Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration d’un réseau pour la conversion de schéma DMS
La conversion de schéma DMS est une fonctionnalité sans serveur. Pour vous connecter à vos bases de données, il place une Elastic Network Interface (ENI) dans un sous-réseau de votre VPC. Lorsque vous créez votre profil d'instance, vous spécifiez le VPC, le groupe de sous-réseaux et les groupes de sécurité à utiliser. Vous pouvez utiliser votre VPC par défaut pour votre compte ou créer un nouveau VPC. Région AWS
Pour garantir une connectivité adéquate entre DMS Schema Conversion et vos fournisseurs de données, configurez les composants réseau suivants :
-
Groupes de sécurité : configurez les règles de sortie sur le groupe de sécurité associé à la conversion du schéma DMS afin d'autoriser le trafic sortant vers vos réseaux de base de données source et cible. Configurez les règles d'entrée sur les groupes de sécurité de votre base de données pour autoriser le trafic entrant en provenance du groupe de sécurité DMS Schema Conversion.
-
ACL réseau : si vos sous-réseaux utilisent des listes de contrôle d'accès réseau, assurez-vous qu'elles autorisent le trafic entre les sous-réseaux de conversion de schéma DMS et les sous-réseaux de votre base de données.
-
Tables de routage — Assurez-vous que les tables de routage associées aux sous-réseaux de conversion de schéma DMS disposent de routes pour atteindre vos bases de données source et cible. Cela peut inclure des routes d'appairage VPC, des routes de passerelle VPN ou des routes de passerelle NAT selon votre configuration.
-
Sous-réseaux — La conversion du schéma DMS place son ENI dans les sous-réseaux définis dans votre groupe de sous-réseaux. Le groupe de sous-réseaux doit contenir au moins deux sous-réseaux dans des zones de disponibilité distinctes.
Important
La conversion de schéma DMS étant sans serveur, l'adresse IP ENI peut changer à tout moment. N'utilisez pas d'adresse IP spécifique pour les listes d'autorisation. Faites plutôt référence au groupe de sécurité DMS Schema Conversion dans les règles d'entrée de votre groupe de sécurité de base de données, ou acheminez le trafic sortant via une passerelle NAT avec une adresse IP élastique associée pour la connectivité sur site.
Vous pouvez utiliser différentes configurations réseau avec la conversion de schéma DMS. Les configurations courantes d'un réseau utilisé pour la conversion de schéma sont les suivantes. Dans la mesure du possible, nous vous recommandons de créer un profil d'instance dans la même région que votre point de terminaison cible et d'utiliser le même VPC ou le même sous-réseau que votre point de terminaison cible.
Rubriques
Utilisation d’un VPC unique pour les fournisseurs de données source et cible
Utilisation de plusieurs VPC pour les fournisseurs de données source et cible
Utilisation de VPC partagés pour les fournisseurs de données source et cible
Utilisation Direct Connect ou un VPN pour configurer un réseau sur un VPC
Résolution des points de terminaison de domaine à l’aide de DNS
Résolution des problèmes réseau liés à la conversion du schéma DMS
Utilisation d’un VPC unique pour les fournisseurs de données source et cible
La configuration réseau la plus simple pour la conversion de schéma DMS est une configuration de VPC unique. Dans cette configuration, le profil d'instance spécifie le même VPC où résident vos bases de données source et cible. La conversion de schéma DMS utilise un ENI dans ce VPC pour se connecter aux deux bases de données.
L'illustration suivante montre une configuration dans laquelle une base de données source se connecte à DMS Schema Conversion et le schéma est converti en base de données cible, le tout au sein du même VPC.
Les groupes de sécurité de vos bases de données doivent autoriser l'entrée sur le port de base de données depuis le groupe de sécurité DMS Schema Conversion. N'utilisez pas d'adresse IP ENI spécifique pour les listes d'autorisation, car l'adresse IP ENI peut changer à tout moment.
