透過私有網路連線至 Application Migration Service 資料和控制平面

Dipin Jain 和 Mike Kuznetsov，Amazon Web Services

Summary

此模式說明如何使用介面 VPC 端點，連接到私有、安全網路上 AWS Application Migration Service 的資料平面和控制平面。

Application Migration Service 是高度自動化lift-and-shift（重新託管）解決方案，可簡化、加速和降低將應用程式遷移至的成本 AWS。它可讓公司重新託管大量實體、虛擬或雲端伺服器，而不會發生相容性問題、效能中斷或長切換時段。Application Migration Service 可從取得 AWS 管理主控台。這可與其他無縫整合 AWS 服務，例如 AWS CloudTrail Amazon CloudWatch 和 AWS Identity and Access Management (IAM)。

您可以透過使用 Site-to-Site VPN 服務或 Application Migration Service 中的 VPC 對等互連 AWS Direct Connect，從來源資料中心連線到資料平面，也就是做為目的地 VPC 中資料複寫之暫存區域的子網路。您也可以使用支援的介面 VPC 端點 AWS PrivateLink ，透過私有網路連線至 Application Migration Service 控制平面。

先決條件和限制

先決條件

預備區域子網路 – 在您設定 Application Migration Service 之前，請建立子網路，做為從來源伺服器複寫至 AWS （即資料平面）之資料的預備區域。首次存取 Application Migration Service 主控台時，您必須在複寫設定範本中指定此子網路。您可以在複寫設定範本中覆寫特定來源伺服器的此子網路。雖然您可以在中使用現有的子網路 AWS 帳戶，但我們建議您為此建立新的專用子網路。
網路需求 – Application Migration Service 在預備區域子網路中啟動的複寫伺服器必須能夠將資料傳送至位於的 Application Migration Service API 端點https://mgn.<region>.amazonaws.com/，其中 <region>是 AWS 區域您要複寫之的程式碼（例如 https://mgn.us-east-1.amazonaws.com)。下載 Application Migration Service 軟體時，需要 Amazon Simple Storage Service (Amazon S3) 服務 URLs。
- AWS 複寫代理程式安裝程式應可存取 AWS 區域與 Application Migration Service 搭配使用之的 Amazon Simple Storage Service (Amazon S3) 儲存貯體 URL。
- 預備區域子網路應可存取 Amazon S3。
- 安裝 AWS 複寫代理程式的來源伺服器必須能夠將資料傳送至預備區域子網路中的複寫伺服器，以及傳送至位於的 Application Migration Service API 端點https://mgn.<region>.amazonaws.com/。

下表列出必要的連接埠。

來源	目的地	連線埠	如需詳細資訊，請參閱
來源資料中心	Amazon S3 URLs	443 (TCP)	透過 TCP 連接埠 443 的通訊
來源資料中心	AWS 區域 Application Migration Service 的特定主控台地址	443 (TCP)	透過 TCP 連接埠 443 的來源伺服器與 Application Migration Service 之間的通訊
來源資料中心	暫存區域子網路	1500 (TCP)	透過 TCP 連接埠 1500 的來源伺服器與暫存區域子網路之間的通訊
暫存區域子網路	AWS 區域 Application Migration Service 的特定主控台地址	443 (TCP)	透過 TCP 連接埠 443 的預備區域子網路與 Application Migration Service 之間的通訊
暫存區域子網路	Amazon S3 URLs	443 (TCP)	透過 TCP 連接埠 443 的通訊
暫存區域子網路	子網路的 Amazon Elastic Compute Cloud (Amazon EC2) 端點 AWS 區域	443 (TCP)	透過 TCP 連接埠 443 的通訊

限制

Application Migration Service 目前無法在所有 AWS 區域和作業系統中使用。

架構

下圖說明典型遷移的網路架構。如需此架構的詳細資訊，請參閱 Application Migration Service 文件和 Application Migration Service 架構和網路架構影片。

下列詳細檢視顯示預備區域 VPC 中連接 Amazon S3 和 Application Migration Service 的介面 VPC 端點組態。

Application Migration Service 的典型遷移網路架構 - 詳細檢視

工具

AWS Application Migration Service 簡化、加速並降低重新託管應用程式的成本 AWS。
介面 VPC 端點可讓您連線至採用的服務， AWS PrivateLink 而不需要網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址，即可與服務中的資源通訊。VPC 與另一個服務之間的流量都會保持在 Amazon 網路的範圍內。

