View a markdown version of this page

Menyiapkan jaringan untuk Konversi Skema DMS - AWS Database Migration Service
Konfigurasi VPC tunggalBeberapa konfigurasi VPCKonfigurasi VPC bersamaMenggunakan Direct Connect atau VPNMenggunakan koneksi internetMenyelesaikan titik akhir domain menggunakan DNSMemecahkan masalah jaringan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan jaringan untuk Konversi Skema DMS

Konversi Skema DMS adalah fitur tanpa server. Untuk terhubung ke database Anda, ia menempatkan elastic network interface (ENI) di subnet dalam VPC Anda. Saat membuat profil instans, Anda menentukan VPC, grup subnet, dan grup keamanan yang akan digunakan. Anda dapat menggunakan VPC default untuk akun Anda dan Wilayah AWS, atau Anda dapat membuat VPC baru.

Untuk memastikan konektivitas yang tepat antara Konversi Skema DMS dan penyedia data Anda, konfigurasikan komponen jaringan berikut:

  • Grup keamanan — Konfigurasikan aturan jalan keluar pada grup keamanan yang terkait dengan Konversi Skema DMS untuk memungkinkan lalu lintas keluar ke jaringan basis data sumber dan target Anda. Konfigurasikan aturan ingress pada grup keamanan database Anda untuk mengizinkan lalu lintas masuk dari grup keamanan Konversi Skema DMS.

  • ACL Jaringan — Jika subnet Anda menggunakan daftar kontrol akses jaringan, pastikan mereka mengizinkan lalu lintas antara subnet Konversi Skema DMS dan subnet basis data Anda.

  • Tabel rute - Pastikan tabel rute yang terkait dengan subnet Konversi Skema DMS memiliki rute untuk mencapai basis data sumber dan target Anda. Ini mungkin termasuk rute peering VPC, rute gateway VPN, atau rute gateway NAT tergantung pada konfigurasi Anda.

  • Subnet — Konversi Skema DMS menempatkan ENI di subnet yang ditentukan dalam grup subnet Anda. Grup subnet harus berisi setidaknya dua subnet di Availability Zone terpisah.

penting

Karena Konversi Skema DMS tanpa server, alamat IP ENI dapat berubah kapan saja. Jangan gunakan alamat IP tertentu untuk daftar yang diizinkan. Sebagai gantinya, rujuk grup keamanan Konversi Skema DMS dalam aturan masuk grup keamanan database Anda, atau rute lalu lintas keluar melalui gateway NAT dengan alamat IP Elastis terkait untuk konektivitas lokal.

Anda dapat menggunakan beberapa konfigurasi jaringan yang berbeda dengan Konversi Skema DMS. Berikut ini adalah konfigurasi umum untuk jaringan yang digunakan untuk konversi skema. Jika praktis, kami menyarankan Anda membuat profil instans di Wilayah yang sama dengan titik akhir target Anda dan menggunakan VPC atau subnet yang sama dengan titik akhir target Anda.

Menggunakan VPC tunggal untuk penyedia data sumber dan target

Konfigurasi jaringan paling sederhana untuk Konversi Skema DMS adalah konfigurasi VPC tunggal. Dalam pengaturan ini, profil instance menentukan VPC yang sama di mana basis data sumber dan target Anda berada. Konversi Skema DMS menggunakan ENI di VPC itu untuk terhubung ke kedua database.

Ilustrasi berikut menunjukkan konfigurasi di mana database sumber terhubung ke DMS Schema Conversion dan skema dikonversi ke database target, semua dalam VPC yang sama.

Database sumber, Konversi Skema DMS, dan basis data target dalam satu VPC yang berkomunikasi melalui subnet yang sama.

Grup keamanan pada database Anda harus mengizinkan masuknya pada port database dari grup keamanan Konversi Skema DMS. Jangan gunakan alamat IP ENI tertentu untuk allowlisting, karena alamat IP ENI dapat berubah sewaktu-waktu.

Contoh berikut menunjukkan aturan ingress untuk grup keamanan database. Dalam contoh ini, sg-1234567890abcdef0 adalah kelompok keamanan yang terkait dengan Konversi Skema DMS. Gunakan port tempat database Anda dikonfigurasi untuk mendengarkan.