Les exemples suivants présentent les règles d'entrée pour un groupe de sécurité de base de données. Dans ces exemples, sg-1234567890abcdef0 il s'agit du groupe de sécurité associé à la conversion du schéma DMS. Utilisez le port sur lequel votre base de données est configurée pour écouter.
| Type | Protocole | Plage de ports | Source | Description |
|---|---|---|---|---|
| Oracle-RDS | TCP | 1521 | sg-1234567890abcdef0 | Oracle Database |
| MySQL/Aurora | TCP | 3306 | sg-1234567890abcdef0 | Base de données MySQL ou Aurora MySQL |
| PostgreSQL | TCP | 5432 | sg-1234567890abcdef0 | Base de données PostgreSQL ou Aurora PostgreSQL |
| MSSQL | TCP | 1433 | sg-1234567890abcdef0 | Base de données Microsoft SQL Server |
| TCP personnalisé | TCP | Votre port | sg-1234567890abcdef0 | Toute autre base de données utilisant un port personnalisé |
Utilisation de plusieurs VPC pour les fournisseurs de données source et cible
Si vos bases de données source et cible se trouvent dans des VPC différents, y compris des VPC dans différents AWS comptes ou régions, vous pouvez configurer le profil d'instance pour utiliser l'un des VPC, puis lier les deux VPC à l'aide du peering VPC. Vous pouvez également utiliser d'autres options de VPC-to-VPC connectivité telles que AWS Transit Gateway. Pour plus d'informations, consultez les options de connectivité Amazon VPC-to-Amazon VPC.
Une connexion d'appairage VPC est une connexion réseau entre deux VPC qui active le routage en utilisant l'adresse IP privée de chaque VPC comme s'ils se trouvaient sur le même réseau. Vous pouvez créer une connexion d'appairage VPC entre vos propres VPC, avec un VPC d'un autre compte ou avec un VPC d'un autre AWS compte. Région AWS Pour de plus amples informations sur l'appairage de VPC, veuillez consulter la section Appairage de VPC dans le Guide de l'utilisateur Amazon VPC.
L'illustration suivante montre une configuration utilisant le peering VPC. Ici, la base de données source d'un VPC se connecte par peering VPC à un autre VPC contenant la conversion de schéma DMS et à la base de données cible.
Pour implémenter l’appairage de VPC, suivez les instructions fournies dans Utilisation de connexions d’appairage de VPC dans le Guide de l’utilisateur Amazon VPC. Assurez-vous que la table de routage d’un VPC contient le bloc CIDR de l’autre. Supposons, par exemple, que le VPC A utilise la destination 10.0.0. 0/16 et le VPC B utilise la destination 172.31.0. 0/16. Dans ce cas, la table de routage du VPC A doit contenir 172.31.0. 0/16, et la table de routage du VPC B doit contenir 10.0.0. 0/16. Pour en savoir plus, consultez Mise à jour de vos tables de routage pour une connexion d’appairage de VPC dans la documentation Amazon VPC – Appairage de VPC.
Les groupes de sécurité de vos bases de données doivent autoriser l'entrée sur le port de base de données depuis le groupe de sécurité DMS Schema Conversion. Si vos VPC se trouvent dans des AWS comptes ou des régions différents, les références aux groupes de sécurité ne sont peut-être pas prises en charge. Dans ce cas, utilisez plutôt les plages CIDR de sous-réseau du VPC homologue.
Les exemples suivants montrent les règles d'entrée pour la base de données source dans le VPC A qui autorisent l'accès depuis la plage d'adresses CIDR du sous-réseau DMS Schema Conversion dans le VPC B (172.31.1). 0/24). Utilisez le port sur lequel votre base de données est configurée pour écouter. Si les deux VPC appartiennent à la même région et au même compte, nous vous recommandons d'utiliser une référence de groupe de sécurité plutôt qu'une plage d'adresses CIDR pour un contrôle d'accès plus strict.
| Type | Protocole | Plage de ports | Source | Description |
|---|---|---|---|---|
| Oracle-RDS | TCP | 1521 | 172.31.1. 0/24 | Oracle Database |
| MySQL/Aurora | TCP | 3306 | 172.31.1. 0/24 | Base de données MySQL ou Aurora MySQL |
| PostgreSQL | TCP | 5432 | 172.31.1. 0/24 | Base de données PostgreSQL ou Aurora PostgreSQL |
| MSSQL | TCP | 1433 | 172.31.1. 0/24 | Base de données Microsoft SQL Server |
| TCP personnalisé | TCP | Votre port | 172.31.1. 0/24 | Toute autre base de données utilisant un port personnalisé |
Utilisation de VPC partagés pour les fournisseurs de données source et cible
AWS Database Migration Service traite les sous-réseaux partagés avec un compte client participant au sein d'une organisation comme les sous-réseaux ordinaires d'un même compte.
Vous pouvez configurer votre réseau pour qu'il fonctionne dans des sous-réseaux ou des VPC personnalisés en créant des groupes de sous-réseaux de réplication. Lorsque vous créez un groupe de sous-réseaux de réplication, vous spécifiez les sous-réseaux d'un VPC spécifique. La liste des sous-réseaux doit inclure au moins deux sous-réseaux dans des zones de disponibilité distinctes, et tous les sous-réseaux doivent se trouver dans le même VPC.
