View a markdown version of this page

DMS Schema Conversion을 위한 네트워크 설정 - AWS 데이터베이스 마이그레이션 서비스
단일 VPC 구성여러 VPC 구성공유 VPC 구성 Direct Connect 또는 VPN 사용인터넷 연결 사용DNS를 사용하여 도메인 엔드포인트 확인네트워크 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

DMS Schema Conversion을 위한 네트워크 설정

DMS Schema Conversion은 서버리스 기능입니다. 데이터베이스에 연결하기 위해 VPC 내의 서브넷에 탄력적 네트워크 인터페이스(ENI)를 배치합니다. 인스턴스 프로파일을 생성할 때 사용할 VPC, 서브넷 그룹 및 보안 그룹을 지정합니다. 계정 및에 기본 VPC를 사용하거나 새 VPC를 생성할 AWS 리전수 있습니다.

DMS Schema Conversion과 데이터 공급자 간의 적절한 연결을 보장하려면 다음 네트워크 구성 요소를 구성합니다.

  • 보안 그룹 - 소스 및 대상 데이터베이스 네트워크에 대한 아웃바운드 트래픽을 허용하도록 DMS Schema Conversion과 연결된 보안 그룹에 대한 송신 규칙을 구성합니다. DMS Schema Conversion 보안 그룹의 인바운드 트래픽을 허용하도록 데이터베이스 보안 그룹에 대한 수신 규칙을 구성합니다.

  • 네트워크 ACLs - 서브넷이 네트워크 액세스 제어 목록을 사용하는 경우 DMS Schema Conversion 서브넷과 데이터베이스 서브넷 간의 트래픽을 허용하는지 확인합니다.

  • 라우팅 테이블 - DMS Schema Conversion 서브넷과 연결된 라우팅 테이블에 소스 및 대상 데이터베이스에 도달하기 위한 경로가 있는지 확인합니다. 여기에는 구성에 따라 VPC 피어링 경로, VPN 게이트웨이 경로 또는 NAT 게이트웨이 경로가 포함될 수 있습니다.

  • 서브넷 - DMS Schema Conversion은 서브넷 그룹에 정의된 서브넷에 ENI를 배치합니다. 서브넷 그룹에는 별도의 가용 영역에 두 개 이상의 서브넷이 포함되어야 합니다.

중요

DMS Schema Conversion은 서버리스이므로 ENI IP 주소는 언제든지 변경될 수 있습니다. 허용 목록에 특정 IP 주소를 사용하지 마십시오. 대신 데이터베이스 보안 그룹 수신 규칙의 DMS Schema Conversion 보안 그룹을 참조하거나 온프레미스 연결을 위해 연결된 탄력적 IP 주소를 사용하여 NAT 게이트웨이를 통해 아웃바운드 트래픽을 라우팅합니다.

DMS Schema Conversion에서 여러 가지 네트워크 구성을 사용할 수 있습니다. 다음은 스키마 변환에 사용되는 네트워크의 일반적인 구성입니다. 가능하면 대상 엔드포인트와 동일한 리전에 인스턴스 프로파일을 생성하고 대상 엔드포인트와 동일한 VPC 또는 서브넷을 사용하는 것이 좋습니다.

소스 및 대상 데이터 공급자를 위한 단일 VPC 사용

DMS Schema Conversion을 위한 가장 간단한 네트워크 구성은 단일 VPC 구성입니다. 이 설정에서 인스턴스 프로파일은 소스 및 대상 데이터베이스가 있는 동일한 VPC를 지정합니다. DMS Schema Conversion은 해당 VPC의 ENI를 사용하여 두 데이터베이스에 연결합니다.

다음 그림은 소스 데이터베이스가 DMS Schema Conversion에 연결되고 스키마가 모두 동일한 VPC 내의 대상 데이터베이스로 변환되는 구성을 보여줍니다.

동일한 서브넷을 통해 통신하는 단일 VPC의 소스 데이터베이스, DMS Schema Conversion 및 대상 데이터베이스.