Contoh aturan masuk untuk grup keamanan database
Tipe Protokol Rentang port Sumber Deskripsi
Oracle-RDS TCP 1521 sg-1234567890abcdef0 Basis data Oracle
MySQL/Aurora TCP 3306 sg-1234567890abcdef0 Database MySQL atau Aurora MySQL
PostgreSQL TCP 5432 sg-1234567890abcdef0 Database PostgreSQL atau Aurora PostgreSQL
MSSQL TCP 1433 sg-1234567890abcdef0 Basis data Microsoft SQL Server
TCP Kustom TCP Port Anda sg-1234567890abcdef0 Database lain yang menggunakan port khusus

Menggunakan beberapa VPC untuk penyedia data sumber dan target

Jika basis data sumber dan target Anda berada di VPC yang berbeda, termasuk VPC di AWS akun atau Wilayah yang berbeda, Anda dapat mengonfigurasi profil instance untuk menggunakan salah satu VPC dan kemudian menautkan dua VPC dengan menggunakan peering VPC. Anda juga dapat menggunakan opsi VPC-to-VPC konektivitas lain seperti AWS Transit Gateway. Untuk informasi selengkapnya, lihat opsi konektivitas Amazon VPC-to-Amazon VPC.

Koneksi peering VPC adalah koneksi jaringan antara dua VPC yang mengaktifkan routing menggunakan alamat IP pribadi masing-masing VPC seolah-olah mereka berada di jaringan yang sama. Anda dapat membuat koneksi peering VPC antara VPC Anda sendiri, dengan VPC di akun lain AWS , atau dengan VPC di akun lain. Wilayah AWS Untuk informasi lebih lanjut mengenai peering VPC, lihat peering VPC dalam Panduan Pengguna Amazon VPC.

Ilustrasi berikut menunjukkan konfigurasi menggunakan VPC peering. Di sini, database sumber dalam satu VPC terhubung dengan VPC mengintip ke VPC lain yang berisi Konversi Skema DMS dan basis data target.

Database sumber di VPC A dihubungkan oleh VPC mengintip ke Konversi Skema DMS dan basis data target di VPC B.

Untuk menerapkan peering VPC, ikuti petunjuk di Bekerja dengan koneksi peering VPC di Panduan Pengguna Amazon VPC. Pastikan bahwa tabel rute dari satu VPC berisi blok CIDR yang lain. Misalnya, anggaplah VPC A menggunakan tujuan 10.0.0. 0/16 dan VPC B menggunakan tujuan 172.31.0. 0/16. Dalam hal ini, tabel rute VPC A harus berisi 172.31.0. 0/16, dan tabel rute VPC B harus berisi 10.0.0. 0/16. Untuk informasi selengkapnya, lihat Memperbarui tabel rute Anda untuk koneksi peering VPC di Panduan Peering VPC Amazon.

Grup keamanan pada database Anda harus mengizinkan masuknya pada port database dari grup keamanan Konversi Skema DMS. Jika VPC Anda berada di AWS akun yang berbeda atau Wilayah yang berbeda, referensi grup keamanan mungkin tidak didukung. Dalam hal ini, gunakan rentang CIDR subnet dari VPC peered sebagai gantinya.

Contoh berikut menunjukkan aturan masuk untuk database sumber di VPC A yang memungkinkan akses dari rentang CIDR subnet Konversi Skema DMS di VPC B (172.31.1. 0/24). Gunakan port tempat database Anda dikonfigurasi untuk mendengarkan. Jika kedua VPC berada di Wilayah dan akun yang sama, sebaiknya gunakan referensi grup keamanan alih-alih rentang CIDR untuk kontrol akses yang lebih ketat.

Contoh aturan masuk untuk grup keamanan database (VPC peering)
Tipe Protokol Rentang port Sumber Deskripsi
Oracle-RDS TCP 1521 172.31.1. 0/24 Basis data Oracle
MySQL/Aurora TCP 3306 172.31.1. 0/24 Database MySQL atau Aurora MySQL
PostgreSQL TCP 5432 172.31.1. 0/24 Database PostgreSQL atau Aurora PostgreSQL
MSSQL TCP 1433 172.31.1. 0/24 Basis data Microsoft SQL Server
TCP Kustom TCP Port Anda 172.31.1. 0/24 Database lain yang menggunakan port khusus

Menggunakan VPC bersama untuk penyedia data sumber dan target

AWS Database Migration Service memperlakukan subnet yang dibagikan ke akun pelanggan yang berpartisipasi dalam suatu organisasi seperti subnet biasa di akun yang sama.

Anda dapat mengonfigurasi jaringan Anda untuk beroperasi di subnet khusus atau VPC dengan membuat grup subnet replikasi. Saat Anda membuat grup subnet replikasi, Anda menentukan subnet dari VPC tertentu. Daftar subnet harus menyertakan setidaknya dua subnet di Availability Zone terpisah, dan semua subnet harus berada dalam VPC yang sama.

