本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 高级端点配置
您可以在 AWS Database Migration Service (AWS DMS) 中为终端节点配置高级设置,以控制源端点和目标端点在迁移过程中的行为。作为高级设置的一部分,您可以配置 AWS DMS VPC 对等以实现安全通信,配置 DMS 安全组以控制入站和出站流量 VPCs,将 Network 访问控制列出 (NACLs) 作为额外的安全层,为 Secrets Manager 配置 VPC 终端节点。 AWS
您可以在端点创建期间设置这些配置,也可以稍后通过 AWS DMS 控制台或 API 进行修改,以便根据特定的数据库引擎要求和性能需求对迁移过程进行微调。
接下来,您可以了解有关高级端点配置的更多详细信息。
**Topics**
+ [的 VPC 对等互连配置。 AWS DMS](CHAP_Advanced.Endpoints.vpc.peering.md)
+ [的安全组配置 AWS DMS](CHAP_Advanced.Endpoints.securitygroup.md)
+ [的网络访问控制列表 (NACL) 配置 AWS DMS](CHAP_Advanced.Ednpoints.NACL.md)
+ [配置 AWS DMS 密钥管理器 VPC 终端节点](CHAP_Advanced.Endpoints.secretsmanager.md)
+ [其他注意事项](#CHAP_secretsmanager.additionalconsiderations)
# 的 VPC 对等互连配置。 AWS DMS
VPC 对等互连支持两者之间的私有网络连接 VPCs,允许 AWS DMS 复制实例和数据库终端节点在不同的网络中进行通信, VPCs 就像它们在同一个网络中一样。当您的 DMS 复制实例位于一个 VPC 中,而源数据库或目标数据库分别存在时,这一点至关重要 VPCs,这样无需通过公共 Internet 即可实现直接、安全的数据迁移。
使用 Amazon RDS 时,如果您的实例位于不同的位置,则必须在 DMS 和 RDS 之间配置 VPC 对等关系。 VPCs
您必须执行下列步骤:
**创建 VPC 对等连接**
1. 导航到 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**虚拟私有云**下的**对等连接**。
1. 单击**创建对等连接**。
1. 配置对等连接:
+ 名称标签(可选):输入对等连接的名称(例如:`DMS-RDS-Peering`)。
**VPC 请求者**:选择包含您的 DMS 实例的 VPC。
+ **VPC 接受者**:选择包含您的 RDS 实例的 VPC。
**注意**
如果接受者 VPC 与其他 AWS 账户关联,则您必须拥有该账户的账户 ID 和 VPC ID。
1. 单击**创建对等连接**。
**接受 VPC 对等连接**
1. 在**对等连接**列表中,找到状态为**待接受**的新对等连接。
1. 选择相应的对等连接,单击**操作**,然后选择**接受请求**。
对等连接状态更改为**活动**。
**更新路由表**
要启用两者之间的流量 VPCs,您必须更新两个中的路由表 VPCs。要更新 DMS VPC 中的路由表,请执行以下操作:
1. 识别 RDS VPC 的 CIDR 数据块:
1. 导航到您的 VPCs 并选择您的 RDS VPC。
1. 在**CIDRs**选项卡中复制 IPv4 CIDR 值。
1. 使用资源映射识别相关的 DMS 路由表:
1. 导航到您的 VPCs 并选择您的 DMS VPC。
1. 单击**资源映射**选项卡,记下与您的 DMS 实例所在子网关联的路由表。
1. 更新 DMS VPC 中的所有路由表:
1. 在 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)中导航到路由表。
1. 选择为 DMS VPC 标识的路由表。您可以从 VPC 的**资源映射**选项卡中将其打开。
1. 单击**编辑路由**。
1. 选择“添加规则”,然后输入以下信息:
+ **目标**:输入 RDS VPC 的 IPv4 CIDR 网段(示例:`10.1.0.0/16`)。
+ **目标**:选择对等连接配置 ID(示例:`pcx-1234567890abcdef`)。
1. 单击**保存路由**。
系统会为 DMS VPC 保存您的 VPC 路由。对您的 RDS VPC 执行相同的步骤。
**更新安全组**
1. 验证 DMS 实例安全组:
1. 您必须确保出站规则允许流向 RDS 实例的流量:
+ **类型**:自定义 TCP 或特定的数据库端口(例如:适用于 MySQL 的 3306)。
+ **目标**:RDS VPC 的 CIDR 数据块或 RDS 实例的安全组。
1. 验证 RDS 实例安全组:
1. 您必须确保入站规则允许来自 DMS 实例的流量:
+ **类型**:特定的数据库端口。
+ 来源:DMS VPC 的 CIDR 数据块或 RDS 实例的安全组。
**注意**
您还必须确保以下各项:
**有效对等连接**:在继续操作之前,请确保 VPC 对等连接处于**活动**状态。
**资源映射**:使用 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)中的**资源映射**选项卡来确定哪些路由表需要更新。
**没有重叠的 CIDR 块**: VPCs必须有不重叠的 CIDR 块。
**安全最佳实践**:将安全组规则限制在必要的端口和源。
有关更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》**中的 [VPC 对等连接](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html)。
# 的安全组配置 AWS DMS
中的安全组 AWS DMS 必须允许您的复制实例在相应的数据库端口上进行入站和出站连接。如果您使用的是 Amazon RDS,则必须为您的实例配置 DMS 和 RDS 之间的安全组。
您必须执行下列步骤:
**配置 RDS 实例的安全组。**
1. 导航到 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。
1. 在左侧导航窗格中的**安全**下,选择**安全组**。
1. 选择与您的 RDS 实例关联的 RDS 安全组。
1. 编辑入站规则:
1. 单击**操作**,然后选择**编辑入站规则**。
1. 单击**添加规则**创建新规则。
1. 按如下所示配置规则:
+ **类型**:选择您的数据库类型( MySQL/Aurora 例如:端口 3306,PostgreSQL 代表端口 5432)。
+ **协议**:它会根据您的数据库类型自动填充。
+ **端口范围**:这将根据您的数据库类型自动填充。
+ **来源**:选择**自定义**,然后粘贴与您的 DMS 实例关联的安全组 ID。这允许来自该安全组内任何资源的流量。您还可以指定 DMS 实例的 IP 范围(CIDR 数据块)。
1. 单击**保存规则**。
**配置 DMS 复制实例的安全组。**
1. 导航到 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。
1. 在左侧导航窗格中的**安全**下,选择**安全组**。
1. 在**安全组**列表中,找到并选择与您的 DMS 复制实例关联的安全组。
1. 编辑出站规则:
1. 选择**操作**,然后选择**编辑出站规则**。
1. 单击**添加规则**创建新规则。
1. 按如下所示配置规则:
+ 类型:选择您的数据库类型(例如:MySQL/Aurora、PostgreSQL)。
+ 协议:它会根据您的数据库类型自动填充。
+ 端口范围:这将根据您的数据库类型自动填充。
+ 来源:选择**自定义**,然后粘贴与您的 RDS 实例关联的安全组 ID。这允许来自该安全组内任何资源的流量。您还可以指定 RDS 实例的 IP 范围(CIDR 数据块)。
1. 单击**保存规则**。
## 其他注意事项
您必须考虑以下额外配置信息:
+ **使用安全组引用**:在源或目标实例中引用安全组可以进行动态管理,并且比使用 IP 地址更安全,因为它会自动包含组中的所有资源。
+ **数据库端口**:确保使用正确的数据库端口。
+ **安全最佳实践**:仅开放必要的端口,以最大限度地降低安全风险。您还必须定期查看您的安全组规则,以确保它们符合您的安全标准和要求。
# 的网络访问控制列表 (NACL) 配置 AWS DMS
使用 Amazon RDS 作为复制源时,您应该更新 DMS 和 RDS 实例的网络访问控制列表 (NACLs)。确保与 NACLs 这些实例所在的子网关联。这允许特定数据库端口上的入站和出站流量。
要更新网络访问控制列表,您必须执行以下步骤:
**注意**
如果您的 DMS 和 RDS 实例位于同一个子网中,则只需更新该子网的 NACL 即可。
**确定相关内容 NACLs**
1. 导航到 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。
1. 在左侧导航窗格的 “**安全**” 下,选择 “**网络**” ACLs。
1. 选择与您的 DMS 和 RDS 实例所在的子网 NACLs 关联的相关子网。
**更新 DMS 实例子网的 NACLs**
1. 确定与您 DMS 实例的子网关联的 NACL。为此,您可以在 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)中浏览子网,找到 DMS 子网,并记下关联的 NACL ID。
1. 编辑入站规则:
1. 单击所选 NACL 的**入站规则**选项卡。
1. 选择**编辑入站规则**。
1. 添加新规则:
+ **规则编号:**选择一个唯一的编号(例如:100)。
+ **类型**:选择**自定义 TCP 规则**。
+ **协议**:TCP
+ **端口范围**:输入您的数据库端口(例如:MySQL 为 3306)。
+ **来源**:输入 RDS 子网的 CIDR 数据块(示例:10.1.0.0/16)。
+ **允许/拒绝**:选择**允许**。
1. 编辑出站规则:
1. 单击所选 NACL 的**出站规则**选项卡。
1. 单击**编辑出站规则**。
1. 添加新规则:
+ **规则编号**:使用入站规则中所用的那个编号。
+ **类型**:所有流量。
+ **目的地**:0.0.0.0/0
+ **允许/拒绝**:选择**允许**。
1. 单击**保存更改**。
1. 执行相同的步骤来更新与 RDS 实例的子网 NACLs 关联的。