데이터베이스의 보안 그룹은 DMS Schema Conversion 보안 그룹에서 데이터베이스 포트의 수신을 허용해야 합니다. ENI IP 주소는 언제든지 변경될 수 있으므로 허용 목록에 특정 ENI IP 주소를 사용하지 마세요.

다음 예제에서는 데이터베이스 보안 그룹에 대한 수신 규칙을 보여줍니다. 이 예제에서 sg-1234567890abcdef0는 DMS Schema Conversion과 연결된 보안 그룹입니다. 데이터베이스가 수신하도록 구성된 포트를 사용합니다.

데이터베이스 보안 그룹에 대한 인바운드 규칙 예제
유형 프로토콜 포트 범위 출처 설명
Oracle-RDS TCP 1521 sg-1234567890abcdef0 Oracle 데이터베이스
MySQL/Aurora TCP 3306 sg-1234567890abcdef0 MySQL 또는 Aurora MySQL 데이터베이스
PostgreSQL TCP 5432 sg-1234567890abcdef0 PostgreSQL 또는 Aurora PostgreSQL 데이터베이스
MSSQL TCP 1433 sg-1234567890abcdef0 Microsoft SQL Server 데이터베이스
사용자 지정 TCP TCP 포트 sg-1234567890abcdef0 사용자 지정 포트를 사용하는 다른 모든 데이터베이스

소스 및 대상 데이터 공급자에 대해 여러 VPC를 사용

소스 데이터베이스와 대상 데이터베이스가 서로 다른 AWS 계정 또는 리전의 VPCs를 포함하여 VPCs에 있는 경우 VPCs 중 하나를 사용하도록 인스턴스 프로파일을 구성한 다음 VPCs을 사용하여 두 VPC를 연결할 수 있습니다. AWS Transit Gateway와 같은 다른 VPC-to-VPC 연결 옵션을 사용할 수도 있습니다. 자세한 내용은 Amazon VPC-to-Amazon VPC 연결 옵션을 참조하세요.

VPC 피어링 연결은 동일한 네트워크에 있는 것처럼 각 VPCs의 프라이빗 IP 주소를 사용하여 라우팅을 활성화하는 두 VPC 간의 네트워킹 연결입니다. 자체 VPC, 다른 AWS 계정VPCs 또는 다른 계정의 VPC 간에 VPC 피어링 연결을 생성할 수 있습니다 AWS 리전. VPC 피어링에 관한 자세한 내용은 Amazon VPC 사용 설명서에서 VPC 피어링을 참조하세요.

다음 그림은 VPC 피어링을 사용하는 구성을 보여줍니다. 여기서 한 VPC의 소스 데이터베이스는 VPC 피어링을 통해 DMS Schema Conversion 및 대상 데이터베이스가 포함된 다른 VPC에 연결됩니다.

VPC 피어링을 통해 DMS Schema Conversion에 연결된 VPC A의 소스 데이터베이스 및 VPC B의 대상 데이터베이스.

VPC 피어링을 구현하려면 Amazon VPC 사용 설명서VPC 피어링 연결 작업에 나와 있는 지침을 따르십시오. 한 VPC의 라우팅 테이블에 다른 VPC의 CIDR 블록이 포함되어 있는지 확인하십시오. 예를 들어 VPC A가 대상 10.0.0.0/16을 사용하고 VPC B가 대상 172.31.0.0/16을 사용한다고 가정해 보겠습니다. 이 경우 VPC A의 라우팅 테이블에는 172.31.0.0/16이 포함되어야 하며 VPC B의 라우팅 테이블에는 10.0.0.0/16이 포함되어야 합니다. 자세한 내용은 Amazon VPC 피어링 가이드VPC 피어링 연결에 대한 라우팅 테이블 업데이트를 참조하십시오.

데이터베이스의 보안 그룹은 DMS Schema Conversion 보안 그룹에서 데이터베이스 포트의 수신을 허용해야 합니다. VPCs 다른 AWS 계정 또는 다른 리전에 있는 경우 보안 그룹 참조가 지원되지 않을 수 있습니다. 이 경우 피어링된 VPC의 서브넷 CIDR 범위를 대신 사용합니다.

