Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione avanzata degli endpoint
Puoi configurare le impostazioni avanzate per i tuoi endpoint in AWS Database Migration Service (AWS DMS) per impostare il controllo sul comportamento degli endpoint di origine e di destinazione durante il processo di migrazione. Come parte della configurazione avanzata, puoi configurare il peering AWS DMS VPC per consentire comunicazioni sicure tra VPCs, i gruppi di sicurezza DMS per controllare il traffico in entrata e in uscita, gli elenchi di controllo degli accessi di Newtwork (NACLs) come livello di sicurezza aggiuntivo e gli endpoint VPC per Secrets Manager. AWS
È possibile impostare queste configurazioni durante la creazione degli endpoint o modificarle successivamente tramite la AWS DMS console o l'API, per ottimizzare i processi di migrazione in base ai requisiti specifici del motore di database e alle esigenze prestazionali.
Di seguito, puoi trovare ulteriori dettagli sulla configurazione avanzata degli endpoint.
**Topics**
+ [Configurazione di peering VPC per. AWS DMS](CHAP_Advanced.Endpoints.vpc.peering.md)
+ [Configurazione del gruppo di sicurezza per AWS DMS](CHAP_Advanced.Endpoints.securitygroup.md)
+ [Configurazione NACL (Network Access Control List) per AWS DMS](CHAP_Advanced.Ednpoints.NACL.md)
+ [Configurazione dell'endpoint VPC di AWS DMS Secrets Manager](CHAP_Advanced.Endpoints.secretsmanager.md)
+ [Ulteriori considerazioni](#CHAP_secretsmanager.additionalconsiderations)
# Configurazione di peering VPC per. AWS DMS
Il peering VPC consente la connettività di rete privata tra due VPCs, consentendo alle istanze di AWS DMS replica e agli endpoint del database di comunicare tra loro VPCs come se si trovassero nella stessa rete. Questo è fondamentale quando l'istanza di replica DMS risiede in un VPC mentre i database di origine e di destinazione esistono separati VPCs, consentendo la migrazione diretta e sicura dei dati senza attraversare la rete Internet pubblica.
Quando usi Amazon RDS, devi configurare il peering VPC tra DMS e RDS se le istanze si trovano in luoghi diversi. VPCs
È necessario eseguire le seguenti operazioni:
**Creazione di connessione peering VPC**
1. Accedi alla console [Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Nel riquadro di navigazione, seleziona **Peering Connections** in **Virtual private cloud**.
1. Fai clic su **Crea connessione peering.**
1. Configura le connessioni peering:
+ Targhetta (opzionale): inserisci un nome per la connessione peering (esempio:`DMS-RDS-Peering`).
**Richiedente VPC: seleziona** il VPC che contiene l'istanza DMS.
+ **Accettatore VPC: seleziona** il VPC che contiene l'istanza RDS.
**Nota**
Se il VPC accettante è associato a un account AWS diverso, devi avere l'ID account e l'ID VPC per quell'account.
1. Fai clic su **Crea** la connessione peering.
**Accettazione della connessione peering VPC**
1. **Nell'elenco delle **connessioni peering**, trova la nuova connessione peering con lo stato di accettazione in sospeso.**
1. **Seleziona la connessione peering appropriata, fai clic su **Azioni** e seleziona Accetta richiesta.**
**Lo stato della connessione peering diventa Attivo.**
**Aggiornamento delle tabelle delle rotte**
Per abilitare il traffico tra i VPCs, devi aggiornare la tabella dei percorsi in entrambi i tuoi VPCs. Per aggiornare le tabelle di routing nel VPC DMS:
1. Identifica il blocco CIDR del VPC RDS:
1. Accedi al tuo VPC RDS VPCs e seleziona.
1. Copia il valore IPv4 CIDR nella scheda. **CIDRs**
1. Identifica le tabelle di routing DMS pertinenti utilizzando la mappa delle risorse:
1. Vai al tuo VPC DMS VPCs e seleziona il tuo DMS.
1. Fai clic sulla scheda **Resource Map** e annota le tabelle dei percorsi associate alle sottoreti in cui si trova l'istanza DMS.
1. Aggiorna tutte le tabelle di routing nel VPC DMS:
1. Passa alle tabelle di routing nella [console Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Seleziona gli identificativi delle tabelle di percorso per il VPC DMS. **Puoi aprirli dalla scheda Resource map del VPC.**
1. Fai clic su **Modifica percorsi**.
1. Fai clic su Aggiungi percorso e inserisci le seguenti informazioni:
+ **Destinazione**: immettere il blocco IPv4 CIDR del VPC RDS (esempio:). `10.1.0.0/16`
+ **Obiettivo**: seleziona l'ID di configurazione del peering (esempio:). `pcx-1234567890abcdef`
1. Fai clic su **Salva percorsi**.
I tuoi percorsi VPC vengono salvati per il VPC DMS. Esegui gli stessi passaggi per il tuo VPC RDS.
