View a markdown version of this page

Einrichten eines Netzwerks für DMS Schema Conversion - AWS Database Migration Service
Konfiguration mit einer VPCKonfiguration mit mehreren VPCsGemeinsame VPC-KonfigurationVerwenden Sie Direct Connect oder ein VPNVerwenden einer InternetverbindungAuflösen von Domain-Endpunkten mithilfe von DNSBehebung von Netzwerkproblemen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten eines Netzwerks für DMS Schema Conversion

Die DMS-Schemakonvertierung ist eine serverlose Funktion. Um eine Verbindung zu Ihren Datenbanken herzustellen, platziert es ein elastic network interface (ENI) in einem Subnetz innerhalb Ihrer VPC. Wenn Sie Ihr Instanzprofil erstellen, geben Sie die zu verwendende VPC, Subnetzgruppe und Sicherheitsgruppen an. Sie können Ihre Standard-VPC für Ihr Konto verwenden oder eine neue VPC erstellen. AWS-Region

Um eine ordnungsgemäße Konnektivität zwischen DMS Schema Conversion und Ihren Datenanbietern sicherzustellen, konfigurieren Sie die folgenden Netzwerkkomponenten:

  • Sicherheitsgruppen — Konfigurieren Sie Ausgangsregeln für die Sicherheitsgruppe, die mit der DMS-Schemakonvertierung verknüpft ist, um ausgehenden Datenverkehr zu Ihren Quell- und Zieldatenbanknetzwerken zuzulassen. Konfigurieren Sie Eingangsregeln für Ihre Datenbanksicherheitsgruppen, um eingehenden Datenverkehr von der Sicherheitsgruppe DMS-Schemakonvertierung zuzulassen.

  • Netzwerk-ACLs — Wenn Ihre Subnetze Netzwerkzugriffskontrolllisten verwenden, stellen Sie sicher, dass sie Datenverkehr zwischen den DMS-Schemakonvertierungs-Subnetzen und Ihren Datenbanksubnetzen zulassen.

  • Routing-Tabellen — Stellen Sie sicher, dass die Routing-Tabellen, die den DMS-Schemakonvertierungs-Subnetzen zugeordnet sind, Routen zu Ihren Quell- und Zieldatenbanken enthalten. Dies kann je nach Konfiguration VPC-Peering-Routen, VPN-Gateway-Routen oder NAT-Gateway-Routen umfassen.

  • Subnetze — Die DMS-Schemakonvertierung platziert ihre ENI in den Subnetzen, die in Ihrer Subnetzgruppe definiert sind. Die Subnetzgruppe muss mindestens zwei Subnetze in separaten Availability Zones enthalten.

Wichtig

Da die DMS-Schemakonvertierung serverlos ist, kann sich die ENI-IP-Adresse jederzeit ändern. Verwenden Sie keine bestimmte IP-Adresse für die Zulassungsliste. Verweisen Sie stattdessen in den Eingangsregeln Ihrer Datenbanksicherheitsgruppe auf die Sicherheitsgruppe DMS Schema Conversion oder leiten Sie ausgehenden Datenverkehr über ein NAT-Gateway mit einer zugehörigen Elastic IP-Adresse für lokale Konnektivität weiter.

Mit DMS Schema Conversion können Sie mehrere verschiedene Netzwerkkonfigurationen verwenden. Im Folgenden finden Sie gängige Konfigurationen für ein Netzwerk, das für die Schemakonvertierung verwendet wird. Wenn möglich, empfehlen wir, dass Sie ein Instance-Profil in derselben Region wie Ihr Zielendpunkt erstellen und dieselbe VPC oder dasselbe Subnetz wie Ihr Zielendpunkt verwenden.

Verwendung einer einzigen VPC für Quell- und Zieldatenanbieter

Die einfachste Netzwerkkonfiguration für DMS Schema Conversion ist eine Konfiguration mit einer VPC. In diesem Setup gibt das Instanzprofil dieselbe VPC an, in der sich Ihre Quell- und Zieldatenbanken befinden. Die DMS-Schemakonvertierung verwendet eine ENI in dieser VPC, um eine Verbindung zu beiden Datenbanken herzustellen.

Die folgende Abbildung zeigt eine Konfiguration, bei der eine Quelldatenbank eine Verbindung zur DMS-Schemakonvertierung herstellt und das Schema in eine Zieldatenbank konvertiert wird, alles innerhalb derselben VPC.

