Configurazione di un singolo VPC Configurazione di più VPC Configurazione VPC condivisa Utilizzo Direct Connect di una VPN Utilizzo di una connessione Internet Risoluzione degli endpoint di dominio con DNS Risoluzione dei problemi di rete

Configurazione di una rete per la conversione dello schema DMS

La conversione dello schema DMS è una funzionalità serverless. Per connettersi ai database, inserisce un'elastic network interface (ENI) in una sottorete all'interno del VPC. Quando crei il profilo dell'istanza, specifichi il VPC, il gruppo di sottorete e i gruppi di sicurezza da utilizzare. Puoi usare il tuo VPC predefinito per il tuo account oppure puoi creare un nuovo VPC. Regione AWS

Per garantire una connettività adeguata tra DMS Schema Conversion e i provider di dati, configura i seguenti componenti di rete:

Gruppi di sicurezza: configura le regole di uscita sul gruppo di sicurezza associato a DMS Schema Conversion per consentire il traffico in uscita verso le reti di database di origine e di destinazione. Configura le regole di ingresso sui gruppi di sicurezza del database per consentire il traffico in entrata dal gruppo di sicurezza DMS Schema Conversion.
ACL di rete: se le sottoreti utilizzano elenchi di controllo dell'accesso alla rete, assicuratevi che consentano il traffico tra le sottoreti DMS Schema Conversion e le sottoreti del database.
Tabelle di routing: assicurati che le tabelle di routing associate alle sottoreti DMS Schema Conversion abbiano percorsi per raggiungere i database di origine e di destinazione. Ciò può includere percorsi di peering VPC, percorsi gateway VPN o percorsi gateway NAT a seconda della configurazione.
Sottoreti: DMS Schema Conversion colloca il relativo ENI nelle sottoreti definite nel gruppo di sottoreti. Il gruppo di sottoreti deve contenere almeno due sottoreti in zone di disponibilità separate.

Importante

Poiché DMS Schema Conversion è senza server, l'indirizzo IP ENI può cambiare in qualsiasi momento. Non utilizzare un indirizzo IP specifico per l'elenco degli indirizzi consentiti. Invece, fate riferimento al gruppo di sicurezza DMS Schema Conversion nelle regole di ingresso del gruppo di sicurezza del database oppure indirizzate il traffico in uscita attraverso un gateway NAT con un indirizzo IP elastico associato per la connettività locale.

È possibile utilizzare diverse configurazioni di rete con DMS Schema Conversion. Le seguenti sono configurazioni comuni per una rete utilizzata per la conversione dello schema. Se possibile, ti consigliamo di creare un profilo di istanza nella stessa regione dell'endpoint di destinazione e utilizzare lo stesso VPC o sottorete dell'endpoint di destinazione.

Argomenti

Utilizzo di un singolo VPC per i fornitori di dati di origine e di destinazione
Utilizzo di più VPC per i fornitori di dati di origine e di destinazione
Utilizzo di VPC condivisi per fornitori di dati di origine e destinazione
Utilizzo Direct Connect o una VPN per configurare una rete su un VPC
Utilizzo di una connessione Internet a un VPC
Risoluzione degli endpoint di dominio con DNS
Risoluzione dei problemi di rete per la conversione dello schema DMS

Utilizzo di un singolo VPC per i fornitori di dati di origine e di destinazione

La configurazione di rete più semplice per la conversione dello schema DMS è la configurazione di un singolo VPC. In questa configurazione, il profilo dell'istanza specifica lo stesso VPC in cui risiedono i database di origine e di destinazione. DMS Schema Conversion utilizza un ENI in quel VPC per connettersi a entrambi i database.

L'illustrazione seguente mostra una configurazione in cui un database di origine si connette a DMS Schema Conversion e lo schema viene convertito in un database di destinazione, il tutto all'interno dello stesso VPC.

Database di origine, conversione dello schema DMS e database di destinazione in un singolo VPC che comunica attraverso la stessa sottorete.

I gruppi di sicurezza sui database devono consentire l'accesso alla porta del database dal gruppo di sicurezza DMS Schema Conversion. Non utilizzate un indirizzo IP ENI specifico per l'elenco delle autorizzazioni, poiché l'indirizzo IP ENI può cambiare in qualsiasi momento.

Gli esempi seguenti mostrano le regole di ingresso per un gruppo di sicurezza del database. In questi esempi, sg-1234567890abcdef0 è il gruppo di sicurezza associato a DMS Schema Conversion. Utilizzate la porta su cui il database è configurato per l'ascolto.

Esempi di regole in entrata per il gruppo di sicurezza del database
Tipo	Protocollo	Intervallo porte	Origine	Description
Oracle-RDS	TCP	1521	sg-1234567890abcdef0	Oracle database
MySQL/Aurora	TCP	3306	sg-1234567890abcdef0	Database MySQL o Aurora MySQL
PostgreSQL	TCP	5432	sg-1234567890abcdef0	Database PostgreSQL o Aurora PostgreSQL
MSSQL	TCP	1433	sg-1234567890abcdef0	Database Microsoft SQL Server
TCP personalizzato	TCP	La tua porta	sg-1234567890abcdef0	Qualsiasi altro database che utilizza una porta personalizzata

Utilizzo di più VPC per i fornitori di dati di origine e di destinazione

Se i database di origine e di destinazione si trovano in VPC diversi, inclusi VPC in AWS account o regioni diversi, puoi configurare il profilo dell'istanza per utilizzare uno dei VPC e quindi collegare i due VPC utilizzando il peering VPC. Puoi anche utilizzare altre opzioni di VPC-to-VPC connettività come AWS Transit Gateway. Per ulteriori informazioni, consulta le opzioni di connettività Amazon VPC-to-Amazon VPC.

Una connessione peering VPC è una connessione di rete tra due VPC che attiva il routing utilizzando l'indirizzo IP privato di ciascun VPC come se si trovassero nella stessa rete. Puoi creare una connessione peering VPC tra i tuoi VPC, con un VPC in un altro account o con un VPC in un altro AWS . Regione AWS Per ulteriori informazioni sul peering di VPC, consulta Peering di VPC nella Guida per l'utente di Amazon VPC.

La figura seguente mostra una configurazione che utilizza il peering VPC. Qui, il database di origine in un VPC si connette tramite peering VPC a un altro VPC che contiene DMS Schema Conversion e il database di destinazione.

Database di origine in VPC A collegato tramite peering VPC a DMS Schema Conversion e database di destinazione in VPC B.

Per implementare il peering VPC, segui le istruzioni in Utilizzo di connessioni peering VPC nella Guida per l'utente di Amazon VPC. Assicurati che la tabella di routing di un VPC contenga il blocco CIDR dell'altro. Ad esempio, supponiamo che il VPC A utilizzi la destinazione 10.0.0. 0/16 e VPC B utilizza la destinazione 172.31.0. 0/16. In questo caso, la tabella delle rotte del VPC A deve contenere 172.31.0. 0/16e la tabella delle rotte di VPC B deve contenere 10.0.0. 0/16. Per informazioni più dettagliate, consulta Aggiornamento delle tabelle di routing per una connessione peering VPC nella guida Peering di VPC di Amazon VPC.

I gruppi di sicurezza dei database devono consentire l'accesso alla porta del database dal gruppo di sicurezza DMS Schema Conversion. Se i tuoi VPC appartengono a diversi AWS account o regioni diverse, i riferimenti ai gruppi di sicurezza potrebbero non essere supportati. In questo caso, utilizzate invece gli intervalli CIDR della sottorete del VPC peerizzato.

Gli esempi seguenti mostrano le regole di ingresso per il database di origine in VPC A che consente l'accesso dalla sottorete DMS Schema Conversion (intervallo CIDR) in VPC B (172.31.1). 0/24). Usa la porta su cui il database è configurato per l'ascolto. Se entrambi i VPC si trovano nella stessa regione e nello stesso account, consigliamo di utilizzare un riferimento al gruppo di sicurezza anziché un intervallo CIDR per un controllo degli accessi più rigoroso.

Esempi di regole in entrata per il gruppo di sicurezza del database (peering VPC)
Tipo	Protocollo	Intervallo porte	Origine	Description
Oracle-RDS	TCP	1521	172.31.1. 0/24	Oracle database
MySQL/Aurora	TCP	3306	172,31,1. 0/24	Database MySQL o Aurora MySQL
PostgreSQL	TCP	5432	172.31.1. 0/24	Database PostgreSQL o Aurora PostgreSQL
MSSQL	TCP	1433	172.31.1. 0/24	Database Microsoft SQL Server
TCP personalizzato	TCP	La tua porta	172.31.1. 0/24	Qualsiasi altro database che utilizza una porta personalizzata

Utilizzo di VPC condivisi per fornitori di dati di origine e destinazione

AWS Database Migration Service tratta le sottoreti condivise con un account cliente partecipante di un'organizzazione proprio come le normali sottoreti dello stesso account.