史詩

任務	描述	所需的技能
設定 Application Migration Service 的介面端點。	來源資料中心和預備區域 VPC 會透過您在目標預備區域 VPC 中建立的介面端點，私下連線至 Application Migration Service 控制平面。若要建立端點：開啟 Amazon Virtual Private Cloud (Amazon VPC) 主控台。在導覽窗格中，選擇 Endpoints (端點)，Create Endpoint (建立端點)。對於 Service category (服務類別)，選擇 AWS 服務。針對服務名稱，輸入 `com.amazonaws.<region>.mgn`。針對類型，選擇界面。針對 VPC，選取目標暫存區域 VPC 以建立端點。針對子網路，選取要在其中建立端點網路介面的子網路。若要開啟介面端點的私有 DNS，請在其他設定區段中，選取啟用 DNS 名稱。選取允許透過 TCP 443 從預備區域 VPC 子網路傳入的安全群組。選擇建立端點。如需詳細資訊，請參閱《Amazon VPC 文件》中的 AWS 服務使用介面 VPC 端點存取。	遷移潛在客戶
設定 Amazon EC2 的介面端點。	預備區域 VPC 會透過您在目標預備區域 VPC 中建立的介面端點，私下連線至 Amazon EC2 API。若要建立端點，請遵循上一個案例提供的指示。針對服務名稱，輸入 `com.amazonaws.<region>.ec2`。針對類型，選擇界面。安全群組必須允許透過連接埠 443 從預備區域 VPC 子網路傳入的 HTTPS 流量。在其他設定區段中，選取啟用 DNS 名稱。	遷移潛在客戶
設定 Amazon S3 的介面端點。	來源資料中心和暫存區域 VPC 會透過您在目標暫存區域 VPC 中建立的介面端點，私下連線至 Amazon S3 API。若要建立端點，請遵循第一個案例提供的指示。針對服務名稱，輸入 `com.amazonaws.<region>.s3`。針對類型，選擇界面。 VPC 安全群組必須透過連接埠 443 允許來自暫存區域 VPC 子網路的傳入 HTTPS 流量。在其他設定區段中，清除啟用 DNS 名稱。Amazon S3 介面端點不支援私有 DNS 名稱。注意您使用界面端點，因為閘道端點連線無法從 VPC 延伸。（如需詳細資訊，請參閱 AWS PrivateLink 文件。)	遷移潛在客戶
設定 Amazon S3 Gateway 端點。	在組態階段，複寫伺服器必須連線至 S3 AWS 儲存貯體，才能下載複寫伺服器的軟體更新。不過，Amazon S3 介面端點不支援私有 DNS 名稱，而且無法將 Amazon S3 端點 DNS 名稱提供給複寫伺服器。若要緩解此問題，您可以在預備區域子網路所屬的 VPC 中建立 Amazon S3 閘道端點，並使用相關路由更新預備子網路的路由表。如需詳細資訊，請參閱 AWS PrivateLink 文件中的建立閘道端點。	雲端管理員
設定內部部署 DNS 以解析端點的私有 DNS 名稱。	Application Migration Service 和 Amazon EC2 的介面端點具有可在 VPC 中解析的私有 DNS 名稱。不過，您也需要設定內部部署伺服器來解析這些介面端點的私有 DNS 名稱。設定這些伺服器的方法有多種。在此模式中，我們透過將內部部署 DNS 查詢轉送到臨時區域 VPC 中的 Amazon Route 53 Resolver 傳入端點來測試此功能。如需詳細資訊，請參閱 Route 53 文件中的解析 VPCs 與網路之間的 DNS 查詢。	遷移工程師