Quelldatenbank, DMS-Schemakonvertierung und Zieldatenbank in einer einzigen VPC, die über dasselbe Subnetz kommuniziert.

Die Sicherheitsgruppen in Ihren Datenbanken müssen den Zugriff über den Datenbankport von der Sicherheitsgruppe DMS Schema Conversion aus zulassen. Verwenden Sie keine bestimmte ENI-IP-Adresse für die Zulassungsliste, da sich die ENI-IP-Adresse jederzeit ändern kann.

Die folgenden Beispiele zeigen Eingangsregeln für eine Datenbanksicherheitsgruppe. In diesen Beispielen sg-1234567890abcdef0 ist die Sicherheitsgruppe mit der DMS-Schemakonvertierung verknüpft. Verwenden Sie den Port, für den Ihre Datenbank konfiguriert ist, um ihn abzuhören.

Beispiel für Regeln für eingehenden Datenverkehr für eine Datenbanksicherheitsgruppe
Typ Protocol (Protokoll) Port-Bereich Quelle Description
Oracle-RDS TCP 1521 sg-1234567890abcdef0 Oracle-Datenbank
MySQL/Aurora TCP 3306 sg-1234567890abcdef0 MySQL- oder Aurora MySQL-Datenbank
PostgreSQL TCP 5432 sg-1234567890abcdef0 PostgreSQL- oder Aurora PostgreSQL-Datenbank
MSSQL TCP 1433 sg-1234567890abcdef0 Microsoft SQL Server-Datenbank
Custom TCP TCP Ihr Port sg-1234567890abcdef0 Jede andere Datenbank, die einen benutzerdefinierten Port verwendet

Verwendung mehrerer VPCs für Quell- und Zieldatenanbieter

Wenn sich Ihre Quell- und Zieldatenbanken in unterschiedlichen VPCs befinden, einschließlich VPCs in unterschiedlichen AWS Konten oder Regionen, können Sie das Instanzprofil so konfigurieren, dass eine der VPCs verwendet wird, und dann die beiden VPCs mithilfe von VPC-Peering verknüpfen. Sie können auch andere VPC-to-VPC Konnektivitätsoptionen wie AWS Transit Gateway verwenden. Weitere Informationen finden Sie unter Amazon VPC-to-Amazon VPC-Konnektivitätsoptionen.

Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs, die das Routing mithilfe der privaten IP-Adresse jeder VPC aktiviert, als ob sie sich im selben Netzwerk befinden würden. Sie können eine VPC-Peering-Verbindung zwischen Ihren eigenen VPCs, mit einer VPC in einem anderen AWS Konto oder mit einer VPC in einem anderen Konto herstellen. AWS-Region Weitere Informationen zu VPC Peering finden Sie unter VPC Peering im Amazon VPC Benutzerhandbuch.

Die folgende Abbildung zeigt eine Konfiguration mit VPC-Peering. Hier stellt die Quelldatenbank in einer VPC per VPC-Peering eine Verbindung zu einer anderen VPC her, die DMS-Schemakonvertierung und die Zieldatenbank enthält.

Quelldatenbank in VPC A, die über VPC-Peering mit DMS-Schemakonvertierung verbunden ist, und Zieldatenbank in VPC B.

Befolgen Sie zum Implementieren von VPC-Peering die Anweisungen unter Arbeiten mit VPC-Peering-Verbindungen im Benutzerhandbuch für Amazon VPC. Stellen Sie sicher, dass die Routing-Tabelle einer VPC den CIDR-Block der anderen enthält. Nehmen wir beispielsweise an, dass VPC A das Ziel 10.0.0 verwendet. 0/16 und VPC B verwendet das Ziel 172.31.0. 0/16. In diesem Fall sollte die Routentabelle von VPC A 172.31.0 enthalten. 0/16, und die Routentabelle von VPC B muss 10.0.0 enthalten. 0/16. Ausführlichere Informationen finden Sie unter Aktualisieren Sie ihre Routing-Tabellen für eine VPC-Peering-Verbindung im Handbuch für Amazon-VPC-Peering.

Die Sicherheitsgruppen in Ihren Datenbanken müssen den Zugriff auf den Datenbankport über die Sicherheitsgruppe DMS-Schemakonvertierung zulassen. Wenn sich Ihre VPCs in unterschiedlichen AWS Konten oder verschiedenen Regionen befinden, werden Sicherheitsgruppenverweise möglicherweise nicht unterstützt. Verwenden Sie in diesem Fall stattdessen die Subnetz-CIDR-Bereiche der Peer-VPC.