È possibile configurare la rete per operare in sottoreti o VPC personalizzati creando sottoreti di replica. Quando si crea un gruppo di sottoreti di replica, si specificano le sottoreti di un particolare VPC. L'elenco delle sottoreti deve includere almeno due sottoreti in zone di disponibilità separate e tutte le sottoreti devono trovarsi nello stesso VPC.

Se utilizzi un VPC condiviso, crea sottoreti di replica mappati alle sottoreti che desideri utilizzare dal VPC condiviso. Quando crei un profilo di istanza, specifica il gruppo di sottorete di replica per il VPC condiviso e un gruppo di sicurezza VPC creato per il VPC condiviso.

Nota quanto segue in relazione all'utilizzo di un VPC condiviso:

Il proprietario del VPC non può condividere una risorsa con un partecipante, ma il partecipante può creare una risorsa di servizio nella sottorete del proprietario.
Il proprietario del VPC non può accedere a una risorsa creata dal partecipante, poiché tutte le risorse sono specifiche dell'account. Tuttavia, purché si configuri il profilo dell'istanza per utilizzare il VPC condiviso, DMS Schema Conversion può accedere alle risorse nel VPC indipendentemente dall'account proprietario, purché siano disponibili le autorizzazioni corrette.
Poiché le risorse sono specifiche dell'account, i partecipanti non possono accedere alle risorse di proprietà di altri account. Non ci sono autorizzazioni che puoi fornire ad altri account per consentire loro di accedere alle risorse create nel VPC condiviso con il tuo account.

Utilizzo Direct Connect o una VPN per configurare una rete su un VPC

Le reti remote possono connettersi a un VPC utilizzando diverse opzioni, ad esempio Direct Connect una connessione VPN software o hardware. Puoi usare queste opzioni per integrare i servizi locali esistenti estendendo una rete interna nel Cloud AWS. È possibile integrare servizi locali quali monitoraggio, autenticazione, sicurezza, dati o altri sistemi. Utilizzando questo tipo di estensione di rete, è possibile collegare senza problemi i servizi in loco alle risorse ospitate da AWS, ad esempio un VPC. Puoi utilizzare questa configurazione per convertire il database on-premise di origine.

La figura seguente illustra una configurazione in cui l'endpoint di origine è un database locale in un data center aziendale. È collegato tramite Direct Connect o una VPN a un VPC che contiene DMS Schema Conversion e il database di destinazione.

On-premises database di origine connesso tramite Direct Connect o VPN a un VPC contenente DMS Schema Conversion e il database di destinazione.

In questa configurazione, configura i seguenti componenti di rete:

La tabella di routing associata alle sottoreti DMS Schema Conversion deve includere una route che invia il traffico destinato all'intervallo CIDR locale al Virtual Private Gateway (VGW) o Transit Gateway.
Il gruppo di sicurezza sul NAT o sull'host bridge deve consentire il traffico in entrata dal gruppo di sicurezza DMS Schema Conversion sulle porte del database richieste.
Il gruppo di sicurezza DMS Schema Conversion deve consentire il traffico in uscita verso la porta del database locale.

Non utilizzate un indirizzo IP ENI specifico per l'elenco consentito, poiché l'indirizzo IP ENI può cambiare in qualsiasi momento. Per ulteriori informazioni, consulta Creare una connessione Site-to-Site VPN nella Guida per l'AWS Site-to-Site VPN utente.

Utilizzo di una connessione Internet a un VPC

Se non utilizzi una VPN o non ti connetti Direct Connect a AWS risorse, puoi utilizzare Internet per connetterti al database di origine. Questa configurazione utilizza un VPC con sottoreti private e un gateway NAT che fornisce l'accesso a Internet in uscita. È possibile utilizzare questa configurazione per convertire il database locale di origine accessibile al pubblico.

L'illustrazione seguente mostra una configurazione in cui la conversione dello schema DMS in un VPC si connette a un database di origine locale tramite Internet utilizzando un gateway NAT.

On-premises database di origine connesso tramite Internet e un gateway NAT per DMS Schema Conversion in una sottorete privata.

Per abilitare la connettività dal tuo VPC a un database di origine accessibile pubblicamente, configura il VPC con sottoreti private che si connettono a Internet tramite un gateway NAT. Il gateway NAT fornisce un indirizzo IP pubblico coerente che puoi aggiungere alla lista delle autorizzazioni del firewall del database di origine, consentendo alle risorse della sottorete privata di connettersi al database di origine tramite Internet.

