我在生产帐户中有生产堆栈,在开发帐户中有开发堆栈。堆栈是相同的,设置如下:
要访问RDS实例,我必须SSH到Bastion机器并从那里访问它,或者我通过Bastion创建一个SSH隧道,通过数据库客户端应用程序(如PGAdmin)访问它。
当前的DMS设置:
我希望能够使用DMS(数据库迁移服务)将RDS实例从Production复制到Development。到目前为止,我正在尝试以下但无法使其工作:
在Development VPC和Production VPC之间创建VPC对等连接在Development VPC的私有子网中创建复制实例更新开发VPC中的私有子网路由表,以通过VPC对等连接将流量路由到生产VPC的CIDR确保复制实例的安全组可以访问两个RDS实例。
主要问题:
在DMS中创建源端点时,向导仅显示来自同一帐户和相同区域的RDS实例,并且仅允许使用服务器名称和端口配置RDS实例,但是,我的堆栈中的RDS实例只能通过使用隧道的堡垒机器。因此,测试端点连接始终失败。
有关如何实现此跨帐户复制的任何想法?
任何好的一步一步的博客,详细说明如何做到这一点?我找到了一些,但他们似乎没有RDS实例坐在堡垒机后面,所以他们都假设端点配置向导可以使用服务器名称和端口填充。
非常感谢。
当然,通过Bastion主机保护RDS实例是开放/操作访问的合理安全措施。
但是,对于DMS迁移服务,您应该为Target和Source RDS数据库实例打开安全组,以允许迁移实例同时访问它们。
来自AWS Security Migration Service的网络安全:
复制实例必须能够访问源端点和目标端点。复制实例的安全组必须具有网络ACL或规则,允许从数据库端口上的实例出口到数据库端点。
数据库端点必须包括允许来自复制实例的传入访问的网络ACL和安全组规则。您可以使用复制实例的安全组,专用IP地址,公共IP地址或NAT网关的公共地址来实现此目的,具体取决于您的配置。
见https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.Network.html
对于网络寻址和打开RDS私有子网,您需要在源和目标上都使用NAT。它们可以轻松添加,然后在迁移后终止。
您现在可以使用网络地址转换(NAT)网关,这是一种高度可用的AWS托管服务,可以轻松地从AWS虚拟私有云(VPC)中的私有子网内的实例连接到Internet。