Die folgenden Beispiele zeigen Eingangsregeln für die Quelldatenbank in VPC A, die den Zugriff aus dem CIDR-Bereich des DMS-Schemakonvertierungs-Subnetzes in VPC B (172.31.1) ermöglichen. 0/24). Verwenden Sie den Port, für den Ihre Datenbank konfiguriert ist, um ihn abzuhören. Wenn sich beide VPCs in derselben Region und demselben Konto befinden, empfehlen wir, für eine strengere Zugriffskontrolle eine Sicherheitsgruppenreferenz anstelle eines CIDR-Bereichs zu verwenden.

Beispiel für eingehende Regeln für Datenbanksicherheitsgruppen (VPC-Peering)
Typ Protocol (Protokoll) Port-Bereich Quelle Description
Oracle-RDS TCP 1521 172.31.1. 0/24 Oracle-Datenbank
MySQL/Aurora TCP 3306 172,31,1. 0/24 MySQL- oder Aurora MySQL-Datenbank
PostgreSQL TCP 5432 172.31.1. 0/24 PostgreSQL- oder Aurora PostgreSQL-Datenbank
MSSQL TCP 1433 172,31,1. 0/24 Microsoft SQL Server-Datenbank
Custom TCP TCP Ihr Port 172.31.1. 0/24 Jede andere Datenbank, die einen benutzerdefinierten Port verwendet

Verwendung gemeinsam genutzter VPCs für Quell- und Zieldatenanbieter

AWS Database Migration Service behandelt Subnetze, die für ein teilnehmendes Kundenkonto in einer Organisation gemeinsam genutzt werden, genauso wie reguläre Subnetze in demselben Konto.

Sie können Ihr Netzwerk für den Betrieb in benutzerdefinierten Subnetzen oder VPCs konfigurieren, indem Sie Replikationssubnetzgruppen erstellen. Wenn Sie eine Replizierungssubnetzgruppe erstellen, geben Sie Subnetze von einer bestimmten VPC an. Die Liste der Subnetze muss mindestens zwei Subnetze in separaten Availability Zones enthalten, und alle Subnetze müssen sich in derselben VPC befinden.

Wenn Sie eine gemeinsam genutzte VPC verwenden, erstellen Sie Replizierungssubnetzgruppen, die den Subnetzen zugeordnet sind, die Sie von der gemeinsam genutzten VPC aus verwenden möchten. Wenn Sie ein Instanzprofil erstellen, geben Sie die Replizierungssubnetzgruppe für die gemeinsam genutzte VPC und eine VPC-Sicherheitsgruppe an, die Sie für die gemeinsam genutzte VPC erstellt haben.

Beachten Sie Folgendes im Zusammenhang mit der Verwendung einer gemeinsam genutzten VPC:

  • Der VPC-Eigentümer kann keine Ressource für einen Teilnehmer freigeben, aber der Teilnehmer kann eine Serviceressource im Subnetz des Eigentümers erstellen.

  • Der VPC-Besitzer kann nicht auf eine Ressource zugreifen, die der Teilnehmer erstellt, da alle Ressourcen kontospezifisch sind. Solange Sie das Instanzprofil jedoch für die Verwendung der gemeinsam genutzten VPC konfigurieren, kann die DMS-Schemakonvertierung unabhängig vom Eigentümerkonto auf die Ressourcen in der VPC zugreifen, sofern die richtigen Berechtigungen vorhanden sind.

  • Da Ressourcen kontospezifisch sind, können andere Teilnehmer nicht auf Ressourcen zugreifen, die anderen Konten gehören. Es gibt keine Berechtigungen, die Sie anderen Konten erteilen können, damit sie auf Ressourcen zugreifen können, die in der gemeinsam genutzten VPC mit Ihrem Konto erstellt wurden.

Verwenden Direct Connect oder ein VPN, um ein Netzwerk für eine VPC zu konfigurieren

Remote-Netzwerke können mithilfe verschiedener Optionen eine Verbindung zu einer VPC herstellen, z. B. Direct Connect über eine Software- oder Hardware-VPN-Verbindung. Sie können diese Optionen verwenden, um vorhandene lokale Services zu integrieren, indem ein internes Netzwerk in AWS Cloud erweitert wird. Sie können lokale Services wie beispielsweise Überwachung, Authentifizierung, Sicherheit, Daten oder andere Systeme integrieren. Mithilfe dieser Art von Netzwerkerweiterung können Sie Dienste vor Ort nahtlos mit Ressourcen verbinden, die von gehostet werden AWS, z. B. einer VPC. Sie können diese Konfiguration verwenden, um Ihre On-Premises-Quelldatenbank zu konvertieren.

