As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar uma rede para a DMS Schema Conversion
A conversão de esquema do DMS é um recurso sem servidor. Para se conectar aos seus bancos de dados, ele coloca uma interface de rede elástica (ENI) em uma sub-rede dentro da sua VPC. Ao criar seu perfil de instância, você especifica a VPC, o grupo de sub-rede e os grupos de segurança a serem usados. Você pode usar sua VPC padrão para sua conta e/ou criar uma nova VPC. Região da AWS
Para garantir a conectividade adequada entre o DMS Schema Conversion e seus provedores de dados, configure os seguintes componentes de rede:
-
Grupos de segurança — configure as regras de saída no grupo de segurança associado à Conversão do Esquema DMS para permitir tráfego de saída para suas redes de banco de dados de origem e destino. Configure as regras de entrada nos grupos de segurança do seu banco de dados para permitir o tráfego de entrada do grupo de segurança DMS Schema Conversion.
-
ACLs de rede — Se suas sub-redes usam listas de controle de acesso à rede, certifique-se de que elas permitam tráfego entre as sub-redes de conversão de esquema do DMS e suas sub-redes de banco de dados.
-
Tabelas de rotas — Certifique-se de que as tabelas de rotas associadas às sub-redes do DMS Schema Conversion tenham rotas para alcançar seus bancos de dados de origem e destino. Isso pode incluir rotas de emparelhamento de VPC, rotas de gateway VPN ou rotas de gateway NAT, dependendo da sua configuração.
-
Sub-redes — O DMS Schema Conversion coloca sua ENI nas sub-redes definidas em seu grupo de sub-redes. O grupo de sub-redes deve conter pelo menos duas sub-redes em zonas de disponibilidade separadas.
Importante
Como a conversão do esquema DMS não tem servidor, o endereço IP da ENI pode mudar a qualquer momento. Não use um endereço IP específico para a lista de permissões. Em vez disso, faça referência ao grupo de segurança DMS Schema Conversion nas regras de entrada do grupo de segurança do banco de dados ou direcione o tráfego de saída por meio de um gateway NAT com um endereço IP elástico associado para conectividade local.
Você pode usar várias configurações de rede diferentes com o DMS Schema Conversion. A seguir estão as configurações comuns de uma rede usada para conversão de esquema. Quando possível, recomendamos que você crie um perfil de instância na mesma região do endpoint de destino e use a mesma VPC ou sub-rede do endpoint de destino.
Tópicos
Utilizar uma única VPC para provedores de dados de origem e de destino
A configuração de rede mais simples para a DMS Schema Conversion é a configuração de uma única VPC. Nessa configuração, o perfil da instância especifica a mesma VPC em que residem seus bancos de dados de origem e destino. O DMS Schema Conversion usa uma ENI nessa VPC para se conectar aos dois bancos de dados.
A ilustração a seguir mostra uma configuração em que um banco de dados de origem se conecta à conversão de esquema do DMS e o esquema é convertido em um banco de dados de destino, tudo dentro da mesma VPC.
Os grupos de segurança em seus bancos de dados devem permitir a entrada na porta do banco de dados a partir do grupo de segurança DMS Schema Conversion. Não use um endereço IP ENI específico para a lista de permissões, pois o endereço IP ENI pode mudar a qualquer momento.
Os exemplos a seguir mostram regras de entrada para um grupo de segurança de banco de dados. Nesses exemplos, sg-1234567890abcdef0 está o grupo de segurança associado à conversão do esquema DMS. Use a porta na qual seu banco de dados está configurado para escutar.