**Aggiornamento dei gruppi di sicurezza**
1. Verifica il gruppo di sicurezza dell'istanza DMS:
1. Devi assicurarti che le regole in uscita consentano il traffico verso l'istanza RDS:
+ **Tipo**: TCP personalizzato o porta del database specifica (esempio: 3306 per MySQL).
+ **Destinazione**: il blocco CIDR del VPC RDS o il gruppo di sicurezza dell'istanza RDS.
1. Verifica il gruppo di sicurezza dell'istanza RDS:
1. Devi assicurarti che le regole in entrata consentano il traffico proveniente dall'istanza DMS:
+ **Tipo**: la porta specifica del database.
+ Fonte: il blocco CIDR del VPC DMS o il gruppo di sicurezza dell'istanza RDS.
**Nota**
È inoltre necessario accertarsi di quanto segue:
Connessione **peering attiva: assicurati che la connessione** peering VPC sia nello stato Attivo prima di **procedere**.
**Mappa delle risorse**: utilizza la scheda **Mappa delle risorse** nella console della [console Amazon VPC](https://console.aws.amazon.com/vpc/) per identificare quali tabelle di routing devono essere aggiornate.
**Nessun blocco CIDR sovrapposto: VPCs deve avere blocchi CIDR** non sovrapposti.
**Migliori pratiche di sicurezza**: limita le regole del Security Group alle porte e alle fonti necessarie.
Per ulteriori informazioni, consulta le [connessioni peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html) nella guida per l'utente di *Amazon Virtual Private Cloud*.
# Configurazione del gruppo di sicurezza per AWS DMS
Il gruppo di sicurezza in AWS DMS deve consentire le connessioni in entrata e in uscita per le istanze di replica sulla porta del database appropriata. Se utilizzi Amazon RDS, devi configurare il gruppo di sicurezza tra DMS e RDS per le tue istanze.
È necessario eseguire le seguenti operazioni:
**Configurare il gruppo di sicurezza dell'istanza RDS**
1. Accedi alla console [Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Nel riquadro di navigazione a sinistra, sotto **Sicurezza**, seleziona **Gruppi di sicurezza**.
1. Seleziona il gruppo di sicurezza RDS associato alla tua istanza RDS.
1. Modifica le regole in entrata:
1. Fai clic su **Azioni** e seleziona **Modifica regole in entrata**.
1. Fai clic su **Aggiungi regola** per creare una nuova regola.
1. Configurare la regola come segue:
+ **Tipo**: Seleziona il tipo di database (esempio: MySQL/Aurora per la porta 3306, PostgreSQL per la porta 5432).
+ **Protocollo**: viene compilato automaticamente in base al tipo di database.
+ **Port Range**: viene compilato automaticamente in base al tipo di database.
+ **Fonte**: scegli **Personalizzato** e incolla l'ID del gruppo di sicurezza associato all'istanza DMS. Ciò consente il traffico proveniente da qualsiasi risorsa all'interno di quel gruppo di sicurezza. Puoi anche specificare l'intervallo IP (blocco CIDR) dell'istanza DMS.
1. Fai clic su **Salva regole**.
**Configura il gruppo di sicurezza dell'istanza di replica DMS**
1. Accedi alla console [Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Nel riquadro di navigazione a sinistra, sotto **Sicurezza**, seleziona **Gruppi di sicurezza**.
1. Nell'elenco dei **gruppi di sicurezza**, trova e seleziona il gruppo di sicurezza associato all'istanza di replica DMS.
1. Modifica le regole in uscita:
1. Fai clic su **Azioni** e seleziona **Modifica regole in uscita**.
1. Fai clic su **Aggiungi regola** per creare una nuova regola.
1. Configurare la regola come segue:
+ Tipo: Seleziona il tipo di database (esempio: MySQL/Aurora, PostgreSQL).
+ Protocollo: viene compilato automaticamente in base al tipo di database.
+ Port Range: viene compilato automaticamente in base al tipo di database.
+ Fonte: scegli **Personalizzato** e incolla l'ID del gruppo di sicurezza associato all'istanza RDS. Ciò consente il traffico proveniente da qualsiasi risorsa all'interno di quel gruppo di sicurezza. Puoi anche specificare l'intervallo IP (blocco CIDR) dell'istanza RDS.
