用于源数据库连接的网络方法

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

如需将数据从源数据库服务器移至目标 AlloyDB for PostgreSQL 集群，Database Migration Service 需要连接到源实例。该连接可以通过公共互联网建立，也可以通过项目的虚拟私有云 (VPC) 中的一系列专用连接建立。

本页简要介绍了每种可用的数据源数据库连接方法，并提供了一个建议部分，可帮助您为迁移选择合适的解决方案：

• 方法比较提供了可用来源连接方法的比较表格。

• IP 许可名单用于描述与源数据库的公共 IP 地址的网络连接。

• 正向 SSH 隧道概要介绍了专用安全外壳 (SSH) 隧道。

• 专用连接介绍了如何建立与源数据库专用 IP 的连接。

熟悉不同的连接方法及其要求后，您可以使用 决策树图为您的场景选择合适的解决方案。

方法比较

每种连接方法都有不同的优势和要求。您可以使用下表一目了然地对比它们，然后在专门介绍每种方法的部分中了解更多详情。

网络方法	优点	缺点
IP 许可名单	设置最简单的连接方法。 当无法通过 Google Cloud中的专用网络访问源数据库时，此属性非常有用。	要求您将源数据库服务器的 IPv4 地址公开到公共互联网。这需要采取额外的安全措施。 例如，我们建议您使用 TLS 证书和防火墙规则来确保连接安全。 配置防火墙规则可能需要 IT 部门的帮助。 Database Migration Service 不支持在 Oracle Real Application Clusters (RAC) 环境中使用单个客户端访问名称 (SCAN) 功能直接连接到数据库。如需了解如何使用公共 IP 许可名单连接与此类环境，请参阅 排查 Oracle SCAN 错误。
正向 SSH 隧道	比通过公共 IP 使用 IP 许可名单进行连接更安全。 初始连接是通过公共互联网上的 Secure Shell (SSH) 端口建立的。连接建立后，所有流量都会通过安全的专用连接传输。 如果无法通过 Google Cloud中的专用网络访问您的源数据库，但您又不想将源数据库服务器直接公开到互联网上，此方法非常有用。	使用中间服务器（转发 SSH 隧道机器）进行连接可能会导致额外的延迟时间。 您必须设置和维护转发 SSH 主机服务器。 服务器必须在整个迁移过程中保持在线状态。
通过虚拟私有云对等连接实现专用连接	系统会建立与源数据库的专用 IP 地址的连接。 此连接方法最适合可从您的 VPC 网络访问专用 IP 地址的来源。 Google Cloud	对于 Google Cloud VPC 之外的来源，您可能需要使用额外的网络组件，例如 Cloud VPN 或反向代理虚拟机。 您需要 启用了专用服务访问权限的虚拟私有云，才能使用虚拟私有云对等连接。

用于源数据库连接的 IP 许可名单

使用 IP 许可名单连接方法时，Database Migration Service 会尝试与源数据库服务器的公开 IP 地址建立连接。

IP 许可名单连接要求

概括来讲，如需使用此连接方法，您需要确保以下几点：

• 您必须将来源的 IP 地址公开到公共互联网（直接公开，或通过域名服务器 [DNS] 使用公开认可的主机名公开）。

• Database Migration Service 不支持在 Oracle Real Application Clusters (RAC) 环境中使用单个客户端访问名称 (SCAN) 功能直接连接到数据库。如需了解如何使用公共 IP 许可名单连接与此类环境，请参阅 排查 Oracle SCAN 错误。

• 您需要允许来自 Database Migration Service 公共 IP 地址的传入连接。

• 可选：IP 许可名单连接默认使用未加密的连接。我们建议您使用 TLS 证书来确保连接安全。Database Migration Service 支持不同的 TLS 类型，以便您根据源数据库支持的类型选择最佳解决方案。如需了解详情，请参阅 使用 SSL/TLS 证书加密网络连接。

配置 IP 许可名单连接

配置公共 IP 连接需要执行不同的步骤，具体取决于源数据库类型。有关详情，请参阅：

• 为自托管来源配置 IP 许可名单连接

• 为 Amazon Web Services 中的来源配置 IP 许可名单连接

用于源数据库连接的正向 SSH 隧道

这种连接方法是公共网络连接和专用网络连接的混合。连接本身是通过 Secure Shell (SSH) 端口建立的，连接到隧道主机服务器的公共 IP 地址。连接有效后，所有流量都会通过安全隧道传输到源数据库的专用 IP 地址。

正向 SSH 隧道的要求

如需创建连接，您需要将 SSH 端口公开到隧道服务器上的公共互联网。建立连接后，所有流量都会通过专用隧道连接进行路由。

您可以在托管源数据库的同一服务器上终止隧道，但我们建议您使用专用隧道服务器。这样，您就不会直接将源数据库公开到互联网。隧道服务器可以是任何可通过互联网使用 SSH 访问且可以访问源数据库的 Unix 或 Linux 主机。

对于某些连接场景，我们建议您使用 使用虚拟专用云对等互连的专用连接网络方法，而不是转发 SSH 隧道：

• 对于位于 Google Cloud内的自托管源，Database Migration Service 可以使用专用连接配置访问源数据库的专用 IP。您无需设置单独的 SSH 服务器即可建立连接。

配置正向 SSH 隧道连接性

通过正向 SSH 隧道配置连接需要执行不同的步骤，具体取决于源数据库类型。有关详情，请参阅：

• 为自托管来源配置通过转发 SSH 隧道的连接

• 为 Amazon Web Services 中的来源配置 IP 许可名单连接

具有 VPC 对等互连的专用连接

通过此方法，您可以通过 Virtual Private Cloud (VPC) 中的专用 IP 地址连接到来源。您无需向公共互联网公开任何接口即可使用此方法，但需要能够从您的 VPC 访问源数据库 IP 地址或主机名。 Google Cloud

根据您拥有的源数据库，此连接方法可能需要您设置额外的网络组件（例如 Cloud VPN 或反向代理虚拟机）：

专用 IP 连接的要求

此连接方法最适合可从您的 VPC 网络访问专用 IP 地址的来源。 Google Cloud 对于位于 Google Cloud中的自托管源，您可以在 Database Migration Service 中使用 专用连接配置建立直接对等互连连接。对于其他类型的来源，您可能需要额外的网络组件，例如 Cloud VPN 或 反向代理虚拟机（或两者兼有）。

专用 IP 连接需要满足以下条件：

• 您需要 拥有已启用专用服务访问权限的虚拟私有云网络。

  这是您与 Database Migration Service 和源数据库服务器建立对等连接的网络。您需要有足够的空间来为这两个组件分配 IP 范围。

• 对于 Amazon RDS for Oracle：您需要在打算为 Database Migration Service 创建专用连接配置的 VPC 网络中配置 Cloud VPN 或 Cloud Interconnect。如果您无法在同一 VPC 网络中创建专用连接配置，则需要 在 Compute Engine 上设置反向代理虚拟机 (VM)。

使用 VPC 对等互连配置专用 IP 连接

如需将专用 IP 连接与 Virtual Private Cloud 对等互连搭配使用，您必须能够从 Virtual Private Cloud 访问来源数据库的专用 IP。根据您的网络架构，您可能需要使用反向代理虚拟机或 Cloud VPN 等其他组件。

如需详细了解如何为不同的数据库源配置专用 IP 连接，请参阅：

• 对于自托管来源：请参阅 为自托管来源配置专用 IP 连接与虚拟私有云对等连接。

• 对于 Amazon RDS for Oracle：您需要使用 Cloud VPN 或 Cloud Interconnect 创建与源数据库的私有 IP 的连接。请参阅： 为 Amazon RDS 源配置使用虚拟私有云对等连接的专用 IP 连接。

来源网络连接决策树

熟悉所有受支持的来源连接方法及其要求后，您可以按照图表中的问题，为您的场景选择合适的连接方法。

后续步骤

• 了解目标数据库连接。请参阅 用于目标数据库连接的网络方法。

• 如需完整了解分步迁移过程，请参阅 Oracle 到 AlloyDB for PostgreSQL 迁移指南。