| Tipo | Protocolo | Intervalo de portas | Fonte | Description |
|---|---|---|---|---|
| Oracle-RDS | TCP | 1521 | sg-1234567890abcdef0 | Banco de dados Oracle |
| MySQL/Aurora | TCP | 3306 | sg-1234567890abcdef0 | Banco de dados MySQL ou Aurora MySQL |
| PostgreSQL | TCP | 5432 | sg-1234567890abcdef0 | Banco de dados PostgreSQL ou Aurora PostgreSQL |
| MSSQL | TCP | 1433 | sg-1234567890abcdef0 | Banco de dados Microsoft SQL Server |
| TCP personalizado | TCP | Seu porto | sg-1234567890abcdef0 | Qualquer outro banco de dados usando uma porta personalizada |
Utilizar várias VPCs para provedores de dados de origem e de destino
Se seus bancos de dados de origem e destino estiverem em VPCs diferentes, incluindo VPCs em AWS contas ou regiões diferentes, você poderá configurar o perfil da instância para usar uma das VPCs e, em seguida, vincular as duas VPCs usando o emparelhamento de VPC. Você também pode usar outras opções de VPC-to-VPC conectividade, como AWS Transit Gateway. Para obter mais informações, consulte as opções de conectividade da Amazon VPC-to-Amazon VPC.
Uma conexão de emparelhamento de VPC é uma conexão de rede entre duas VPCs que ativa o roteamento usando o endereço IP privado de cada VPC como se estivessem na mesma rede. Você pode criar uma conexão de emparelhamento de VPC entre suas próprias VPCs, com uma VPC em outra AWS conta ou com uma VPC em outra. Região da AWS Para obter mais informações sobre emparelhamento de VPC, consulte Emparelhamento de VPC, no Guia do usuário da Amazon VPC.
A ilustração a seguir mostra uma configuração usando o emparelhamento de VPC. Aqui, o banco de dados de origem em uma VPC se conecta por emparelhamento de VPC a outra VPC que contém a conversão de esquema do DMS e o banco de dados de destino.
Para implementar o emparelhamento de VPC, siga as instruções em Trabalhar com conexões de emparelhamento da VPC no Guia do usuário da Amazon VPC. Verifique se a tabela de rotas de uma VPC contém o bloco CIDR da outra. Por exemplo, suponha que a VPC A esteja usando o destino 10.0.0. 0/16 e a VPC B está usando o destino 172.31.0. 0/16. Nesse caso, a tabela de rotas da VPC A deve conter 172.31.0. 0/16, e a tabela de rotas da VPC B deve conter 10.0.0. 0/16. Para obter informações mais detalhadas, consulte Atualizar as tabelas de rotas para a conexão de emparelhamento da VPC no Guia do usuário de emparelhamento da Amazon VPC.
Os grupos de segurança em seus bancos de dados devem permitir a entrada na porta do banco de dados a partir do grupo de segurança DMS Schema Conversion. Se suas VPCs estiverem em AWS contas ou regiões diferentes, talvez não haja suporte para referências a grupos de segurança. Nesse caso, use os intervalos CIDR de sub-rede da VPC emparelhada em vez disso.
Os exemplos a seguir mostram regras de entrada para o banco de dados de origem na VPC A que permitem o acesso a partir do intervalo CIDR da sub-rede DMS Schema Conversion na VPC B (172.31.1). 0/24). Use a porta na qual seu banco de dados está configurado para escutar. Se as duas VPCs estiverem na mesma região e conta, recomendamos usar uma referência de grupo de segurança em vez de um intervalo CIDR para um controle de acesso mais rígido.
| Tipo | Protocolo | Intervalo de portas | Fonte | Description |
|---|---|---|---|---|
| Oracle-RDS | TCP | 1521 | 172.31.1. 0/24 | Banco de dados Oracle |
| MySQL/Aurora | TCP | 3306 | 172.31.1. 0/24 | Banco de dados MySQL ou Aurora MySQL |
| PostgreSQL | TCP | 5432 | 172.31.1. 0/24 | Banco de dados PostgreSQL ou Aurora PostgreSQL |
| MSSQL | TCP | 1433 | 172.31.1. 0/24 | Banco de dados Microsoft SQL Server |
| TCP personalizado | TCP | Seu porto | 172.31.1. 0/24 | Qualquer outro banco de dados usando uma porta personalizada |
Usando VPCs compartilhadas para provedores de dados de origem e destino
AWS Database Migration Service trata as sub-redes que são compartilhadas com uma conta de cliente participante em uma organização da mesma forma que as sub-redes normais na mesma conta.
Você pode configurar sua rede para operar em sub-redes ou VPCs personalizadas criando grupos de sub-redes de replicação. Ao criar um grupo de sub-redes de replicação, você especifica sub-redes de uma VPC específica. A lista de sub-redes deve incluir pelo menos duas sub-redes em zonas de disponibilidade separadas, e todas as sub-redes devem estar na mesma VPC.