1. Fai clic su **Salva regole**.
## Ulteriori considerazioni
È necessario considerare le seguenti informazioni di configurazione aggiuntive:
+ **Usa i riferimenti ai gruppi di sicurezza**: il riferimento ai gruppi di sicurezza nelle istanze di origine o di destinazione consente una gestione dinamica ed è più sicuro rispetto all'utilizzo degli indirizzi IP in quanto includeva automaticamente tutte le risorse all'interno del gruppo.
+ **Porte del database**: assicurati di utilizzare la porta corretta per il tuo database.
+ **Migliori pratiche di sicurezza**: aprite solo le porte necessarie per ridurre al minimo i rischi per la sicurezza. È inoltre necessario rivedere regolarmente le regole del gruppo di sicurezza per assicurarsi che soddisfino gli standard e i requisiti di sicurezza.
# Configurazione NACL (Network Access Control List) per AWS DMS
Quando utilizzi Amazon RDS come fonte di replica, devi aggiornare le liste di controllo degli accessi alla rete (NACLs) per la tua istanza DMS e RDS. Assicurati che NACLs siano associate alle sottoreti in cui risiedono queste istanze. Ciò consente il traffico in entrata e in uscita sulla porta specifica del database.
Per aggiornare gli elenchi di controllo degli accessi alla rete, è necessario effettuare le seguenti operazioni:
**Nota**
Se le istanze DMS e RDS si trovano nella stessa sottorete, è sufficiente aggiornare il NACL della sottorete.
**Identifica il pertinente NACLs**
1. Accedi alla console [Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Nel riquadro di navigazione a sinistra, sotto **Sicurezza**, seleziona **Rete ACLs**.
1. Seleziona la pertinente NACLs associata alle sottoreti in cui risiedono le tue istanze DMS e RDS.
**Aggiorna la sottorete per l'istanza DMS NACLs**
1. Identifica il NACL associato alla sottorete dell'istanza DMS. A tale scopo, puoi sfogliare le sottoreti nella [console Amazon VPC](https://console.aws.amazon.com/vpc/), trovare la sottorete DMS e annotare l'ID NACL associato.
1. Modifica le regole in entrata:
1. Fai clic sulla scheda **Regole in entrata** per il NACL selezionato.
1. Scegli **Modifica le regole in entrata**.
1. Aggiungi una nuova regola:
+ **Regola n.**: scegli un numero univoco (esempio: 100).
+ **Tipo**: Seleziona la **regola TCP personalizzata**.
+ **Protocollo**: TCP
+ **Intervallo di porte**: inserire la porta del database (esempio: 3306 per MySQL).
+ **Fonte**: inserire il blocco CIDR della sottorete RDS (esempio: 10.1.0.0/16).
+ ****Consenti/Nega**: seleziona Consenti.**
1. Modifica le regole in uscita:
1. Fai clic sulla scheda **Regole in uscita** per il NACL selezionato.
1. Fai clic su **Modifica** regole in uscita.
1. Aggiungi una nuova regola:
+ **Regola n.**: usa lo stesso numero usato nelle regole in entrata.
+ **Tipo**: Tutto il traffico.
+ **Destinazione**: 0.0.0.0/0
+ **Consenti/Nega: seleziona Consenti****.**
1. Fai clic su **Salva modifiche**.
1. Esegui gli stessi passaggi per aggiornare la sottorete NACLs associata alla sottorete dell'istanza RDS.
## Verifica le regole NACL
È necessario garantire i seguenti criteri per quanto riguarda le regole NACL. :
+ **Ordine delle regole**: NACLs elabora le regole in ordine crescente in base al numero di regola. Assicurati che tutte le regole impostate come "**Consenti**" abbiano numeri di regole inferiori rispetto a tutte le regole impostate come "**Nega**" poiché ciò potrebbe bloccare il traffico.
+ **Natura apolide**: NACLs sono apolidi. È necessario consentire esplicitamente il traffico in entrata e in uscita.
+ Blocchi **CIDR: devi assicurarti che i blocchi** CIDR che utilizzi rappresentino accuratamente le sottoreti delle tue istanze DMS e RDS.
# Configurazione dell'endpoint VPC di AWS DMS Secrets Manager
È necessario creare un endpoint VPC per accedere a AWS Secrets Manager da un'istanza di replica in una sottorete privata. Ciò consente all'istanza di replica di accedere a Secrets Manager direttamente tramite la rete privata senza inviare traffico sulla rete Internet pubblica.
Per configurare, è necessario seguire i seguenti passaggi:
**Crea un gruppo di sicurezza per l'endpoint VPC.**
1. Accedi alla console [Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Nel riquadro di navigazione a sinistra, seleziona **Gruppi di sicurezza** e scegli **Crea gruppo di sicurezza**.
