As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configuração do endpoint avançada
Você pode definir configurações avançadas para seus endpoints em AWS Database Migration Service (AWS DMS) para configurar o controle sobre como os endpoints de origem e destino se comportam durante o processo de migração. Como parte da configuração avançada, você pode configurar o emparelhamento de AWS DMS VPC para permitir a comunicação segura entre VPCs grupos de segurança do DMS para controlar o tráfego de entrada e saída, listas de controle de acesso à rede (NACLs) como camada adicional de segurança e endpoints de VPC para o Secrets Manager. AWS
Você pode definir essas configurações durante a criação do endpoint ou modificadas posteriormente por meio do AWS DMS console ou da API, para ajustar os processos de migração com base nos requisitos específicos do mecanismo de banco de dados e nas necessidades de desempenho.
A seguir você pode obter mais detalhes sobe a configuração de endpoints avançados.
**Topics**
+ [Configuração de emparelhamento de VPC para. AWS DMS](CHAP_Advanced.Endpoints.vpc.peering.md)
+ [Configuração do grupo de segurança para AWS DMS](CHAP_Advanced.Endpoints.securitygroup.md)
+ [Configuração da Lista de Controle de Acesso à Rede (NACL) para AWS DMS](CHAP_Advanced.Ednpoints.NACL.md)
+ [Configurando o gerenciador de AWS DMS segredos VPC Endpoint](CHAP_Advanced.Endpoints.secretsmanager.md)
+ [Considerações adicionais](#CHAP_secretsmanager.additionalconsiderations)
# Configuração de emparelhamento de VPC para. AWS DMS
O emparelhamento de VPC permite a conectividade de rede privada entre duas VPCs, permitindo que instâncias de AWS DMS replicação e endpoints de banco de dados se comuniquem entre si, VPCs como se estivessem na mesma rede. Isso é crucial quando sua instância de replicação do DMS reside em uma VPC, enquanto os bancos de dados de origem ou de destino existem separados VPCs, permitindo a migração de dados direta e segura sem atravessar a Internet pública.
Ao usar o Amazon RDS, você deve configurar o emparelhamento de VPC entre o DMS e o RDS se suas instâncias estiverem localizadas em locais diferentes. VPCs
Você deve executar as seguintes etapas:
**Criar uma conexão de emparelhamento de VPC**
1. Navegue até o [console da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Conexões de emparelhamento** em **Nuvem privada virtual**.
1. Clique em **Criar conexão de emparelhamento**.
1. Configure as conexões de emparelhamento:
+ Tag de nome (opcional): insira um nome para a conexão de emparelhamento (exemplo: `DMS-RDS-Peering`).
**Solicitante da VPC**: selecione a VPC que contém sua instância do DMS.
+ **Aceitante da VPC**: selecione a VPC que contém sua instância do RDS.
**nota**
Se a VPC aceitante estiver associada a uma conta diferente da AWS , você deverá ter o ID da conta e o ID da VPC dessa conta.
1. Clique em **Criar conexão de emparelhamento**.
**Aceitar uma a conexão de emparelhamento da VPC**
1. Na lista **Conexões de emparelhamento**, encontre a nova conexão de emparelhamento com o status **Aceitação pendente**.
1. Selecione a conexão de emparelhamento apropriada, clique em **Ações** e selecione **Aceitar solicitação**.
O status da conexão de emparelhamento muda para **Ativo**.
**Atualizar tabelas de rotas**
Para habilitar o tráfego entre os VPCs, você deve atualizar a tabela de rotas em ambos os seus VPCs. Para atualizar as tabelas de rotas na VPC do DMS:
1. Identifique o bloco CIDR da VPC do RDS:
1. Navegue até sua VPCs e selecione sua VPC do RDS.
1. Copie o valor do IPv4 CIDR na **CIDRs**guia.
1. Identifique tabelas de rotas relevantes do DMS usando o mapa de recursos:
1. Navegue até sua VPCs e selecione sua VPC do DMS.
1. Clique na guia **Mapa de recursos** e preste atenção às tabelas de rotas associadas às sub-redes em que sua instância do DMS está localizada.
1. Atualize todas as tabelas de rotas na VPC do DMS:
1. Navegue até as tabelas de rotas no [console da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. Selecione as tabelas de rotas identificadas para a VPC do DMS. Você pode abri-las na guia **Mapa de recursos** da VPC.