Se você usa uma VPC compartilhada, crie grupos de sub-redes de replicação que mapeiam para as sub-redes que você deseja usar da VPC compartilhada. Ao criar um perfil de instância, especifique o grupo de sub-rede de replicação para a VPC compartilhada e um grupo de segurança da VPC que você criou para a VPC compartilhada.
Observe o seguinte sobre a utilização de uma VPC compartilhada:
-
O proprietário da VPC não pode compartilhar um recurso com um participante, mas o participante pode criar um recurso de serviço na sub-rede do proprietário.
-
O proprietário da VPC não pode acessar um recurso criado pelo participante, porque todos os recursos são específicos da conta. No entanto, desde que você configure o perfil da instância para usar a VPC compartilhada, a conversão de esquema do DMS poderá acessar os recursos na VPC independentemente da conta proprietária, desde que as permissões corretas estejam em vigor.
-
Como os recursos são específicos da conta, outros participantes não podem acessar recursos pertencentes a outras contas. Não há permissões que você possa conceder a outras contas para permitir que elas acessem os recursos criados na VPC compartilhada com a sua conta.
Utilizar Direct Connect ou uma VPN para configurar uma rede para uma VPC
As redes remotas podem se conectar a uma VPC usando várias opções, como Direct Connect uma conexão VPN de software ou hardware. É possível utilizar essas opções para integrar os serviços existentes no local, estendendo uma rede interna para a Nuvem AWS. É possível integrar serviços locais, como monitoramento, autenticação, segurança, dados ou outros sistemas. Ao usar esse tipo de extensão de rede, você pode conectar perfeitamente os serviços locais aos recursos hospedados por AWS, como uma VPC. É possível utilizar essa configuração para converter o banco de dados on-premises de origem.
A ilustração a seguir mostra uma configuração em que o endpoint de origem é um banco de dados on-premises em um datacenter corporativo. Ele é conectado por meio Direct Connect de uma VPN a uma VPC que contém a conversão do esquema DMS e o banco de dados de destino.
Nessa configuração, configure os seguintes componentes de rede:
-
A tabela de rotas associada às sub-redes de conversão de esquema do DMS deve incluir uma rota que envie o tráfego destinado ao intervalo CIDR local para o Virtual Private Gateway (VGW) ou o Transit Gateway.
-
O grupo de segurança no host NAT ou bridge deve permitir o tráfego de entrada do grupo de segurança DMS Schema Conversion nas portas de banco de dados necessárias.
-
O grupo de segurança DMS Schema Conversion deve permitir tráfego de saída para a porta do banco de dados local.
Não use um endereço IP ENI específico para a lista de permissões, pois o endereço IP ENI pode mudar a qualquer momento. Para obter mais informações, consulte Criar uma conexão Site-to-Site VPN no Guia AWS Site-to-Site VPN do usuário.
Utilizar uma conexão de internet com uma VPC
Se você não usa uma VPN ou se conecta Direct Connect a AWS recursos, pode usar a Internet para se conectar ao seu banco de dados de origem. Essa configuração usa uma VPC com sub-redes privadas e um gateway NAT que fornece acesso de saída à Internet. Você pode usar essa configuração para converter seu banco de dados local de origem que tenha acessibilidade pública.
A ilustração a seguir mostra uma configuração em que a conversão de esquema do DMS em uma VPC se conecta a um banco de dados de origem local pela Internet usando um gateway NAT.
Para habilitar a conectividade da sua VPC com um banco de dados de origem acessível ao público, configure a VPC com sub-redes privadas que se conectam à Internet por meio de um gateway NAT. O gateway NAT fornece um endereço IP público consistente que você pode adicionar à lista de permissões de firewall do seu banco de dados de origem, permitindo que recursos na sub-rede privada se conectem ao banco de dados de origem pela Internet.
A tabela de rotas da VPC deve incluir regras de roteamento que enviem tráfego não destinado à VPC por padrão para o gateway NAT. Nessa configuração, a conexão com o provedor de dados parece vir do endereço IP público do gateway NAT. Para obter mais informações, consulte Tabelas de rotas da VPC no Guia do usuário da Amazon VPC.