Jika Anda menggunakan VPC bersama, buat grup subnet replikasi yang memetakan ke subnet yang ingin Anda gunakan dari VPC bersama. Saat Anda membuat profil instance, tentukan grup subnet replikasi untuk VPC bersama dan grup keamanan VPC yang Anda buat untuk VPC bersama.

Perhatikan hal berikut tentang penggunaan VPC bersama:

  • Pemilik VPC tidak dapat berbagi sumber daya dengan peserta, tetapi peserta dapat membuat sumber daya layanan di subnet pemilik.

  • Pemilik VPC tidak dapat mengakses sumber daya yang dibuat peserta, karena semua sumber daya bersifat spesifik akun. Namun, selama Anda mengonfigurasi profil instans untuk menggunakan VPC bersama, Konversi Skema DMS dapat mengakses sumber daya di VPC terlepas dari akun yang dimiliki, selama izin yang benar tersedia.

  • Karena sumber daya bersifat spesifik akun, peserta lain tidak dapat mengakses sumber daya yang dimiliki oleh akun lain. Tidak ada izin yang dapat Anda berikan kepada akun lain agar mereka dapat mengakses sumber daya yang dibuat di VPC bersama dengan akun Anda.

Penggunaan Direct Connect atau VPN untuk mengkonfigurasi jaringan ke VPC

Jaringan jarak jauh dapat terhubung ke VPC menggunakan beberapa opsi, seperti Direct Connect atau perangkat lunak atau koneksi VPN perangkat keras. Anda dapat menggunakan opsi ini untuk mengintegrasikan layanan di tempat yang ada dengan memperluas jaringan internal ke dalam. AWS Cloud Anda dapat mengintegrasikan layanan di tempat seperti pemantauan, otentikasi, keamanan, data, atau sistem lainnya. Dengan menggunakan jenis ekstensi jaringan ini, Anda dapat menghubungkan layanan di tempat dengan mulus ke sumber daya yang dihosting oleh AWS, seperti VPC. Anda dapat menggunakan konfigurasi ini untuk mengonversi basis data lokal sumber Anda.

Ilustrasi berikut menunjukkan konfigurasi di mana titik akhir sumber adalah basis data on premise di pusat data perusahaan. Ini terhubung dengan menggunakan Direct Connect atau VPN ke VPC yang berisi Konversi Skema DMS dan basis data target.

On-premises database sumber terhubung melalui Direct Connect atau VPN ke VPC yang berisi Konversi Skema DMS dan basis data target.

Dalam konfigurasi ini, atur komponen jaringan berikut:

  • Tabel rute yang terkait dengan subnet Konversi Skema DMS harus menyertakan rute yang mengirimkan lalu lintas yang ditujukan untuk rentang CIDR lokal ke Virtual Private Gateway (VGW) atau Transit Gateway.

  • Grup keamanan pada host NAT atau jembatan harus mengizinkan lalu lintas masuk dari grup keamanan Konversi Skema DMS pada port database yang diperlukan.

  • Grup keamanan Konversi Skema DMS harus mengizinkan lalu lintas keluar ke port database lokal.

Jangan gunakan alamat IP ENI tertentu untuk allowlisting, karena alamat IP ENI dapat berubah sewaktu-waktu. Untuk informasi selengkapnya, lihat Membuat koneksi Site-to-Site VPN di Panduan AWS Site-to-Site VPN Pengguna.

Menggunakan koneksi internet ke VPC

Jika Anda tidak menggunakan VPN atau terhubung Direct Connect ke AWS sumber daya, Anda dapat menggunakan internet untuk terhubung ke basis data sumber Anda. Konfigurasi ini menggunakan VPC dengan subnet pribadi dan gateway NAT yang menyediakan akses internet keluar. Anda dapat menggunakan konfigurasi ini untuk mengonversi basis data lokal sumber yang memiliki aksesibilitas publik.

Ilustrasi berikut menunjukkan konfigurasi di mana Konversi Skema DMS di VPC terhubung ke database sumber lokal melalui internet menggunakan gateway NAT.

On-premises database sumber yang terhubung melalui internet dan gateway NAT ke Konversi Skema DMS di subnet pribadi.

Untuk mengaktifkan konektivitas dari VPC Anda ke database sumber yang dapat diakses publik, konfigurasikan VPC dengan subnet pribadi yang terhubung ke internet melalui gateway NAT. Gateway NAT menyediakan alamat IP publik yang konsisten yang dapat Anda tambahkan ke daftar izin firewall database sumber Anda, memungkinkan sumber daya di subnet pribadi untuk terhubung ke database sumber melalui internet.