1. Clique em **Editar rotas**.
1. Clique em “Adicionar rota” e insira as seguintes informações:
+ **Destino**: insira o bloco IPv4 CIDR da VPC do RDS (exemplo:). `10.1.0.0/16`
+ **Destino**: selecione o ID de configuração de emparelhamento (exemplo: `pcx-1234567890abcdef`).
1. Clique em **Salvar rotas**.
Suas rotas de VPC são salvas para a VPC do DMS. Execute as mesmas etapas para a VPC do RDS.
**Atualizar Grupos de Segurança**
1. Verifique o grupo de segurança da instância do DMS:
1. Você deve garantir que as regras de saída permitam o tráfego para a instância do RDS:
+ **Tipo**: TCP personalizado ou a porta específica do banco de dados (exemplo: 3306 para MySQL).
+ **Destino**: o bloco CIDR da VPC do RDS ou o grupo de segurança da instância do RDS.
1. Verifique o grupo de segurança da instância do RDS:
1. Você deve garantir que as regras de entrada permitam o tráfego da instância do DMS:
+ **Tipo**: a porta específica do banco de dados.
+ Destino: o bloco CIDR da VPC do DMS ou o grupo de segurança da instância do RDS.
**nota**
Você também deve verificar o seguinte:
**Conexão de emparelhamento ativa**: verifique se a conexão de emparelhamento da VPC está no estado **Ativo** antes de continuar.
**Mapa de recursos**: use a guia **Mapa de recursos** no [console da Amazon VPC](https://console.aws.amazon.com/vpc/) para identificar quais tabelas de rotas precisam ser atualizadas.
**Sem blocos CIDR sobrepostos: VPCs devem ter blocos** CIDR não sobrepostos.
**Práticas recomendadas de segurança**: restrinja as regras do grupo de segurança às portas e origens necessárias.
Para ter mais informações, consulte [Conexões de emparelhamento da VPC](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html) no *Guia do usuário da Amazon Virtual Private Cloud*.
# Configuração do grupo de segurança para AWS DMS
O grupo de segurança de entrada AWS DMS deve permitir conexões de entrada e saída para suas instâncias de replicação na porta apropriada do banco de dados. Se você estiver usando o Amazon RDS, deverá configurar o grupo de segurança entre o DMS e o RDS para suas instâncias.
Você deve executar as seguintes etapas:
**Configurar o grupo de segurança da instância do RDS**
1. Navegue até o [console da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação à esquerda, em **Segurança**, selecione **Grupos de segurança**.
1. Selecione o grupo de segurança do RDS associado à instância do RDS.
1. Edite as regras de entrada:
1. Clique em **Ações** e selecione **Editar regras de saída**.
1. Clique em **Adicionar regra** para criar uma regra.
1. Configure a regra desta forma:
+ **Tipo**: Selecione seu tipo de banco de dados (Exemplo: MySQL/Aurora para a porta 3306, PostgreSQL para a porta 5432).
+ **Protocolo**: é preenchido automaticamente com base no tipo de banco de dados.
+ **Intervalo de portas**: é preenchido automaticamente com base no tipo de banco de dados.
+ **Origem**: escolha **Personalizada** e cole o ID do grupo de segurança associado à sua instância do DMS. Isso permite o tráfego de qualquer recurso dentro desse grupo de segurança. Você também pode especificar o intervalo de IP (bloco CIDR) da sua instância do DMS.
1. Clique em **Salvar regras**.
**Configurar o grupo de segurança da instância de replicação do DMS**
1. Navegue até o [console da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação à esquerda, em **Segurança**, selecione **Grupos de segurança**.
1. Na lista **Grupo de segurança**, localize e selecione o grupo de segurança associado à sua instância de replicação do DMS.
1. Edite as regras de saída:
1. Clique em **Ações** e selecione **Editar regras de saída**.
1. Clique em **Adicionar regra** para criar uma regra.
1. Configure a regra desta forma:
+ Tipo: selecione o tipo de banco de dados (exemplo: MySQL/Aurora, PostgreSQL).
+ Protocolo: é preenchido automaticamente com base no tipo de banco de dados.
+ Intervalo de portas: é preenchido automaticamente com base no tipo de banco de dados.
+ Origem: escolha **Personalizada** e cole o ID do grupo de segurança associado à sua instância do RDS. Isso permite o tráfego de qualquer recurso dentro desse grupo de segurança. Você também pode especificar o intervalo de IP (bloco CIDR) da sua instância do RDS.
1. Clique em **Salvar regras**.
## Considerações adicionais
Você deve considerar as seguintes informações de configuração adicional:
+ **Use referências a grupos de segurança**: fazer referência a grupos de segurança nas instâncias de origem ou destino permite um gerenciamento dinâmico e é mais seguro do que usar endereços IP, pois isso inclui automaticamente todos os recursos do grupo.
+ **Portas do banco de dados**: verifique se você está usando a porta correta para seu banco de dados.
+ **Práticas recomendadas de segurança**: abra somente as portas necessárias para minimizar os riscos de segurança. Você também deve analisar regularmente as regras do grupo de segurança para garantir que elas atendam aos seus padrões e requisitos de segurança.
# Configuração da Lista de Controle de Acesso à Rede (NACL) para AWS DMS
Ao usar o Amazon RDS como fonte de replicação, você deve atualizar as listas de controle de acesso à rede (NACLs) para sua instância de DMS e RDS. Certifique-se de que NACLs estejam associados às sub-redes em que essas instâncias residem. Isso permite tráfego de entrada e saída na porta específica do banco de dados.
Para atualizar as listas de controle de acesso à rede, você deve realizar as seguintes etapas:
**nota**
Se suas instâncias do DMS e do RDS estiverem na mesma sub-rede, você só precisará atualizar a NACL dessa sub-rede.
**Identifique o relevante NACLs**
1. Navegue até o [console da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação à esquerda, em **Segurança**, selecione **Rede ACLs**.
1. Selecione o relevante NACLs associado às sub-redes em que residem suas instâncias do DMS e do RDS.
**Atualize o NACLs para a sub-rede da instância DMS**
1. Identifique a NACL associada à sub-rede da sua instância do DMS. Para fazer isso, você pode navegar pelas sub-redes no [console da Amazon VPC](https://console.aws.amazon.com/vpc/), encontrar a sub-rede do DMS e anotar o ID da NACL correspondente.
1. Edite as regras de entrada:
1. Clique na guia **Regras de entrada** da NACL selecionada.
1. Selecione **Editar regras de entrada**.
1. Adicione uma nova regra:
+ **Número da regra**: escolha um número exclusivo (exemplo: 100).
+ **Tipo**: selecione **Regra de TCP personalizada**.
+ **Protocolo**: TCP
+ **Intervalo de portas**: insira a porta do seu banco de dados (exemplo: 3306 para MySQL).
+ **Origem**: insira o bloco CIDR da sub-rede do RDS (exemplo: 10.1.0.0/16).
+ **Permitir/Negar**: selecione **Permitir**.
1. Edite as regras de saída:
1. Clique na guia **Regras de entrada** da NACL selecionada.
1. Clique em **Editar regras de saída**.
1. Adicione uma nova regra:
+ **Número da regra**: use o mesmo número usado nas regras de entrada.
+ **Tipo:** todo o tráfego.
+ **Destino**: 0.0.0.0/0
+ **Permitir/Negar**: selecione **Permitir**.
1. Clique em **Salvar alterações**.
1. Execute as mesmas etapas para atualizar a sub-rede NACLs associada à instância do RDS.
## Verificar as regras da NACL
Você deve garantir os seguintes critérios em relação às regras da NACL:
+ **Ordem das regras**: NACLs processa as regras na ordem crescente com base no número da regra. Todas as regras definidas como “**Permitir**” devem ter números de regra mais baixos do que todas as regras definidas como “**Negar**”, pois isso pode bloquear o tráfego.
+ **Natureza apátrida**: NACLs são apátridas. Você deve permitir explicitamente o tráfego de entrada e de saída.
+ **Blocos CIDR**: você deve garantir que os blocos CIDR usados representem com precisão as sub-redes de suas instâncias do DMS e RDS.
# Configurando o gerenciador de AWS DMS segredos VPC Endpoint
Você deve criar um VPC endpoint para acessar o AWS Secrets Manager a partir de uma instância de replicação em uma sub-rede privada. Isso permite que a instância de replicação acesse o Secrets Manager diretamente pela rede privada sem enviar tráfego pela internet pública.
Para configurar, você deve seguir as etapas abaixo:
**Crie um grupo de segurança para o endpoint da VPC.**
1. Navegue até o [console da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação à esquerda, selecione **Grupos de segurança** e escolha **Criar grupo de segurança**.
