos.

También puedes comprobar la conversión de esquemas de DMS que Amazon CloudWatch registra en tu cuenta para encontrar el motivo específico del fallo de conexión.

Para resolver estos errores, compruebe lo siguiente:

  1. Compruebe el nombre y el puerto del servidor: confirme que el nombre del servidor y el puerto configurados en su proveedor de datos son correctos. Puede comprobar la configuración del proveedor de datos mediante la AWS DMS consola o la AWS CLI. Para obtener más información sobre cómo encontrar el puerto y el punto final de la base de datos, consulte Búsqueda de la información de conexión de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon Relational Database Service.

  2. Compruebe las reglas de los grupos de seguridad: compruebe que el grupo de seguridad asociado a la conversión de esquemas de DMS permita el tráfico TCP saliente (de salida) en el puerto de la base de datos. Compruebe también que el grupo de seguridad de la base de datos permita el tráfico TCP entrante (de entrada) procedente del grupo de seguridad de conversión de esquemas de DMS. Para obtener más información sobre cómo trabajar con reglas de grupos de seguridad, consulte Trabajar con reglas de grupos de seguridad en la Guía del usuario de Amazon VPC.

  3. Compruebe las ACL de red: compruebe que las ACL de red de las subredes de conversión de esquemas de DMS y las subredes de bases de datos permiten el tráfico en ambas direcciones en el puerto de la base de datos.

  4. Compruebe las tablas de rutas: compruebe que las tablas de rutas asociadas a las subredes de conversión de esquemas de DMS tengan las rutas correctas para llegar a la base de datos. Si usa el emparejamiento de VPC, la VPN o Direct Connect, asegúrese de que estén presentes las rutas correspondientes.

  5. Consulte los registros de Amazon de conversión de esquemas de DMS: revise los CloudWatch registros de conversión de esquemas de DMS para obtener información detallada sobre los errores. Puede encontrar el enlace a los registros en la pestaña Conversión de esquemas de su proyecto de migración o usar la AWS CLI para buscar las entradas de registro que contienen excepciones.

    En primer lugar, busque su grupo de registros de conversión de esquemas de DMS. El nombre del grupo de registros comienza por dms-tasks-sct e incluye el último fragmento del ARN de su proyecto de migración:

    aws logs describe-log-groups \
  --log-group-name-prefix dms-tasks-sct

    A continuación, busque las excepciones en el grupo de registros mediante el filter-log-events comando:

    aws logs filter-log-events \
  --log-group-name dms-tasks-sct-your-migration-project \
  --filter-pattern "Exception" \
  --start-time start_timestamp_ms \
  --end-time end_timestamp_ms

    Puede Exception sustituirlos por otros patrones, por ejemplo, ERROR o "Could not connect" restringir los resultados. Los --end-time valores --start-time y son marcas de tiempo de Unix en milisegundos.