Tabel rute VPC harus menyertakan aturan perutean yang mengirim lalu lintas yang tidak ditujukan untuk VPC secara default ke gateway NAT. Dalam konfigurasi ini, koneksi ke penyedia data tampaknya berasal dari alamat IP publik gateway NAT Anda. Untuk informasi lebih lanjut, lihat Tabel Rute VPC di Panduan Pengguna Amazon VPC.

Untuk menambahkan gateway internet ke VPC Anda, lihat Melampirkan gateway internet di Panduan Pengguna Amazon VPC.

Menyelesaikan titik akhir domain menggunakan DNS

Jika Anda perlu menyelesaikan titik akhir domain untuk database Anda, Anda dapat menggunakan Amazon Route 53 Resolver. Untuk informasi lebih lanjut tentang penggunaan Route 53 DNS Resolver, lihat Memulai dengan Route 53 Resolver.

Untuk informasi tentang cara menggunakan server nama on premise Anda sendiri untuk menyelesaikan titik akhir tertentu menggunakan Amazon Route 53 Resolver, lihat Menggunakan server nama on-premise Anda sendiri.

Memecahkan masalah jaringan untuk Konversi Skema DMS

Bagian berikut menjelaskan kesalahan umum terkait jaringan yang mungkin Anda temui saat menggunakan Konversi Skema DMS dan cara mengatasinya.

Kesalahan konektivitas basis data

Anda mungkin melihat pesan galat berikut ketika Konversi Skema DMS tidak dapat mencapai sumber atau basis data target Anda:

  • Could not connect to your {origin} database at '{serverName}:{port}'. Verify your network configuration, security groups, and that the database server is reachable.

    Di mana {origin} salah satu source atautarget, {serverName} adalah nama host server database Anda, dan {port} merupakan nomor port database.

Anda juga dapat memeriksa CloudWatch log Amazon Konversi Skema DMS di akun Anda untuk menemukan alasan spesifik kegagalan koneksi.

Untuk mengatasi kesalahan ini, periksa hal berikut:

  1. Verifikasi nama dan port server — Konfirmasikan bahwa nama server dan port yang dikonfigurasi di penyedia data Anda sudah benar. Anda dapat memeriksa pengaturan penyedia data menggunakan AWS DMS konsol atau AWS CLI. Untuk informasi selengkapnya tentang menemukan titik akhir dan port database, lihat Menemukan informasi koneksi untuk instans Amazon RDS DB di Panduan Pengguna Layanan Amazon Relational Database Service.

  2. Periksa aturan grup keamanan — Verifikasi bahwa grup keamanan yang terkait dengan Konversi Skema DMS memungkinkan lalu lintas TCP keluar (keluar) pada port database. Juga verifikasi bahwa grup keamanan pada database memungkinkan lalu lintas TCP masuk (ingress) dari grup keamanan Konversi Skema DMS. Untuk informasi selengkapnya tentang bekerja dengan aturan grup keamanan, lihat Bekerja dengan aturan grup keamanan di Panduan Pengguna Amazon VPC.

  3. Periksa ACL jaringan — Verifikasi bahwa ACL jaringan pada subnet Konversi Skema DMS dan subnet database memungkinkan lalu lintas di kedua arah pada port database.

  4. Periksa tabel rute - Verifikasi bahwa tabel rute yang terkait dengan subnet Konversi Skema DMS memiliki rute yang benar untuk mencapai database. Jika Anda menggunakan VPC peering, VPN, atau Direct Connect, pastikan rute yang sesuai ada.

  5. Periksa CloudWatch log Amazon Konversi Skema DMS - Tinjau log Konversi Skema DMS untuk informasi kesalahan terperinci. Anda dapat menemukan tautan ke log pada tab Konversi Skema proyek migrasi Anda, atau menggunakan CLI untuk mengambil entri log yang berisi pengecualian. AWS

    Pertama, temukan grup log Konversi Skema DMS Anda. Nama grup log dimulai dengan dms-tasks-sct dan menyertakan bagian terakhir dari ARN proyek migrasi Anda:

    aws logs describe-log-groups \
  --log-group-name-prefix dms-tasks-sct

    Kemudian, cari pengecualian di grup log menggunakan filter-log-events perintah:

    aws logs filter-log-events \
  --log-group-name dms-tasks-sct-your-migration-project \
  --filter-pattern "Exception" \
  --start-time start_timestamp_ms \
  --end-time end_timestamp_ms

    Anda dapat mengganti Exception dengan pola lain seperti ERROR atau "Could not connect" untuk mempersempit hasil. --end-timeNilai --start-time dan adalah stempel waktu Unix dalam milidetik.