AWS DMS での同種データ移行のためのネットワークのセットアップ - AWS Database Migration Service
単一の VPC の設定異なる VPC の構成 の使用Direct Connectドメインエンドポイントを解決する

AWS DMS での同種データ移行のためのネットワークのセットアップ

AWS DMS を使用すると、ネットワークインターフェイスに依存したネットワーク接続モデルを使用する同種データ移行用のサーバーレス環境を作成できます。データ移行ごとに、AWS DMS はインスタンスプロファイルの DMS サブネットグループで定義されたサブネットの 1 つにプライベート IP を割り当てます。さらに、インスタンスプロファイルがパブリックアクセス用に設定されている場合、非静的パブリック IP を割り当てることができます。インスタンスプロファイルで使用されるサブネットは、データプロバイダーで定義されているように、ソースホストとターゲットホストの両方へのアクセスを提供する必要があります。このアクセスはローカル VPC 内で提供します。または、VPC ピアリング、Direct Connect、VPN などで確立することもできます。

継続的なデータ レプリケーションの場合は、ソースデータベースとターゲットデータベース間の連携もセットアップする必要があります。このような設定は、ソースデータプロバイダーの場所とネットワーク設定により異なります。次のセクションでは、一般的なネットワーク設定について説明します。

単一の仮想プライベートクラウド (VPC) を使用してネットワークを設定する

この構成では、AWS DMS はプライベートネットワーク内のソースデータプロバイダーとターゲットデータプロバイダーに接続します。

ソースデータプロバイダーとターゲットデータプロバイダーが同じ VPC に配置されている場合にネットワークを設定するには

  1. AWS DMS コンソールで、ソースデータプロバイダーとターゲットデータプロバイダーが使用する VPC とサブネットを使用してサブネットグループを作成します。詳細については、「サブネットグループの作成」を参照してください。

  2. 作成した VPC とサブネットグループを使用して、AWS DMS コンソールでインスタンスプロファイルを作成します。ソースデータプロバイダーとターゲットデータプロバイダーが使用する VPC セキュリティグループも選択します。詳細については、「インスタンスプロファイルの作成」を参照してください。

  3. ソースデータベースとターゲットデータベースで使用するセキュリティグループが、データ移行またはサブネット (レプリケーションサブネットグループで指定) の CIDR ブロックで使用するインスタンスプロファイルにアタッチされたセキュリティグループからの接続を許可することを確認します。

この構成では、データ移行にパブリック IP アドレスを使用する必要はありません。

複数の異なる仮想プライベートクラウド (VPC) を使用してネットワークを設定する

このような構成の場合、AWS DMS はプライベート ネットワークを使用してソースデータプロバイダーまたはターゲットデータプロバイダーに接続します。別のデータプロバイダーの場合、AWS DMS はパブリックネットワークを使用します。どちらのデータプロバイダーがインスタンスプロファイルと同じ VPC に配置されているかにより、次の設定のいずれかを選択します。

プライベートネットワーク経由で接続するには

  1. ソースデータプロバイダーが使用する VPC とサブネットを使用して、AWS DMS コンソールでサブネットグループを作成します。詳細については、「サブネットグループの作成」を参照してください。

  2. 作成した VPC とサブネットグループを使用して、AWS DMS コンソールでインスタンスプロファイルを作成します。ソースデータプロバイダーが使用する VPC セキュリティグループも選択します。詳細については、「インスタンスプロファイルの作成」を参照してください。

  3. ソースデータベース VPC とターゲットデータベース VPC 間の VPC ピアリング接続を設定します。詳細については、「VPC ピアリング接続」を参照してください。

  4. プライベート IP を直接使用せず、エンドポイントを使用する予定がある場合は、必ず双方向の DNS 解決を有効にしてください。詳細については、「VPC ピアリング接続の DNS 解決を有効にする」を参照してください。

  5. ターゲットデータベースのセキュリティグループ用に、ソースデータベースの VPC の CIDR ブロックからのアクセスを許可します。詳細については、「セキュリティグループによるアクセス制御」を参照してください。

  6. ターゲットデータベースのセキュリティグループ用に、ターゲットデータベースの VPC の CIDR ブロックからのアクセスを許可します。詳細については、「セキュリティグループによるアクセス制御」を参照してください。

パブリックネットワーク経由で接続するには

データベースがすべてのアドレスからの接続を受け入れる場合:

  1. AWS DMS コンソールで、VPC とパブリックサブネットを使用してサブネットグループを作成します。詳細については、「サブネットグループの作成」を参照してください。

  2. 作成した VPC とサブネットグループを使用して、AWS DMS コンソールでインスタンスプロファイルを作成します。インスタンスプロファイルの [公開] オプションを [オン] に設定します。

データ移行に関連付けることができる永続的なパブリック IP アドレスが必要な場合:

  1. AWS DMS コンソールで、VPC とプライベートサブネットを使用してサブネットグループを作成します。詳細については、「サブネットグループの作成」を参照してください。

  2. 作成した VPC とサブネットグループを使用して、AWS DMS コンソールでインスタンスプロファイルを作成します。インスタンスプロファイルの [公開] オプションを [オフ] に設定します。

  3. NAT ゲートウェイを設定します。詳細については、「NAT ゲートウェイの使用」を参照してください。

  4. NAT ゲートウェイのルートテーブルを設定します。詳細については、「NAT ゲートウェイのユースケース」を参照してください。

  5. データベースセキュリティグループの NAT ゲートウェイのパブリック IP アドレスからのアクセスを許可します。詳細については、「セキュリティグループによるアクセス制御」を参照してください。

Direct Connect または VPN を使用した VPC へのネットワーク設定

リモートネットワークは、Direct Connect または VPN 接続 (ソフトウェアまたはハードウェア) 経由で VPC に接続できます。これらのオプションにより、内部ネットワークを AWS クラウドに拡張し、モニタリング、認証、セキュリティ、データシステムなどの既存のオンプレミスサービスを AWS リソースと統合できます。この設定では、VPC トラフィックをオンプレミス VPN にブリッジできるホストにトラフィックを送信するルーティングルールを VPC セキュリティグループに含める必要があります。このトラフィックは、VPC CIDR 範囲または特定の IP アドレスを使用して指定できます。NAT ホストでは、独自のセキュリティグループを設定し、VPC CIDR 範囲またはセキュリティグループから NAT インスタンスへのトラフィックを許可して、VPC とオンプレミスインフラストラクチャ間のシームレスな通信を確保する必要があります。詳細については、「AWS Site-to-Site VPN User Guide」の「Get started with AWS Site-to-Site VPN」の手順におけるステップ 5 を参照してください。

DNS を使用したドメイン エンドポイントの解決

AWS DMS 同種移行における DNS 解決の場合、サービスは主に Amazon ECS DNS リゾルバーを使用してドメインエンドポイントを解決します。追加の DNS 解決機能が必要な場合は、代替ソリューションとして Amazon Route 53 Resolver を使用できます。詳細については、「Amazon Route 53 user guide」の「Getting started with Route 53 Resolver」を参照してください。Amazon Route 53 Resolver で、オンプレミスネームサーバーを使用してエンドポイント解決を設定する方法の詳細については「 独自のオンプレミスネームサーバーの使用」を参照してください。

注記

データ移行ログに「Initiating connection - Networking model: VPC Peering」というメッセージが表示されている場合は、「VPC ピアネットワーク機能の設定」のトピックを参照してください。