La tabella di routing VPC deve includere regole di routing che inviano il traffico non destinato al VPC per impostazione predefinita al gateway NAT. In questa configurazione, la connessione al fornitore di dati sembra provenire dall'indirizzo IP pubblico del gateway NAT. Per ulteriori informazioni, consulta Tabelle di routing VPC nella Guida per l'utente di Amazon VPC.

Per aggiungere un gateway Internet al VPC, consulta Collegamento di un gateway Internet nella Guida per l'utente di Amazon VPC.

Risoluzione degli endpoint di dominio con DNS

Se devi risolvere gli endpoint di dominio per i tuoi database, puoi utilizzare Amazon Route 53 Resolver. Per ulteriori informazioni sull'utilizzo del risolutore DNS Route 53, consulta Nozioni di base su Route 53 Resolver.

Per informazioni su come utilizzare il server dei nomi on-premise per risolvere determinati endpoint con il risolutore Amazon Route 53, consulta Utilizzo del server dei nomi in locale.

Risoluzione dei problemi di rete per la conversione dello schema DMS

Le sezioni seguenti descrivono gli errori più comuni relativi alla rete che potresti riscontrare durante l'utilizzo di DMS Schema Conversion e come risolverli.

Errori di connettività del database

Potresti visualizzare il seguente messaggio di errore quando DMS Schema Conversion non riesce a raggiungere il database di origine o di destinazione:

Could not connect to your {origin} database at '{serverName}:{port}'. Verify your network configuration, security groups, and that the database server is reachable.

Dove si {origin} trova source otarget, {serverName} è il nome host del server del database e il numero {port} di porta del database.

Puoi anche controllare la conversione dello schema DMS che Amazon CloudWatch registra nel tuo account per trovare il motivo specifico dell'errore di connessione.

Per risolvere questi errori, controlla quanto segue:

Verifica il nome e la porta del server: conferma che il nome e la porta del server configurati nel tuo provider di dati siano corretti. Puoi controllare le impostazioni del provider di dati utilizzando la AWS DMS console o la AWS CLI. Per ulteriori informazioni su come trovare l'endpoint e la porta del database, consulta Finding the connection information for an Amazon RDS DB Instance nella Amazon Relational Database Service User Guide.
Controlla le regole del gruppo di sicurezza: verifica che il gruppo di sicurezza associato a DMS Schema Conversion consenta il traffico TCP in uscita (in uscita) sulla porta del database. Verifica inoltre che il gruppo di sicurezza sul database consenta il traffico TCP in entrata (in ingresso) dal gruppo di sicurezza DMS Schema Conversion. Per ulteriori informazioni sull'utilizzo delle regole dei gruppi di sicurezza, consulta Work with security group rules nella Amazon VPC User Guide.
Controlla gli ACL di rete: verifica che gli ACL di rete sulle sottoreti DMS Schema Conversion e sulle sottoreti del database consentano il traffico in entrambe le direzioni sulla porta del database.
Controlla le tabelle delle rotte: verifica che le tabelle delle rotte associate alle sottoreti di conversione dello schema DMS abbiano le rotte corrette per raggiungere il database. Se utilizzi il peering VPC, la VPN o Direct Connect, assicurati che siano presenti i percorsi corrispondenti.
Controlla i CloudWatch log Amazon di DMS Schema Conversion: consulta i log di DMS Schema Conversion per informazioni dettagliate sugli errori. Puoi trovare il link ai log nella scheda Schema Conversion del tuo progetto di migrazione o utilizzare la AWS CLI per recuperare le voci di registro che contengono eccezioni.

Innanzitutto, individuate il gruppo di log di DMS Schema Conversion. Il nome del gruppo di log inizia con dms-tasks-sct e include l'ultimo blocco dell'ARN del progetto di migrazione:
```
aws logs describe-log-groups \
  --log-group-name-prefix dms-tasks-sct
```
Quindi, cerca le eccezioni nel gruppo di log usando il comando: filter-log-events
```
aws logs filter-log-events \
  --log-group-name dms-tasks-sct-your-migration-project \
  --filter-pattern "Exception" \
  --start-time start_timestamp_ms \
  --end-time end_timestamp_ms
```
Puoi sostituirli Exception con altri modelli come ERROR o "Could not connect" per restringere i risultati. I --end-time valori --start-time e sono timestamp Unix espressi in millisecondi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Pulisci e risolvi i problemi

Creazione di fornitori di dati di origine