Die folgende Abbildung zeigt eine Konfiguration, bei der der Quellendpunkt eine lokale Datenbank in einem firmeneigenen Rechenzentrum ist. Es ist über Direct Connect oder über ein VPN mit einer VPC verbunden, die DMS-Schemakonvertierung und die Zieldatenbank enthält.

On-premises Quelldatenbank, die über Direct Connect oder VPN mit einer VPC verbunden ist, die DMS-Schemakonvertierung und die Zieldatenbank enthält.

Richten Sie in dieser Konfiguration die folgenden Netzwerkkomponenten ein:

  • Die Routentabelle, die den DMS-Schemakonvertierungs-Subnetzen zugeordnet ist, muss eine Route enthalten, die den für den lokalen CIDR-Bereich bestimmten Datenverkehr an das Virtual Private Gateway (VGW) oder das Transit Gateway sendet.

  • Die Sicherheitsgruppe auf dem NAT- oder Bridge-Host muss eingehenden Datenverkehr von der Sicherheitsgruppe DMS-Schemakonvertierung an den erforderlichen Datenbankports zulassen.

  • Die Sicherheitsgruppe für die DMS-Schemakonvertierung muss ausgehenden Datenverkehr zum lokalen Datenbankport zulassen.

Verwenden Sie keine bestimmte ENI-IP-Adresse für die Zulassungsliste, da sich die ENI-IP-Adresse jederzeit ändern kann. Weitere Informationen finden Sie unter Erstellen einer Site-to-Site VPN-Verbindung im AWS Site-to-Site VPN Benutzerhandbuch.

Verwenden einer Internetverbindung zu einer VPC

Wenn Sie kein VPN verwenden oder keine Verbindung Direct Connect zu AWS Ressourcen herstellen, können Sie das Internet verwenden, um eine Verbindung zu Ihrer Quelldatenbank herzustellen. Diese Konfiguration verwendet eine VPC mit privaten Subnetzen und einem NAT-Gateway, das ausgehenden Internetzugang ermöglicht. Sie können diese Konfiguration verwenden, um Ihre lokale Quelldatenbank zu konvertieren, die öffentlich zugänglich ist.

Die folgende Abbildung zeigt eine Konfiguration, bei der die DMS-Schemakonvertierung in einer VPC mithilfe eines NAT-Gateways über das Internet eine Verbindung zu einer lokalen Quelldatenbank herstellt.

On-premises Eine über das Internet verbundene Quelldatenbank und ein NAT-Gateway zur DMS-Schemakonvertierung in einem privaten Subnetz.

Um Konnektivität von Ihrer VPC zu einer öffentlich zugänglichen Quelldatenbank zu ermöglichen, konfigurieren Sie die VPC mit privaten Subnetzen, die über ein NAT-Gateway eine Verbindung zum Internet herstellen. Das NAT-Gateway bietet eine konsistente öffentliche IP-Adresse, die Sie zur Firewall-Zulassungsliste Ihrer Quelldatenbank hinzufügen können, sodass Ressourcen im privaten Subnetz über das Internet eine Verbindung zur Quelldatenbank herstellen können.

Die VPC-Routingtabelle muss Routingregeln enthalten, die standardmäßig Datenverkehr, der nicht für die VPC bestimmt ist, an das NAT-Gateway senden. In dieser Konfiguration scheint die Verbindung zum Datenanbieter von der öffentlichen IP-Adresse Ihres NAT-Gateways zu stammen. Weitere Informationen finden Sie unter VPC Route Tables im Benutzerhandbuch für Amazon VPC.

Informationen zum Anfügen eines Internet-Gateways zu Ihrer VPC finden Sie unter Anfügen eines Internet-Gateways im Amazon VPC Benutzerhandbuch.

Auflösen von Domain-Endpunkten mithilfe von DNS

Wenn Sie Domain-Endpunkte für Ihre Datenbanken auflösen müssen, können Sie den Amazon Route 53 Resolver verwenden. Weitere Informationen zur Verwendung von Route 53 DNS Resolver finden Sie unter Erste Schritte mit Route 53 Resolver.

Für Informationen dazu, wie Sie Ihren eigenen On-Premises-Namensserver verwenden, um bestimmte Endpunkte aufzulösen, wenn Sie den Amazon Route 53 Resolver verwenden, siehe Verwenden Ihres eigenen Vor-Ort-Nameservers.