Para adicionar um gateway da Internet à sua VPC, consulte Anexar um gateway da Internet, no Guia do usuário da Amazon VPC.
Resolver endpoints de domínio utilizando o DNS
Se precisar resolver endpoints de domínio para seus bancos de dados, você pode usar o Amazon Route 53 Resolver. Para obter mais informações sobre como utilizar o Route 53 DNS Resolver, consulte Introdução ao Route 53 Resolver.
Para obter informações sobre como utilizar seu próprio servidor de nomes on-premises para resolver determinados endpoints utilizando o Amazon Route 53 Resolver, consulte Utilização do seu próprio servidor de nomes on-premises.
Solução de problemas de rede para conversão de esquema DMS
As seções a seguir descrevem erros comuns relacionados à rede que você pode encontrar ao usar a Conversão de Esquema DMS e como resolvê-los.
Erros de conectividade com o banco
Talvez você veja a seguinte mensagem de erro quando a Conversão de Esquema do DMS não consegue acessar seu banco de dados de origem ou destino:
-
Could not connect to your{origin}database at '{serverName}:{port}'. Verify your network configuration, security groups, and that the database server is reachable.Onde
{origin}estásourceoutarget,{serverName}é o nome do host do seu servidor de banco de dados e{port}é o número da porta do banco de dados.
Você também pode verificar os CloudWatch registros de conversão de esquema DMS da Amazon em sua conta para encontrar o motivo específico da falha na conexão.
Para resolver esses erros, verifique o seguinte:
-
Verifique o nome e a porta do servidor — Confirme se o nome e a porta do servidor configurados no seu provedor de dados estão corretos. Você pode verificar as configurações do provedor de dados usando o AWS DMS console ou a AWS CLI. Para obter mais informações sobre como encontrar o endpoint e a porta do seu banco de dados, consulte Encontrar as informações de conexão para uma instância de banco de dados do Amazon RDS no Guia do usuário do Amazon Relational Database Service.
-
Verifique as regras do grupo de segurança — Verifique se o grupo de segurança associado à conversão do esquema DMS permite tráfego TCP de saída (saída) na porta do banco de dados. Verifique também se o grupo de segurança no banco de dados permite tráfego TCP de entrada (entrada) do grupo de segurança DMS Schema Conversion. Para obter mais informações sobre como trabalhar com regras de grupos de segurança, consulte Trabalhar com regras de grupos de segurança no Guia do usuário da Amazon VPC.
-
Verifique as ACLs de rede — Verifique se as ACLs de rede nas sub-redes de conversão do esquema DMS e nas sub-redes do banco de dados permitem tráfego em ambas as direções na porta do banco de dados.
-
Verifique as tabelas de rotas — Verifique se as tabelas de rotas associadas às sub-redes de conversão do esquema DMS têm as rotas corretas para alcançar o banco de dados. Se você usa emparelhamento de VPC, VPN ou Direct Connect, verifique se as rotas correspondentes estão presentes.
-
Verifique os registros de conversão do esquema DMS da Amazon — revise CloudWatch os registros de conversão do esquema do DMS para obter informações detalhadas sobre erros. Você pode encontrar o link para os registros na guia Conversão de esquema do seu projeto de migração ou usar a AWS CLI para buscar entradas de registro que contêm exceções.
Primeiro, encontre seu grupo de registros de conversão de esquema do DMS. O nome do grupo de registros começa com
dms-tasks-scte inclui a última parte do ARN do seu projeto de migração:aws logs describe-log-groups \ --log-group-name-prefix dms-tasks-sctEm seguida, pesquise exceções no grupo de registros usando o
filter-log-eventscomando:aws logs filter-log-events \ --log-group-namedms-tasks-sct-your-migration-project\ --filter-pattern "Exception" \ --start-timestart_timestamp_ms\ --end-timeend_timestamp_msVocê pode
Exceptionsubstituir por outros padrões, comoERRORou"Could not connect"para restringir os resultados. Os--end-timevalores--start-timee são registros de data e hora do Unix em milissegundos.