다음 예제에서는 VPC B의 DMS Schema Conversion 서브넷 CIDR 범위(172.31.1.0/24)에서 액세스를 허용하는 VPC A의 소스 데이터베이스에 대한 수신 규칙을 보여줍니다. 데이터베이스가 수신하도록 구성된 포트를 사용합니다. 두 VPCs 동일한 리전과 계정에 있는 경우 더 엄격한 액세스 제어를 위해 CIDR 범위 대신 보안 그룹 참조를 사용하는 것이 좋습니다.

데이터베이스 보안 그룹에 대한 인바운드 규칙 예제(VPC 피어링)
유형 프로토콜 포트 범위 출처 설명
Oracle-RDS TCP 1521 172.31.1.0/24 Oracle 데이터베이스
MySQL/Aurora TCP 3306 172.31.1.0/24 MySQL 또는 Aurora MySQL 데이터베이스
PostgreSQL TCP 5432 172.31.1.0/24 PostgreSQL 또는 Aurora PostgreSQL 데이터베이스
MSSQL TCP 1433 172.31.1.0/24 Microsoft SQL Server 데이터베이스
사용자 지정 TCP TCP 포트 172.31.1.0/24 사용자 지정 포트를 사용하는 다른 모든 데이터베이스

소스 및 대상 데이터 공급자에 공유 VPCs 사용

AWS Database Migration Service 는 조직의 참여 고객 계정과 공유되는 서브넷을 동일한 계정의 일반 서브넷처럼 처리합니다.

복제 서브넷 그룹을 생성하여 사용자 지정 서브넷 또는 VPCs에서 작동하도록 네트워크를 구성할 수 있습니다. 복제 서브넷 그룹을 생성할 때 특정 VPC의 서브넷을 지정합니다. 서브넷 목록에는 별도의 가용 영역에 두 개 이상의 서브넷이 포함되어야 하며 모든 서브넷은 동일한 VPC에 있어야 합니다.

공유 VPC를 사용하는 경우 공유 VPC에서 사용하려는 서브넷에 매핑되는 복제 서브넷 그룹을 생성합니다. 인스턴스 프로파일을 생성할 때 공유 VPC에 대한 복제 서브넷 그룹과 공유 VPC에 대해 생성한 VPC 보안 그룹을 지정합니다.

공유 VPC 사용 시 다음에 유의하세요.

  • VPC 소유자는 참여자와 리소스를 공유할 수 없지만 참여자는 소유자의 서브넷에서 서비스 리소스를 생성할 수 있습니다.

  • VPC 소유자는 참가자가 생성하는 리소스에 액세스할 수 없습니다. 모든 리소스는 계정별로 다르기 때문입니다. 그러나 공유 VPC를 사용하도록 인스턴스 프로파일을 구성하는 한 DMS Schema Conversion은 올바른 권한이 있는 한 소유 계정에 관계없이 VPC의 리소스에 액세스할 수 있습니다.

  • 리소스는 계정별이므로 다른 참여자는 다른 계정이 소유한 리소스에 액세스할 수 없습니다. 공유 VPC에서 생성된 리소스에 자신의 계정으로 액세스할 수 있도록 다른 계정에 부여할 수 있는 권한은 없습니다.

Direct Connect 또는 VPN을 사용하여 네트워크를 VPC에 구성

원격 네트워크는 또는 소프트웨어 Direct Connect 또는 하드웨어 VPN 연결과 같은 여러 옵션을 사용하여 VPC에 연결할 수 있습니다. 이러한 옵션을 사용하여 내부 네트워크를 AWS 클라우드로 확장하여 기존 현장 서비스를 통합할 수 있습니다. 모니터링, 인증, 보안, 데이터 또는 기타 시스템과 같은 현장 서비스를 통합할 수 있습니다. 이러한 유형의 네트워크 확장을 사용하면 VPC AWS와 같이에서 호스팅하는 리소스에 현장 서비스를 원활하게 연결할 수 있습니다. 이 구성을 사용하여 소스 온프레미스 데이터베이스를 변환할 수 있습니다.