任務描述所需的技能

任務	描述	所需的技能
使用 AWS 安裝複寫代理程式 AWS PrivateLink。	將 AWS 複寫代理程式下載到目的地區域中的私有 S3 儲存貯體。登入要遷移的來源伺服器。 AWS 複寫代理程式安裝程式需要 Application Migration Service 和 Amazon S3 端點的網路存取權。由於您的內部部署網路未開放給 Application Migration Service 和 Amazon S3 公有端點，因此您必須使用在先前步驟中建立的界面端點的協助下安裝代理程式 AWS PrivateLink。以下是 Linux 的範例：使用命令下載代理程式： `wget -O ./aws-replication-installer-init.py \ https://aws-application-migration-service-<aws_region>.bucket.<s3-endpoint-DNS-name>/latest/linux/aws-replication-installer-init.py` 例如，如果 Amazon S3 介面端點的 DNS 名稱是 `vpce-009c8b07adb052a11-qgf8q50y.s3.us-west-1.vpce.amazonaws.com`，而 AWS 區域是 `us-west-1`，您將使用命令： `wget -O ./aws-replication-installer-init.py \ https://aws-application-migration-service-us-west-1.bucket.vpce-009c8b07adb052a11-qgf8q50y.s3.us-west-1.vpce.amazonaws.com/latest/linux/aws-replication-installer-init.py` 注意 `bucket` 是靜態關鍵字，您必須在 Amazon S3 介面端點 DNS 名稱之前新增。如需詳細資訊，請參閱 Amazon S3 說明文件。安裝代理程式：如果您在建立 Application Migration Service 的介面端點時選取啟用 DNS 名稱，請執行命令： `sudo python3 aws-replication-installer-init.py \ --region <aws_region> \ --aws-access-key-id <access-key> \ --aws-secret-access-key <secret-key> \ --no-prompt \ --s3-endpoint <s3-endpoint-DNS-name>` 如果您在建立 Application Migration Service 的介面端點時未選取啟用 DNS 名稱，請執行命令： `sudo python3 aws-replication-installer-init.py \ --region <aws_region> \ --aws-access-key-id <access-key> \ --aws-secret-access-key <secret-key> \ --no-prompt \ --s3-endpoint <s3-endpoint-DNS-name> \ --endpoint <mgn-endpoint-DNS-name>` 如需詳細資訊，請參閱 Application Migration Service 文件中的AWS 複寫代理程式安裝說明。在您與 Application Migration Service AWS 建立連線並安裝複寫代理程式之後，請依照 Application Migration Service 文件的指示，將來源伺服器遷移至目標 VPC 和子網路。	遷移工程師

使用 AWS 安裝複寫代理程式 AWS PrivateLink。

將 AWS 複寫代理程式下載到目的地區域中的私有 S3 儲存貯體。
登入要遷移的來源伺服器。 AWS 複寫代理程式安裝程式需要 Application Migration Service 和 Amazon S3 端點的網路存取權。由於您的內部部署網路未開放給 Application Migration Service 和 Amazon S3 公有端點，因此您必須使用在先前步驟中建立的界面端點的協助下安裝代理程式 AWS PrivateLink。

以下是 Linux 的範例：

使用命令下載代理程式：


wget -O ./aws-replication-installer-init.py \ 
https://aws-application-migration-service-<aws_region>.bucket.<s3-endpoint-DNS-name>/latest/linux/aws-replication-installer-init.py

例如，如果 Amazon S3 介面端點的 DNS 名稱是 vpce-009c8b07adb052a11-qgf8q50y.s3.us-west-1.vpce.amazonaws.com，而 AWS 區域是 us-west-1，您將使用命令：


wget -O ./aws-replication-installer-init.py \
https://aws-application-migration-service-us-west-1.bucket.vpce-009c8b07adb052a11-qgf8q50y.s3.us-west-1.vpce.amazonaws.com/latest/linux/aws-replication-installer-init.py

注意

bucket 是靜態關鍵字，您必須在 Amazon S3 介面端點 DNS 名稱之前新增。如需詳細資訊，請參閱 Amazon S3 說明文件。

安裝代理程式：

如果您在建立 Application Migration Service 的介面端點時選取啟用 DNS 名稱，請執行命令：


     sudo python3 aws-replication-installer-init.py \
     --region <aws_region> \
     --aws-access-key-id <access-key> \
     --aws-secret-access-key <secret-key> \
     --no-prompt \
     --s3-endpoint <s3-endpoint-DNS-name>

如果您在建立 Application Migration Service 的介面端點時未選取啟用 DNS 名稱，請執行命令：


     sudo python3 aws-replication-installer-init.py \
     --region <aws_region> \
     --aws-access-key-id <access-key> \
     --aws-secret-access-key <secret-key> \
     --no-prompt \
     --s3-endpoint <s3-endpoint-DNS-name> \
     --endpoint <mgn-endpoint-DNS-name>

如需詳細資訊，請參閱 Application Migration Service 文件中的AWS 複寫代理程式安裝說明。

在您與 Application Migration Service AWS 建立連線並安裝複寫代理程式之後，請依照 Application Migration Service 文件的指示，將來源伺服器遷移至目標 VPC 和子網路。

遷移工程師

其他資訊

針對 Linux 伺服器上的複寫代理程式安裝進行故障診斷 AWS

如果您在 Amazon Linux 伺服器上收到 gcc 錯誤，請設定套件儲存庫，並使用下列命令：


## sudo yum groupinstall "Development Tools"

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用 Application Load Balancer 設定 Oracle JD Edwards EnterpriseOne 的 HTTPS 加密

使用 AWS CloudFormation 自訂資源建立 Infoblox 物件

透過私有網路連線至 Application Migration Service 資料和控制平面

Summary

先決條件和限制

架構

工具

史詩

注意

注意

相關資源

其他資訊