Si vous utilisez un VPC partagé, créez des groupes de sous-réseaux de réplication qui correspondent aux sous-réseaux que vous souhaitez utiliser à partir du VPC partagé. Lorsque vous créez un profil d'instance, spécifiez le groupe de sous-réseaux de réplication pour le VPC partagé et un groupe de sécurité VPC que vous avez créé pour le VPC partagé.
Notez ce qui suit à propos de l’utilisation d’un VPC partagé :
-
Le propriétaire du VPC ne peut pas partager une ressource avec un participant, mais celui-ci peut créer une ressource de service dans le sous-réseau du propriétaire.
-
Le propriétaire du VPC ne peut pas accéder à une ressource créée par le participant, car toutes les ressources sont spécifiques au compte. Toutefois, tant que vous configurez le profil d'instance pour utiliser le VPC partagé, DMS Schema Conversion peut accéder aux ressources du VPC quel que soit le compte propriétaire, à condition que les autorisations appropriées soient en place.
-
Les ressources étant spécifiques à un compte, les autres participants ne peuvent pas accéder aux ressources appartenant à d’autres comptes. Vous ne pouvez accorder aucune autorisation à d’autres comptes pour leur permettre d’accéder aux ressources créées dans le VPC partagé avec votre compte.
Utilisation Direct Connect ou un VPN pour configurer un réseau sur un VPC
Les réseaux distants peuvent se connecter à un VPC à l'aide de plusieurs options, telles qu' Direct Connect une connexion VPN logicielle ou matérielle. Vous pouvez utiliser ces options pour intégrer les services sur site existants en étendant un réseau interne dans le AWS Cloud. Vous pouvez intégrer des services sur site tels que des services de surveillance, d’authentification, de sécurité ou de données, ou encore d’autres systèmes. En utilisant ce type d'extension réseau, vous pouvez facilement connecter les services sur site aux ressources hébergées par un VPC AWS, par exemple. Vous pouvez utiliser cette configuration pour convertir la base de données source sur site.
L'illustration suivante présente une configuration dans laquelle le point de terminaison source est une base de données sur site dans un centre de données d'entreprise. Il est connecté à l'aide Direct Connect d'un VPN à un VPC contenant la conversion de schéma DMS et la base de données cible.
Dans cette configuration, configurez les composants réseau suivants :
-
La table de routage associée aux sous-réseaux de conversion du schéma DMS doit inclure une route qui envoie le trafic destiné à la plage CIDR locale vers la passerelle privée virtuelle (VGW) ou Transit Gateway.
-
Le groupe de sécurité de l'hôte NAT ou du pont doit autoriser le trafic entrant en provenance du groupe de sécurité DMS Schema Conversion sur les ports de base de données requis.
-
Le groupe de sécurité DMS Schema Conversion doit autoriser le trafic sortant vers le port de base de données local.
N'utilisez pas d'adresse IP ENI spécifique pour les listes d'autorisation, car l'adresse IP ENI peut changer à tout moment. Pour plus d'informations, consultez la section Création d'une connexion Site-to-Site VPN dans le guide de AWS Site-to-Site VPN l'utilisateur.
Utilisation d’une connexion Internet à un VPC
Si vous n'utilisez pas de VPN ou Direct Connect pour vous connecter à AWS des ressources, vous pouvez utiliser Internet pour vous connecter à votre base de données source. Cette configuration utilise un VPC avec des sous-réseaux privés et une passerelle NAT qui fournit un accès Internet sortant. Vous pouvez utiliser cette configuration pour convertir votre base de données source sur site accessible au public.
L'illustration suivante montre une configuration dans laquelle la conversion de schéma DMS dans un VPC se connecte à une base de données source sur site via Internet à l'aide d'une passerelle NAT.
Pour activer la connectivité entre votre VPC et une base de données source accessible au public, configurez le VPC avec des sous-réseaux privés qui se connectent à Internet via une passerelle NAT. La passerelle NAT fournit une adresse IP publique cohérente que vous pouvez ajouter à la liste d'autorisation du pare-feu de votre base de données source, permettant ainsi aux ressources du sous-réseau privé de se connecter à la base de données source via Internet.
La table de routage VPC doit inclure des règles de routage qui envoient le trafic non destiné au VPC par défaut vers la passerelle NAT. Dans cette configuration, la connexion au fournisseur de données semble provenir de l’adresse IP publique de votre passerelle NAT. Pour plus d’informations, consultez Tables de routage de VPC dans le Guide de l’utilisateur Amazon VPC.