다음 그림은 원본 엔드포인트가 기업 데이터 센터에서 온프레미스 데이터베이스인 구성을 나타냅니다. 또는 VPN을 사용하여 Direct Connect DMS Schema Conversion 및 대상 데이터베이스가 포함된 VPC에 연결됩니다.

DMS Schema Conversion 및 대상 데이터베이스가 포함된 VPC에 Direct Connect 또는 VPN을 통해 연결된 온프레미스 소스 데이터베이스입니다.

이 구성에서는 다음 네트워크 구성 요소를 설정합니다.

  • DMS Schema Conversion 서브넷과 연결된 라우팅 테이블에는 온프레미스 CIDR 범위로 향하는 트래픽을 Virtual Private Gateway(VGW) 또는 Transit Gateway로 보내는 경로가 포함되어야 합니다.

  • NAT 또는 브리지 호스트의 보안 그룹은 필요한 데이터베이스 포트에서 DMS Schema Conversion 보안 그룹의 인바운드 트래픽을 허용해야 합니다.

  • DMS Schema Conversion 보안 그룹은 온프레미스 데이터베이스 포트로의 아웃바운드 트래픽을 허용해야 합니다.

ENI IP 주소는 언제든지 변경될 수 있으므로 허용 목록에 특정 ENI IP 주소를 사용하지 마세요. 자세한 내용은 AWS Site-to-Site VPN 사용 설명서Site-to-Site VPN 연결 생성을 참조하세요.

VPC에 인터넷 연결 사용

VPN 또는를 사용하여 AWS 리소스 Direct Connect 에 연결하지 않는 경우 인터넷을 사용하여 소스 데이터베이스에 연결할 수 있습니다. 이 구성은 프라이빗 서브넷이 있는 VPC와 아웃바운드 인터넷 액세스를 제공하는 NAT 게이트웨이를 사용합니다. 이 구성을 사용하여 퍼블릭 액세스가 가능한 소스 온프레미스 데이터베이스를 변환할 수 있습니다.

다음 그림은 VPC의 DMS Schema Conversion이 NAT 게이트웨이를 사용하여 인터넷을 통해 온프레미스 소스 데이터베이스에 연결되는 구성을 보여줍니다.

인터넷과 NAT 게이트웨이를 통해 프라이빗 서브넷의 DMS Schema Conversion에 연결된 온프레미스 소스 데이터베이스입니다.

VPC에서 공개적으로 액세스할 수 있는 소스 데이터베이스로의 연결을 활성화하려면 NAT 게이트웨이를 통해 인터넷에 연결하는 프라이빗 서브넷으로 VPC를 구성합니다. NAT 게이트웨이는 소스 데이터베이스의 방화벽 허용 목록에 추가할 수 있는 일관된 퍼블릭 IP 주소를 제공하므로 프라이빗 서브넷의 리소스가 인터넷을 통해 소스 데이터베이스에 연결할 수 있습니다.

VPC 라우팅 테이블에는 기본적으로 VPC로 전송되지 않은 트래픽을 NAT 게이트웨이로 보내는 라우팅 규칙이 포함되어야 합니다. 이 구성에서는 데이터 공급자에 대한 연결이 NAT 게이트웨이의 퍼블릭 IP 주소에서 시작되는 것으로 보입니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 라우팅 테이블을 참조하세요.

VPC에 인터넷 게이트웨이를 추가하려면 Amazon VPC 사용 설명서인터넷 게이트웨이 연결을 참조하세요.

DNS를 사용하여 도메인 엔드포인트 확인

데이터베이스의 도메인 엔드포인트를 확인해야 하는 경우 Amazon Route 53 Resolver를 사용할 수 있습니다. Route 53 DNS Resolver 사용에 대한 자세한 내용은 Route 53 Resolver 시작하기를 참조하세요.

자체 온프레미스 이름 서버를 사용하여 Amazon Route 53 Resolver로 특정 엔드포인트를 확인하는 방법에 대한 자세한 내용은 자체 온프레미스 이름 서버 사용 섹션을 참조하세요.

DMS Schema Conversion의 네트워크 문제 해결

다음 섹션에서는 DMS Schema Conversion을 사용할 때 발생할 수 있는 일반적인 네트워크 관련 오류와 이를 해결하는 방법을 설명합니다.

데이터베이스 연결 오류

DMS Schema Conversion이 소스 또는 대상 데이터베이스에 연결할 수 없는 경우 다음 오류 메시지가 표시될 수 있습니다.

  • Could not connect to your {origin} database at '{serverName}:{port}'. Verify your network configuration, security groups, and that the database server is reachable.

    여기서 {origin}source 또는 이고target, {serverName}은 데이터베이스 서버 호스트 이름이고, {port}는 데이터베이스 포트 번호입니다.

계정의 DMS Schema Conversion Amazon CloudWatch logs를 확인하여 연결 실패의 구체적인 이유를 찾을 수도 있습니다.

이러한 오류를 해결하려면 다음을 확인하세요.

  1. 서버 이름 및 포트 확인 - 데이터 공급자에 구성된 서버 이름 및 포트가 올바른지 확인합니다. 콘솔 또는 AWS CLI를 사용하여 AWS DMS 데이터 공급자 설정을 확인할 수 있습니다. 데이터베이스 엔드포인트 및 포트를 찾는 방법에 대한 자세한 내용은 Amazon Relational Database Service 사용 설명서의 Amazon RDS DB 인스턴스의 연결 정보 찾기를 참조하세요. Amazon Relational Database Service

  2. 보안 그룹 규칙 확인 - DMS Schema Conversion과 연결된 보안 그룹이 데이터베이스 포트에서 아웃바운드(송신) TCP 트래픽을 허용하는지 확인합니다. 또한 데이터베이스의 보안 그룹이 DMS Schema Conversion 보안 그룹의 인바운드(수신) TCP 트래픽을 허용하는지 확인합니다. 보안 그룹 규칙 작업에 대한 자세한 내용은 Amazon VPC 사용 설명서보안 그룹 규칙 작업을 참조하세요.

  3. 네트워크 ACLs 확인 - DMS Schema Conversion 서브넷 및 데이터베이스 서브넷의 네트워크 ACLs이 데이터베이스 포트에서 양방향으로 트래픽을 허용하는지 확인합니다.

  4. 라우팅 테이블 확인 - DMS Schema Conversion 서브넷과 연결된 라우팅 테이블에 데이터베이스에 도달하기 위한 올바른 경로가 있는지 확인합니다. VPC 피어링, VPN 또는를 사용하는 경우 해당 경로가 있는지 Direct Connect확인합니다.

  5. DMS Schema Conversion Amazon CloudWatch logs 확인 - 자세한 오류 정보는 DMS Schema Conversion 로그를 검토합니다. 마이그레이션 프로젝트의 Schema Conversion 탭에서 로그 링크를 찾거나 AWS CLI를 사용하여 예외가 포함된 로그 항목을 가져올 수 있습니다.

    먼저 DMS Schema Conversion 로그 그룹을 찾습니다. 로그 그룹 이름은 로 시작하고 마이그레이션 프로젝트의 ARN 마지막 청크를 dms-tasks-sct 포함합니다.

    aws logs describe-log-groups \
  --log-group-name-prefix dms-tasks-sct

    그런 다음 filter-log-events 명령을 사용하여 로그 그룹에서 예외를 검색합니다.

    aws logs filter-log-events \
  --log-group-name dms-tasks-sct-your-migration-project \
  --filter-pattern "Exception" \
  --start-time start_timestamp_ms \
  --end-time end_timestamp_ms

    ERROR 또는 Exception와 같은 다른 패턴으로 바꾸"Could not connect"어 결과를 좁힐 수 있습니다. --start-time--end-time 값은 밀리초 단위의 Unix 타임스탬프입니다.