本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 DMS 結構描述轉換的完整先決條件
若要設定 DMS 結構描述轉換,請完成下列任務。然後,您就可以設定執行個體設定檔、新增資料提供者,以及建立遷移專案。
根據 Amazon VPC 建立 VPC
在此步驟中,您會在 中建立虛擬私有雲端 (VPC)AWS 帳戶。此 VPC 以 Amazon Virtual Private Cloud (Amazon VPC) 服務為基礎,其中包含您的 AWS 資源。
若要建立用於 DMS 結構描述轉換的 VPC
登入 AWS 管理主控台並開啟位於 https://https://console.aws.amazon.com/vpc/
的 Amazon VPC 主控台。 -
選擇建立 VPC。
-
在建立 VPC 頁面上,輸入下列設定:
-
要建立的資源 – VPC 和其他項目
-
自動產生名稱標籤 – 選擇自動產生並輸入全域唯一名稱。例如,輸入
sc-vpc。 -
IPv4 CIDR block (IPv4 CIDR 區塊) –
10.0.1.0/24 -
NAT 閘道 – 在 1 個可用區域中
-
VPC endpoints (VPC 端點) – None (無)
-
-
將其餘設定保留為預設值,接著選擇建立 VPC。
-
選擇子網路,並記下您的公用和私有子網路 ID。
若要連線到 Amazon RDS 資料庫,請建立包含公有子網路的子網路群組。
若要連線到內部部署資料庫,請建立包含私有子網路的子網路群組。如需詳細資訊,請參閱建立 DMS 結構描述轉換的執行個體描述檔。
-
選擇 NAT 閘道。選擇您的 NAT 閘道並記下您的彈性 IP 地址。
設定您的網路,以確保 AWS DMS可以從此 NAT 閘道的公有 IP 地址存取來源內部部署資料庫。如需詳細資訊,請參閱使用網際網路連線至 VPC。
在 Amazon RDS 上建立執行個體設定檔和目標資料庫時,請使用此 VPC。
建立 Amazon S3 儲存貯體
若要儲存遷移專案中的資訊,請建立 Amazon S3 儲存貯體。DMS 結構描述轉換會使用此 Amazon S3 儲存貯體來儲存包括評估報告、轉換後的 SQL 程式碼、資料庫結構描述物件的相關資訊等內容。
若要為 DMS 結構描述轉換建立 Amazon S3 儲存貯體
登入 AWS 管理主控台並開啟位於 https://https://console.aws.amazon.com/s3/
的 Amazon S3 主控台。 -
選擇建立儲存貯體。
-
在建立儲存貯體頁面上,選取 S3 儲存貯體的全域唯一名稱。例如,輸入
sc-s3-bucket。 -
針對 AWS 區域 選擇您的區域。
-
針對儲存貯體版本控制,選擇啟用。
-
將其餘設定保留為預設值,接著選擇建立儲存貯體。
注意
DMS 結構描述轉換 (SC) 僅適用於使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 的 S3 儲存貯體。 S3-Managed SC 目前不支援其他加密組態,包括使用 AWSKMS 的伺服器端加密 (SSE-KMS)、客戶提供的金鑰 (SSE-C) 或用戶端加密,並防止其存取 S3 儲存貯體。如果使用不同的加密方法,您必須使用 SSE-S3 建立單獨的 S3 儲存貯體,以便與 DMS 結構描述轉換搭配使用。 SSE-S3
在 中存放資料庫登入資料AWS Secrets Manager
將您的來源和目標資料庫登入資料存放在其中AWS Secrets Manager。請務必將這些秘密複寫到 AWS 區域。DMS 結構描述轉換會使用這些密碼來連線至遷移專案中的資料庫。
在 中存放資料庫登入資料AWS Secrets Manager
-
登入 AWS 管理主控台並在 https://https://console.aws.amazon.com/secretsmanager/
開啟 AWS Secrets Manager主控台。 -
選擇 Store a new secret (儲存新機密)。
-
選擇機密類型頁面隨即開啟。針對 Secret type (機密類型),選擇要儲存的資料庫憑證的類型:
-
Amazon RDS 資料庫的登入資料 – 選擇此選項可儲存 Amazon RDS 資料庫的登入資料。針對憑證,輸入您資料庫的憑證。如需資料庫,請選擇您的資料庫。
-
其他資料庫的登入資料 – 選擇此選項可儲存來源 Oracle 或 SQL Server 資料庫的登入資料。針對憑證,輸入您資料庫的憑證。
-
其他類型的機密 – 選擇此選項可僅儲存連線至資料庫所需的使用者名稱和密碼。選擇新增列以新增兩個鍵值對。確保您使用
username和password索引鍵名稱。對於這些索引鍵的相關值,請輸入資料庫的憑證。
-
-
針對加密金鑰,選擇 Secrets Manager 用來加密秘密值的AWS KMS金鑰。選擇下一步。
-
在設定機密頁面上,輸入描述性的機密名稱。例如輸入
sc-source-secret或sc-target-secret。 -
選擇複製機密,然後在 AWS 區域 選擇您的區域。選擇下一步。
-
在設定輪換頁面上,選擇下一步。
-
在 Review (檢閱) 頁面上,檢閱機密詳細資訊,然後選擇 Store (儲存)。
若要儲存來源和目標資料庫的憑證,請重複上述步驟。
建立 IAM 政策
為 DMS 結構描述轉換建立 IAM 政策以存取 Amazon S3
登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在導覽窗格中,選擇政策。
-
選擇 Create policy (建立政策)。
-
在選取服務頁面上,從清單中選擇 Amazon S3。
-
在允許的動作中,選擇
PutObject、GetObject、GetObjectVersion、GetBucketVersioning、GetBucketLocation、ListBucket。 -
在 資源中,指定您在上一節中建立之儲存貯體的 ARN。選擇下一步。
-
在檢閱和建立頁面上,輸入描述性名稱。例如:
sc-s3-policy。然後,選擇建立政策。
為 DMS 結構描述轉換建立 IAM 政策以存取AWS Secrets Manager
登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在導覽窗格中,選擇政策。
-
選擇 Create policy (建立政策)。
-
在選取服務頁面上,從清單中選擇 Secrets Manager。
-
選擇下一步。新增許可頁面隨即開啟。
-
在允許的動作中,選擇:
GetSecretValue和DescribeSecret。 -
在檢閱和建立頁面上,輸入描述性名稱。例如:
sc-secrets-manager-policy。然後,選擇建立政策。
建立 IAM 角色
要在遷移專案中使用的 CreateAWS Identity and Access Management(IAM) 角色。DMS 結構描述轉換會使用這些 IAM 角色存取您的 Amazon S3 儲存貯體,以及 AWS Secrets Manager 其中儲存的資料庫憑證。
若要建立可提供 Amazon S3 儲存貯體存取權的 IAM 角色
登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在導覽窗格中,選擇 Roles (角色)。
-
選擇 Create Role (建立角色)。
-
在選取信任的實體頁面中,選擇 AWS 服務。選擇 DMS。
-
選擇下一步。新增許可頁面隨即開啟。
-
對於篩選政策,請輸入
S3。選擇您在上一節中建立的 sc-s3-policy 政策。 -
選擇下一步。命名、檢閱和建立頁面隨即開啟。
-
對於角色名稱,輸入描述性名稱。例如,輸入
sc-s3-role。選擇建立角色。 -
在角色頁面,針對角色名稱輸入
sc-s3-role。選擇 sc-s3-role。 -
在 sc-s3-role 頁面上,選擇信任關係標籤。選擇編輯信任政策。
-
AWS DMS的區域服務主體格式如下:
dms---region-name.amazonaws.com.rproxy.govskope.caregion-name將 取代為您區域的名稱,例如us-east-1:下列程式碼範例顯示us-east-1區域的委託人:dms.us-east-1.amazonaws.com下列程式碼範例顯示存取AWS DMS結構描述轉換的信任政策:
建立提供 存取權的 IAM 角色AWS Secrets Manager
登入 AWS 管理主控台並開啟位於 https://https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在導覽窗格中,選擇 Roles (角色)。
-
選擇 Create Role (建立角色)。
-
在選取信任的實體頁面中,選擇 AWS 服務。選擇 DMS。
-
選擇下一步。新增許可頁面隨即開啟。
-
對於篩選政策,請輸入
s3。選擇您在上一節中建立的 sc-secrets-manager-policy。 -
選擇下一步。命名、檢閱和建立頁面隨即開啟。
-
對於角色名稱,輸入描述性名稱。例如,輸入
sc-secrets-manager-role。選擇建立角色。 -
在角色頁面,針對角色名稱輸入
sc-secrets-manager-role。選擇 sc-secrets-manager-role。 -
在 sc-secrets-manager-role 頁面上,選擇信任關係標籤。選擇編輯信任政策。
-
在編輯信任政策頁面上,編輯角色要使用的信任關係
schema-conversion.dms.amazonaws.com,以及做為信任實體AWS DMS的區域服務主體。此AWS DMS區域服務主體的格式如下:dms---region-name.amazonaws.com.rproxy.govskope.caregion-name將 取代為您區域的名稱,例如us-east-1:下列程式碼範例顯示us-east-1區域的委託人:dms.us-east-1.amazonaws.com下列程式碼範例顯示存取AWS DMS結構描述轉換的信任政策:
建立與 dms-vpc-role CLI 或 AWS DMSAPI 搭配使用的 IAM AWS角色
-
使用下列 IAM 政策建立 JSON 檔案。將 JSON 檔案命名為
dmsAssumeRolePolicyDocument.json。然後,使用以下命令使用 AWSCLI 建立角色:
aws iam create-role --role-name dms-vpc-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument.json -
dms-vpc-role使用下列命令將AmazonDMSVPCManagementRole政策連接至 :aws iam attach-role-policy --role-name dms-vpc-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
建立與 dms-cloudwatch-logs-role CLI 或 AWS DMSAPI 搭配使用的 IAM AWS角色
-
使用下列 IAM 政策建立 JSON 檔案。將 JSON 檔案命名為
dmsAssumeRolePolicyDocument2.json。然後,使用以下命令使用 AWSCLI 建立角色:
aws iam create-role --role-name dms-cloudwatch-logs-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument2.json -
dms-cloudwatch-logs-role使用下列命令將AmazonDMSCloudWatchLogsRole政策連接至 :aws iam attach-role-policy --role-name dms-cloudwatch-logs-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSCloudWatchLogsRole
