為什麼我在 Application Migration Service 複寫伺服器中收到「無法驗證服務」錯誤？

簡短描述

啟動複寫伺服器之後，必須能夠連線到下列區域 AWS 端點：

• Application Migration Service 端點
• Amazon Elastic Compute Cloud (Amazon EC2) 端點
• Amazon Simple Storage Service (Amazon S3) 端點

如果與這些端點中的任何一個通訊失敗，您會在初始資料複寫期間看到錯誤訊息「無法使用服務驗證」。

如需詳細資訊，請參閱暫存區子網路與 AWS Application Migration Service 之間透過連接埠 443 的通訊。

解決方案

若要開始疑難排解此問題，請檢視已終止的複寫伺服器的系統日誌輸出。使用日誌資料，判斷伺服器無法與上述哪個端點通訊。若要執行此操作，請使用下列步驟：

1.    開啟 EC2 主控台。

2.    在 EC2 儀表板上選取終止的複寫執行個體 (Application Migration Service 複寫伺服器)。

3.    然後選擇動作、監視和疑難排解、取得系統日誌。

4.    分析系統日誌，瞭解嘗試連線到 S3 時發生連線錯誤。

5.    如果 S3 連線正常運作，請進一步分析無法連線 MGN 或無法連線 EC2錯誤的日誌。

6.    如果終止的複寫伺服器無法使用，請建立或使用 EC2 執行個體。確定執行個體使用與複寫伺服器相同的設定 (虛擬私有雲 (VPC)、子網路、安全群組)。

7.    使用 telnet 等公用程式來執行網路連線測試。如果需要，可以使用 telnet 以外的工具。以下是使用 telnet 進行測試的範例命令。在下列範例中，調整 AWS 區域的端點，以確保 TCP 通訊正常運作。

telnet mgn.<region>.amazonaws.com 443

telnet ec2.<region>.amazonaws.com 443

telnet s3.<region>.amazonaws.com 443

8.    如果任何測試失敗，則執行以下操作：

• 確定您的安全群組、網路存取控制清單和路由表允許透過 TCP 連接埠 443 存取端點。
• **針對 Amazon EC2 或 Application Migration Service 的 VPC 介面端點：**確定連結至介面端點的安全群組允許從暫存區子網路存取輸入 TCP 連接埠 443。
• **對於沒有網際網路存取的子網路中的 S3 存取：**確定您使用 S3 閘道端點。複寫伺服器無法使用 S3 VPC 介面端點，因為它存取的 S3 連結並未使用您的 VPC 端點介面 ID 進行調整。
• 針對子網路中 DNS 解析的自訂 DHCP 選項集：確定具有自訂 DHCP 選項集的 DNS 伺服器可以解析前述簡短描述中列出的端點。
• **如果您要透過防火牆路由流量：**確定防火牆未封鎖從複寫伺服器到端點的流量。
• **如果您使用網際網路閘道存取網際網路：**確定您在複寫設定中選取建立公用 IP。複寫伺服器必須具有公用 IP 地址才能與端點通訊。