Behebung von Netzwerkproblemen bei der DMS-Schemakonvertierung

In den folgenden Abschnitten werden häufig auftretende Netzwerkfehler beschrieben, die bei der Verwendung der DMS-Schemakonvertierung auftreten können, und deren Behebung.

Fehler bei der Datenbankkonnektivität

Möglicherweise wird die folgende Fehlermeldung angezeigt, wenn die DMS-Schemakonvertierung Ihre Quell- oder Zieldatenbank nicht erreichen kann:

  • Could not connect to your {origin} database at '{serverName}:{port}'. Verify your network configuration, security groups, and that the database server is reachable.

    Wo {origin} steht entweder source odertarget, {serverName} ist Ihr Datenbankserver-Hostname und {port} die Datenbankportnummer.

Sie können auch in den CloudWatch Amazon-Protokollen zur DMS-Schemakonvertierung in Ihrem Konto nachsehen, um den genauen Grund für den Verbindungsfehler zu ermitteln.

Um diese Fehler zu beheben, überprüfen Sie Folgendes:

  1. Servername und Port überprüfen — Stellen Sie sicher, dass der Servername und der Port, die in Ihrem Datenanbieter konfiguriert sind, korrekt sind. Sie können die Einstellungen des Datenanbieters über die AWS DMS Konsole oder die AWS CLI überprüfen. Weitere Informationen zum Ermitteln Ihres Datenbank-Endpunkts und -Ports finden Sie unter Suchen der Verbindungsinformationen für eine Amazon RDS-DB-Instance im Amazon Relational Database Service Service-Benutzerhandbuch.

  2. Sicherheitsgruppenregeln überprüfen — Stellen Sie sicher, dass die mit der DMS-Schemakonvertierung verknüpfte Sicherheitsgruppe ausgehenden (ausgehenden) TCP-Verkehr auf dem Datenbankport zulässt. Stellen Sie außerdem sicher, dass die Sicherheitsgruppe in der Datenbank eingehenden (eingehenden) TCP-Verkehr von der Sicherheitsgruppe DMS-Schemakonvertierung zulässt. Weitere Informationen zum Arbeiten mit Sicherheitsgruppenregeln finden Sie unter Arbeiten mit Sicherheitsgruppenregeln im Amazon VPC-Benutzerhandbuch.

  3. Netzwerk-ACLs überprüfen — Stellen Sie sicher, dass die Netzwerk-ACLs in den DMS-Schema-Konvertierungs-Subnetzen und in den Datenbank-Subnetzen Datenverkehr in beide Richtungen auf dem Datenbankport zulassen.

  4. Routentabellen überprüfen — Stellen Sie sicher, dass die Routentabellen, die den DMS-Schemakonvertierungs-Subnetzen zugeordnet sind, über die richtigen Routen verfügen, um die Datenbank zu erreichen. Wenn Sie VPC-Peering, VPN oder verwenden, stellen Sie sicher Direct Connect, dass die entsprechenden Routen vorhanden sind.

  5. CloudWatch Amazon-Protokolle zur DMS-Schemakonvertierung überprüfen — Detaillierte Fehlerinformationen finden Sie in den Protokollen der DMS-Schemakonvertierung. Sie finden den Link zu den Protokollen auf der Registerkarte Schemakonvertierung Ihres Migrationsprojekts oder verwenden Sie die AWS CLI, um Protokolleinträge abzurufen, die Ausnahmen enthalten.

    Suchen Sie zunächst nach Ihrer Protokollgruppe für die DMS-Schemakonvertierung. Der Name der Protokollgruppe beginnt mit dem letzten Teil des ARN Ihres Migrationsprojekts dms-tasks-sct und umfasst diesen:

    aws logs describe-log-groups \
  --log-group-name-prefix dms-tasks-sct

    Suchen Sie dann mit dem filter-log-events folgenden Befehl nach Ausnahmen in der Protokollgruppe:

    aws logs filter-log-events \
  --log-group-name dms-tasks-sct-your-migration-project \
  --filter-pattern "Exception" \
  --start-time start_timestamp_ms \
  --end-time end_timestamp_ms

    Sie können es durch andere Muster Exception ersetzen, z. B. durch ERROR oder"Could not connect", um die Ergebnisse einzugrenzen. Die --end-time Werte --start-time und sind Unix-Zeitstempel in Millisekunden.