1. Configure detalhes do grupo de segurança:
+ **Nome do grupo de segurança**: por exemplo, `SecretsManagerEndpointSG`.
+ **Descrição**: insira uma descrição apropriada. (Exemplo: grupo de segurança para o endpoint da VPC do Secrets Manager).
+ **VPC**: selecione a VPC em que a instância de replicação e os endpoints residem.
1. Clique em **Adicionar regra** para definir regras de entrada e configurar o seguinte:
+ Tipo: HTTPS (pois o Secrets Manager usa HTTPS na porta 443).
+ Origem: escolha **Personalizada** e insira o ID do grupo de segurança da instância de replicação. Isso garante que qualquer instância associada a esse grupo de segurança possa acessar o endpoint da VPC.
1. Analise as alterações e clique em **Criar grupo de segurança**.
**Criar um endpoint da VPC do Secrets Manager**
**nota**
Crie um endpoint da VPC de interface conforme descrito no tópico da documentação [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do usuário da Amazon Virtual Private Cloud*. Ao seguir as etapas neste procedimento, faça o seguinte:
Em **Categoria de serviço**, você deve selecionar **Serviços da AWS **.
Em **Nome do serviço**, pesquise `seretsmanager` e selecione o serviço Secrets Manager.
1. Selecione **VPC e sub-redes** e configure o seguinte:
+ **VPC**: deve ser a mesma VPC da instância de replicação.
+ **Sub-redes**: selecione as sub-redes em que a instância de replicação reside.
1. Em **Configurações adicionais**, **Habilitar nome DNS** deve estar habilitada por padrão para os endpoints da interface.
1. Em **Grupo de segurança**, selecione o nome do grupo de segurança apropriado. Exemplo: `SecretsManagerEndpointSG`, conforme criado anteriormente.
1. Analise todas as configurações e clique em **Criar endpoint**.
**Recuperar o nome de DNS do endpoint da VPC**
1. Acesse os detalhes do endpoint da VPC:
1. Navegue até o [console da Amazon VPC](https://console.aws.amazon.com/vpc/) e escolha **Endpoints**.
1. Selecione o endpoint apropriado que você criou.
1. Copie o nome de DNS:
1. Na guia **Detalhes**, navegue até a seção **Nomes de DNS**.
1. Copie o primeiro nome de DNS listado. (Exemplo: `vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`). Essa é a entrada do nome de DNS regional.
**Atualizar o endpoint do DMS**
1. Navegue até o console [AWS DMS](https://console.aws.amazon.com/dms/v2).
1. Modifique o endpoint do DMS:
1. No painel de navegação à esquerda, selecione **Endpoints**.
1. Escolha o endpoint que você deseja configurar.
1. Clique em **Ações** e selecione **Modificar**.
1. Configure as definições do endpoint:
1. Navegue até **Configurações do endpoint** e marque a caixa de seleção **Usar atributos de conexão de endpoint**.
1. No campo **Atributos de conexão**, adicione `secretsManagerEndpointOverride=`.
**nota**
Se você tiver vários atributos de conexão, poderá separá-los com ponto e vírgula (“;”). Por exemplo: `datePartitionEnabled=false;secretsManagerEndpointOverride=vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`
1. Clique em **Modificar endpoint** para salvar as alterações.
## Considerações adicionais
Você deve considerar as seguintes informações de configuração adicional:
**Grupo de segurança da instância de replicação:**
+ O grupo de segurança associado à instância de replicação deve permitir tráfego de saída para o endpoint da VPC na porta 443 (HTTPS).
**Configurações de DNS da VPC:**
+ Confirme se as opções **Resolução de DNS** e **Hotnames de DNS** estão habilitadas em sua VPC. Isso permite que as instâncias resolvam os nomes de DNS do endpoint da VPC. **Você pode confirmar isso navegando até VPCs o console da [Amazon VPC e selecionando sua VPC](https://console.aws.amazon.com/vpc/) para verificar se a resolução de DNS e os hotnames de **DNS** estão definidos como **"**Sim”.**
**Testar a conectividade:**
+ Em sua instância de replicação, você pode realizar uma pesquisa de DNS para garantir a resolução do endpoint da VPC: `nslookup secretsmanager.amazonaws.com`. Ela deve exibir o endereço IP associado ao seu endpoint da VPC.