Pour ajouter une passerelle Internet à votre VPC, veuillez consulter Attachement d'une passerelle Internet dans le Guide de l'utilisateur Amazon VPC.
Résolution des points de terminaison de domaine à l’aide de DNS
Si vous devez résoudre des points de terminaison de domaine pour vos bases de données, vous pouvez utiliser le résolveur Amazon Route 53. Pour plus d’informations sur l’utilisation du résolveur DNS Route 53, consultez Mise en route avec Route 53 Resolver.
Pour en savoir plus sur la façon d’utiliser votre propre serveur de noms sur site pour résoudre certains points de terminaison à l’aide d’Amazon Route 53 Resolver, consultez Utilisation de votre propre serveur de noms sur site.
Résolution des problèmes réseau liés à la conversion du schéma DMS
Les sections suivantes décrivent les erreurs réseau courantes que vous pouvez rencontrer lors de l'utilisation de la conversion de schéma DMS et comment les résoudre.
Erreurs de connectivité aux bases de données
Le message d'erreur suivant peut s'afficher lorsque la conversion du schéma DMS ne parvient pas à atteindre votre base de données source ou cible :
-
Could not connect to your{origin}database at '{serverName}:{port}'. Verify your network configuration, security groups, and that the database server is reachable.Où se
{origin}trouve le nom d'hôte de votre serveur de base de donnéessourceoutargetle numéro de{port}port de la base de données.{serverName}
Vous pouvez également consulter le fichier de conversion du schéma DMS enregistré CloudWatch par Amazon dans votre compte pour trouver la raison précise de l'échec de connexion.
Pour résoudre ces erreurs, vérifiez les points suivants :
-
Vérifiez le nom et le port du serveur : vérifiez que le nom du serveur et le port configurés dans votre fournisseur de données sont corrects. Vous pouvez vérifier les paramètres du fournisseur de données à l'aide de la AWS DMS console ou de la AWS CLI. Pour plus d'informations sur la recherche du point de terminaison et du port de votre base de données, consultez la section Recherche des informations de connexion pour une instance de base de données Amazon RDS dans le guide de l'utilisateur d'Amazon Relational Database Service.
-
Vérifiez les règles du groupe de sécurité : vérifiez que le groupe de sécurité associé à la conversion du schéma DMS autorise le trafic TCP sortant (de sortie) sur le port de base de données. Vérifiez également que le groupe de sécurité de la base de données autorise le trafic TCP entrant (entrant) en provenance du groupe de sécurité DMS Schema Conversion. Pour plus d'informations sur l'utilisation des règles des groupes de sécurité, consultez la section Utiliser les règles des groupes de sécurité dans le guide de l'utilisateur Amazon VPC.
-
Vérifiez les ACL réseau : vérifiez que les ACL réseau des sous-réseaux de conversion de schéma DMS et des sous-réseaux de base de données autorisent le trafic dans les deux sens sur le port de base de données.
-
Vérifier les tables de routage : vérifiez que les tables de routage associées aux sous-réseaux de conversion de schéma DMS disposent des itinéraires corrects pour atteindre la base de données. Si vous utilisez le peering VPC, le VPN Direct Connect, ou assurez-vous que les routes correspondantes sont présentes.
-
Consultez les CloudWatch journaux Amazon de conversion du schéma DMS — Consultez les journaux de conversion du schéma DMS pour obtenir des informations détaillées sur les erreurs. Vous pouvez trouver le lien vers les journaux dans l'onglet Conversion du schéma de votre projet de migration, ou utiliser la AWS CLI pour récupérer les entrées de journal contenant des exceptions.
Tout d'abord, recherchez votre groupe de journaux de conversion de schéma DMS. Le nom du groupe de journaux commence par
dms-tasks-sctet inclut le dernier élément de l'ARN de votre projet de migration :aws logs describe-log-groups \ --log-group-name-prefix dms-tasks-sctRecherchez ensuite les exceptions dans le groupe de journaux à l'aide de la
filter-log-eventscommande :aws logs filter-log-events \ --log-group-namedms-tasks-sct-your-migration-project\ --filter-pattern "Exception" \ --start-timestart_timestamp_ms\ --end-timeend_timestamp_msVous pouvez les
Exceptionremplacer par d'autres modèles, tels queERRORou"Could not connect"pour affiner les résultats. Les--end-timevaleurs--start-timeet sont des horodatages Unix en millisecondes.