## 验证 NACL 规则
您必须确保符合以下有关 NACL 规则的标准:
+ **规则顺 NACLs 序**:根据规则编号按升序处理规则。确保所有设为“**允许**”的规则的编号都低于所有设为“**拒绝**”的规则的编号,因为这可能会阻塞流量。
+ **无国籍性质**: NACLs 无国籍。您必须明确允许入站和出站流量。
+ **CIDR 数据块**:您必须确保所使用的 CIDR 数据块准确代表您的 DMS 和 RDS 实例的子网。
# 配置 AWS DMS 密钥管理器 VPC 终端节点
您必须创建 VPC 终端节点才能从私有子网中的复制实例访问 S AWS ecrets Manager。这允许复制实例直接通过私有网络访问 Secrets Manager,而无需通过公共互联网发送流量。
要进行配置,您必须先执行以下步骤:
**为 VPC 端点创建安全组。**
1. 导航到 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。
1. 在左侧导航窗格中,选择**安全组**,然后选择**创建安全组**。
1. 配置安全组详细信息:
+ **安全组名称**:示例:`SecretsManagerEndpointSG`
+ **描述**:输入相应的描述。(示例:Secrets Manager VPC 端点的安全组)。
+ **VPC**:选择您的复制实例和端点所在的 VPC。
1. 单击**添加规则**以设置入站规则并配置以下内容:
+ 类型:HTTPS(因为 Secrets Manager 在端口 443 上使用 HTTPS)。
+ 来源:选择**自定义**,然后输入您的复制实例的安全组 ID。这可确保与该安全组关联的任何实例都可以访问 VPC 端点。
1. 查看相应的更改并单击**创建安全组**。
**为 Secrets Manager 创建 VPC 端点**
**注意**
按照《Amazon Virtual Private Cloud 用户指南》**中的[创建接口端点文档](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)主题中的概述创建接口 VPC 端点。执行此过程时,请确保以下各项:
对于**服务类别**,应选择 **AWS 服务**。
对于**服务名称**,搜索 `seretsmanager` 并选择 Secrets Manager 服务。
1. 选择 **VPC 和子网**并配置以下内容:
+ **VPC**:确保它与您的复制实例是同一个 VPC。
+ **子网**:选择您的复制实例所在的子网。
1. 在**其他设置**中,确保默认情况下为接口端点启用了**启用 DNS 名称**
1. 在**安全组**下,选择相应的安全组名称。示例:如前面所创建的 `SecretsManagerEndpointSG`。
1. 查看所有设置并单击**创建端点**。
**检索 VPC 端点 DNS 名称**
1. 访问 VPC 端点详细信息:
1. 导航到 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/),然后选择**端点**。
1. 选择您创建的相应端点。
1. 复制 DNS 名称:
1. 在**详细信息**选项卡下,导航到 **DNS 名称**部分。
1. 复制列出的第一个 DNS 名称。(示例:`vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`。) 这是区域 DNS 名称。
**更新您的 DMS 端点**
1. 导航到 [AWS DMS](https://console.aws.amazon.com/dms/v2) 控制台。
1. 修改 DMS 端点:
1. 在左侧导航窗格中,选择**端点**。
1. 选择要配置的相应端点。
1. 单击**操作**,然后选择**修改**。
1. 配置端点设置:
1. 导航到**端点设置**,然后选中**使用端点连接属性**复选框。
1. 在**连接属性**字段中,添加 `secretsManagerEndpointOverride=`。
**注意**
如果您有多个连接属性,则可以用分号“;”分隔它们。例如:`datePartitionEnabled=false;secretsManagerEndpointOverride=vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`
1. 单击**修改端点**以保存您的更改。
## 其他注意事项
您必须考虑以下额外配置信息:
**复制实例安全组:**
+ 确保与您复制实例关联的安全组允许传输到端口 443(HTTPS)上的 VPC 端点的出站流量。
**VPC DNS 设置:**
+ 确认您的 VPC 中已启用 **DNS 解析**和 **DNS 主机名**。这允许您的实例解析 VPC 端点 DNS 名称。您可以通过在 [Amazon VPC 控制台 VPCs ](https://console.aws.amazon.com/vpc/)中导航到并选择您的 VPC 来确认 **DNS 解析**和 **DNS 主机名**是否设置为 “**是**”。
**测试连接性:**
+ 在您的复制实例中,您可以执行 DNS 查找以确保它能解析 VPC 端点:`nslookup secretsmanager.amazonaws.com`。它必须返回与您的 VPC 端点关联的 IP 地址