1. Configura i dettagli del gruppo di sicurezza:
+ **Nome del gruppo di sicurezza**: Esempio: `SecretsManagerEndpointSG`
+ **Descrizione**: inserire una descrizione appropriata. (Esempio: gruppo di sicurezza per l'endpoint VPC di Secrets Manager).
+ **VPC: seleziona il VPC** in cui risiedono l'istanza di replica e gli endpoint.
1. Fai clic su **Aggiungi regola per impostare le regole** in entrata e configurare quanto segue:
+ Tipo: HTTPS (poiché il gestore dei segreti utilizza HTTPS sulla porta 443).
+ Fonte: scegli **Personalizzato** e inserisci l'ID del gruppo di sicurezza dell'istanza di replica. Ciò garantisce che qualsiasi istanza associata a quel gruppo di sicurezza possa accedere all'endpoint VPC.
1. Controlla le modifiche e fai clic su **Crea gruppo di sicurezza**.
**Crea un endpoint VPC per il gestore dei segreti**
**Nota**
Crea un endpoint VPC di interfaccia come indicato nell'argomento della [documentazione Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella guida per l'utente di *Amazon Virtual* Private Cloud. Quando segui questa procedura, assicurati quanto segue:
Per **Categoria di servizio**, è necessario selezionare **AWS i servizi.**
Per **Nome del servizio**, cerca `seretsmanager` e seleziona il servizio di gestione dei segreti.
1. Seleziona **VPC e sottoreti e configura quanto segue**:
+ **VPC**: assicurati che sia lo stesso VPC dell'istanza di replica.
+ **Sottoreti: seleziona le sottoreti** in cui risiede l'istanza di replica.
1. In **Impostazioni aggiuntive**, assicurati che il **nome Enable DNS sia abilitato** per impostazione predefinita per gli endpoint dell'interfaccia
1. In **Gruppo di sicurezza**, seleziona il nome del gruppo di sicurezza appropriato. Esempio: `SecretsManagerEndpointSG` come creato in precedenza).
1. Controlla tutte le impostazioni e fai clic su **Crea endpoint**.
**Recupera il nome DNS dell'endpoint VPC**
1. Accedi ai dettagli dell'endpoint VPC:
1. **Accedi alla [console Amazon VPC](https://console.aws.amazon.com/vpc/) e scegli Endpoints.**
1. Seleziona l'endpoint appropriato che hai creato.
1. Copia il nome DNS:
1. Nella scheda **Dettagli**, vai alla sezione **Nomi DNS**.
1. Copia il primo nome DNS elencato. (Esempio: `vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`). Questo è il nome DNS regionale.
**Aggiorna il tuo endpoint DMS**
1. Passa alla console [AWS DMS](https://console.aws.amazon.com/dms/v2).
1. Modifica l'endpoint DMS:
1. **Nel riquadro di navigazione a sinistra, seleziona Endpoints.**
1. Scegli l'endpoint appropriato che desideri configurare.
1. Fai clic su **Azioni** e seleziona **Modifica**.
1. Configura le impostazioni degli endpoint:
1. Vai alle **impostazioni dell'endpoint** e seleziona la casella di controllo **Usa gli attributi di connessione dell'endpoint.**
1. Nel campo **Attributi di connessione**, aggiungi:. `secretsManagerEndpointOverride=`
**Nota**
Se hai più attributi di connessione, puoi separarli con un punto e virgola «;». Ad esempio: `datePartitionEnabled=false;secretsManagerEndpointOverride=vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`
1. Fai clic su **Modifica endpoint** per salvare le modifiche.
## Ulteriori considerazioni
È necessario considerare le seguenti informazioni di configurazione aggiuntive:
**Gruppo di sicurezza dell'istanza di replica:**
+ Assicurati che il gruppo di sicurezza associato all'istanza di replica consenta il traffico in uscita verso l'endpoint VPC sulla porta 443 (HTTPS).
**Impostazioni DNS VPC:**
+ Verifica che la **risoluzione DNS** e gli **hotname DNS** siano abilitati nel tuo VPC. Ciò consente alle istanze di risolvere i nomi DNS degli endpoint VPC. **Puoi confermarlo accedendo alla VPCs console [Amazon VPC e selezionando il tuo VPC](https://console.aws.amazon.com/vpc/) per verificare **che la risoluzione DNS e gli hotname DNS** siano impostati su **"**Sì».**
**Test della connettività:**
+ Dalla tua istanza di replica, puoi eseguire una ricerca DNS per assicurarti che risolva l'endpoint VPC:. `nslookup secretsmanager.amazonaws.com` Deve restituire l'indirizzo IP associato all'endpoint VPC