本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 進階端點組態
您可以在 AWS Database Migration Service (AWS DMS) 中為端點設定進階設定,以設定控制來源和目標端點在遷移過程中的行為。作為進階設定的一部分,您可以設定 AWS DMS VPC 對等互連,以啟用 VPCs 之間的安全通訊、DMS 安全群組以控制傳入和傳出流量、Newtwork 存取控制清單 (NACLs) 作為額外的安全層,以及 AWS Secrets Manager 的 VPC 端點。
您可以在端點建立期間設定這些組態,或稍後透過 AWS DMS 主控台或 API 進行修改,以根據特定資料庫引擎需求和效能需求微調遷移程序。
您可以在下面找到有關進階端點組態的更多詳細資訊。
**Topics**
+ [的 VPC 對等互連組態 AWS DMS。](CHAP_Advanced.Endpoints.vpc.peering.md)
+ [的安全群組組態 AWS DMS](CHAP_Advanced.Endpoints.securitygroup.md)
+ [的網路存取控制清單 (NACL) 組態 AWS DMS](CHAP_Advanced.Ednpoints.NACL.md)
+ [設定 AWS DMS 秘密管理員 VPC 端點](CHAP_Advanced.Endpoints.secretsmanager.md)
+ [其他考量](#CHAP_secretsmanager.additionalconsiderations)
# 的 VPC 對等互連組態 AWS DMS。
VPC 對等互連可在兩個 VPCs之間啟用私有網路連線,允許 AWS DMS 複寫執行個體和資料庫端點在不同的 VPCs之間進行通訊,就像在相同的網路中一樣。當您的 DMS 複寫執行個體位於一個 VPC 中,而來源或目標資料庫位於不同的 VPCs 中時,這至關重要,可實現直接且安全的資料遷移,而不會周遊公有網際網路。
使用 Amazon RDS 時,如果您的執行個體位於不同的 VPC,則必須在 DMS 和 RDS 之間設定 VPCs 對等互連。
您必須執行下列步驟:
**建立 VPC 互連連線**
1. 導覽至 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在導覽窗格中,選取**虛擬私有雲端**下的**對等連線**。
1. 按一下**建立對等連線**。
1. 設定對等連線:
+ 名稱標籤 (選用):輸入對等連線的名稱 (範例:`DMS-RDS-Peering`)。
**VPC 申請者**:選取包含 DMS 執行個體的 VPC。
+ **VPC 接受者**:選取包含 RDS 執行個體的 VPC。
**注意**
如果接受者 VPC 與不同的 AWS 帳戶相關聯,您必須擁有該帳戶的帳戶 ID 和 VPC ID。
1. 按一下**建立對等連線**。
**接受 VPC 對等互連**
1. 在**對等連線**清單中,尋找具有**待接受**狀態的新對等連線。
1. 選取適當的對等互連,按一下**動作**,然後選取**接受請求**。
對等連線狀態會變更為**作用中**。
**更新路由表**
若要啟用 VPCs之間的流量,您必須更新兩個 VPCs中的路由表。若要更新 DMS VPC 中的路由表:
1. 識別 RDS VPC 的 CIDR 區塊:
1. 導覽至您的 VPCs然後選取您的 RDS VPC。
1. 在 CIDR 索引標籤中複製 IPv4 **CIDRs**值。
1. 使用資源映射識別相關的 DMS 路由表:
1. 導覽至您的 VPCs然後選取您的 DMS VPC。
1. 按一下**資源地圖**索引標籤,並記下與 DMS 執行個體所在子網路相關聯的路由表。
1. 更新 DMS VPC 中的所有路由表:
1. 導覽至 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)中的路由表。
1. 選取 DMS VPC 識別的路由表。您可以從 VPC **的資源映射**索引標籤開啟它們。
1. 按一下**編輯路由**。
1. 按一下新增路由並輸入下列資訊:
+ **目的地**:輸入 RDS VPC 的 IPv4 CIDR 區塊 (範例:`10.1.0.0/16`)。
+ **目標**:選取對等組態 ID (範例:`pcx-1234567890abcdef`)。
1. 按一下**儲存路由**。
您的 VPC 路由會針對 DMS VPC 儲存。為您的 RDS VPC 執行相同的步驟。
**更新安全群組**
1. 驗證 DMS 執行個體安全群組:
1. 您必須確保傳出規則允許 RDS 執行個體的流量:
+ **類型**:自訂 TCP 或特定資料庫連接埠 (範例:3306 fir MySQL)。
+ **目的地**:RDS VPC 的 CIDR 區塊或 RDS 執行個體的安全群組。
1. 驗證 RDS 執行個體安全群組:
1. 您必須確保傳入規則允許來自 DMS 執行個體的流量:
+ **類型**:特定資料庫連接埠。
+ 來源:DMS VPC 的 CIDR 區塊或 RDS instabce 的安全群組。
**注意**
您也必須確保下列項目:
**作用中對等連線**:確保 VPC 對等連線處於**作用中**狀態後再繼續。
**資源映射**:使用 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)中的**資源映射**索引標籤來識別哪些路由表需要更新。
**沒有重疊的 CIDR 區塊**:VPCs 必須具有非重疊的 CIDR 區塊。
**安全最佳實務**:將安全群組規則擷取至必要的連接埠和來源。
如需詳細資訊,請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的 [VPC 互連連線](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html)。
# 的安全群組組態 AWS DMS
中的安全群組 AWS DMS 必須允許適當資料庫連接埠上複寫執行個體的傳入和傳出連線。如果您使用的是 Amazon RDS,則必須為執行個體設定 DMS 和 RDS 之間的安全群組。
您必須執行下列步驟:
**設定 RDS 執行個體安全群組**
1. 導覽至 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在**左側安全**下的導覽窗格中,選取**安全群組**。
1. 選取與您的 RDS 執行個體相關聯的 RDS 安全群組。
1. 編輯傳入規則:
1. 按一下**動作**,然後選取**編輯傳入規則**。
1. 按一下**新增規則**以建立新的規則。
1. 請依如下所示設定規則:
+ **類型**:選取您的資料庫類型 (範例:連接埠 3306 的 MySQL/Aurora、連接埠 5432 的 PostgreSQL)。
+ **通訊協定**:根據您的資料庫類型自動填入。
+ **連接埠範圍**:根據您的資料庫類型自動填入。
+ **來源**:選擇**自訂**,並貼上與 DMS 執行個體相關聯的安全群組 ID。這允許來自該安全群組內任何資源的流量。您也可以指定 DMS 執行個體的 IP 範圍 (CIDR 區塊)。
1. 按一下**儲存規則**。
**設定 DMS 複寫執行個體安全群組**
1. 導覽至 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在**左側安全性**下的導覽窗格中,選取**安全群組**。
1. 在**安全群組**清單中,尋找並選取與您的 DMS 複寫執行個體相關聯的安全群組。
1. 編輯傳出規則:
1. 按一下**動作**,然後選取**編輯傳出規則**。
1. 按一下**新增規則**以建立新的規則。
1. 請依如下所示設定規則:
+ 類型:選取您的資料庫類型 (範例:MySQL/Aurora、PostgreSQL)。
+ 通訊協定:根據您的資料庫類型自動填入。
+ 連接埠範圍:根據您的資料庫類型自動填入。
+ 來源:選擇**自訂**,然後貼上與 RDS 執行個體相關聯的安全群組 ID。這允許來自該安全群組內任何資源的流量。您也可以指定 RDS 執行個體的 IP 範圍 (CIDR 區塊)。
1. 按一下**儲存規則**。
## 其他考量
您必須考慮下列其他組態資訊:
+ **使用安全群組參考**:參考來源或目的地執行個體中的安全群組可進行動態管理,而且比使用 IP 地址更安全,因為它會自動包含群組中的所有資源。
+ **資料庫連接埠**:請確定您使用資料庫的正確連接埠。
+ **安全最佳實務**:僅開啟必要的連接埠以將安全風險降至最低。您還必須定期檢閱您的安全群組規則,以確保它們符合您的安全標準和要求。
# 的網路存取控制清單 (NACL) 組態 AWS DMS
使用 Amazon RDS 作為複寫來源時,您應該更新 DMS 和 RDS 執行個體的網路存取控制清單 (NACLs)。請確定 NACLs與這些執行個體所在的子網路相關聯。這允許特定資料庫連接埠上的傳入和傳出流量。
若要更新網路存取控制清單,您必須執行下列步驟:
**注意**
如果您的 DMS 和 RDS 執行個體位於相同的子網路中,您只需要更新該子網路的 NACL。
**識別相關的 NACLs**
1. 導覽至 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在**左側安全性**下的導覽窗格中,選取**網路 ACLs**。
1. 選取與 DMS 和 RDS 執行個體所在的子網路相關聯的相關 NACLs。
**更新 DMS 執行個體子網路NACLs**
1. 識別與 DMS 執行個體子網路相關聯的 NACL。若要這樣做,您可以在 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)中瀏覽子網路、尋找 DMS 子網路,並記下相關聯的 NACL ID。
1. 編輯傳入規則:
1. 按一下所選 NACL 的**傳入規則**索引標籤。
1. 選擇**編輯傳入規則**。
1. 新增規則:
+ **規則 \$1**:選擇唯一的數字 (範例:100)。
+ **類型**:選取**自訂 TCP 規則**。
+ **Protocol (通訊協定)**:TCP
+ **連接埠範圍**:輸入您的資料庫連接埠 (例如:3306 for MySQL)。
+ **來源**:輸入 RDS 子網路的 CIDR 區塊 (範例:10.1.0.0/16)。
+ **允許/拒絕**:選取**允許**。
1. 編輯傳出規則:
1. 按一下所選 NACL 的**傳出規則**索引標籤。
1. 按一下**編輯傳出規則**。
1. 新增規則:
+ **規則 \$1**:使用與傳入規則中使用的相同號碼。
+ **類型**:所有流量。
+ **目的地**:0.0.0.0/0
+ **允許/拒絕**:選取**允許**。
1. 按一下 **Save changes** (儲存變更)。
1. 執行相同的步驟來更新與 RDS 執行個體子網路相關聯的 NACLs。
## 驗證 NACL 規則
您必須確保以下有關 NACL 規則的 條件:
+ **規則順序**:NACLs 會根據 erule 編號以遞增順序處理規則。確保所有設為 "**Allow**" 的規則數量低於所有設為 "**Deny**" 的規則,因為這可能會封鎖流量。
+ **無狀態性質**:NACLs 為無狀態。您必須明確允許傳入和傳出流量。
+ **CIDR 區塊**:您必須確保您使用的 CIDR 區塊準確代表 DMS 和 RDS 執行個體的子網路。
# 設定 AWS DMS 秘密管理員 VPC 端點
您必須建立 VPC 端點,才能從私有子網路中的複寫執行個體存取 AWS Secrets Manager。這可讓複寫執行個體直接透過私有網路存取 Secrets Manager,而無需透過公有網際網路傳送流量。
若要設定 ,您必須遵循下列步驟:
**建立 VPC 端點的安全群組。**
1. 導覽至 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在左側導覽窗格中,選取**安全群組**,然後選擇**建立安全群組**。
1. 設定安全群組詳細資訊:
+ **安全群組名稱**:範例: `SecretsManagerEndpointSG`
+ **描述**:輸入適當的描述。(範例:Secrets Manager VPC 端點的安全群組)。
+ **VPC**:選取複寫執行個體和端點所在的 VPC。
1. 按一下**新增規則**以設定傳入規則並設定下列項目:
+ 類型:HTTPS (當秘密管理員在連接埠 443 上使用 HTTPS 時)。
+ 來源:選擇**自訂**,然後輸入複寫執行個體的安全群組 ID。這可確保與該安全群組相關聯的任何執行個體都可以存取 VPC 端點。
1. 檢閱變更,然後按一下**建立安全群組**。
**建立 Secrets Manager 的 VPC 端點**
**注意**
建立介面 VPC 端點,如 *Amazon Virtual Private Cloud 使用者指南*中的[建立介面端點文件](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)主題中所述。遵循此程序時,請確定下列事項:
對於**服務類別**,您應該選取**AWS 服務。**
針對**服務名稱**,搜尋`seretsmanager`並選取秘密管理員服務。
1. 選取 **VPC 和子網路**並設定下列項目:
+ **VPC**:確保它與您的複寫執行個體是相同的 VPC。
+ **子網路**:選取複寫執行個體所在的子網路。
1. **在其他設定**中,確保介面端點的**啟用 DNS 名稱**預設為啟用
1. 在**安全群組**下,選取適當的安全群組名稱。範例:`SecretsManagerEndpointSG`如先前所建立)。
1. 檢閱所有設定並按一下**建立端點**。
**擷取 VPC 端點 DNS 名稱**
1. 存取 VPC 端點詳細資訊:
1. 導覽至 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/),然後選擇**端點**。
1. 選取您建立的適當端點。
1. 複製 DNS 名稱:
1. 在**詳細資訊**索引標籤下,導覽至 **DNS 名稱**區段。
1. 複製列出的第一個 DNS 名稱。(範例:`vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`)。這是區域 DNS 名稱。
**更新您的 DMS 端點**
1. 導覽至 [AWS DMS](https://console.aws.amazon.com/dms/v2) 主控台。
1. 修改 DMS 端點:
1. 在左側導覽窗格中,選取**端點**。
1. 選擇您要設定的適當端點。
1. 按一下**動作**,然後選取**修改**。
1. 設定端點設定:
1. 導覽至**端點設定**,然後選取**使用端點連線屬性**核取方塊。
1. 在**連線屬性**欄位中,新增:`secretsManagerEndpointOverride=`。
**注意**
如果您有多個連線屬性,您可以使用分號 ";" 分隔它們。例如:`datePartitionEnabled=false;secretsManagerEndpointOverride=vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`
1. 按一下**修改端點**以儲存變更。
## 其他考量
您必須考慮下列其他組態資訊:
**複寫執行個體安全群組:**
+ 確保與複寫執行個體相關聯的安全群組允許傳出流量流向連接埠 443 (HTTPS) 上的 VPC 端點。
**VPC DNS 設定:**
+ 確認您的 VPC 中已啟用 **DNS 解析**和 **DNS 熱名稱**。這可讓您的執行個體解析 VPC 端點 DNS 名稱。您可以在 Amazon VPCs 主控台中導覽至 VPC 並選取 VPC 以確認 **DNS 解析**和 **DNS 熱名稱**設定為「**是**」,以確認。 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
**測試連線能力:**
+ 從您的複寫執行個體,您可以執行 DNS 查詢,以確保它解析 VPC 端點:`nslookup secretsmanager.amazonaws.com`。它必須傳回與您的 VPC 端點相關聯的 Ip 地址