Configura la conectividad de red a las fuentes de Amazon RDS for Oracle

En esta página, se describe cómo configurar la conectividad de red a Amazon RDS para fuentes de Oracle para migraciones heterogéneas de Oracle a Cloud SQL para PostgreSQL con Database Migration Service.

Existen tres métodos diferentes que puedes usar para configurar la conectividad de red necesaria para las migraciones desde fuentes de Amazon RDS para Oracle:

Para obtener más información sobre la conectividad de red de la base de datos de origen, consulta la descripción general de los métodos de red de origen.

Configura la conectividad de la lista de IP permitidas

Para usar el método de conectividad de lista de IP permitidas públicas, sigue estos pasos:

  1. En la consola de administración de AWS, sigue estos pasos:
    1. Asegúrate de que tu base de datos de Amazon RDS de origen esté configurada para conexiones de IP públicas.
    2. Identifica el nombre del extremo y el número de puerto. Debes ingresar estos valores cuando crees el perfil de conexión.

    Para obtener más información sobre cómo preparar tu instancia de Amazon RDS for Oracle, consulta Cómo conectarse a tu instancia de la base de datos de Oracle en la documentación de Amazon RDS.

  2. Crea un grupo de seguridad que permita el tráfico del servicio de migración de bases de datos a tu VPC de Amazon RDS. Consulta Cómo crear un grupo de seguridad para proporcionar acceso a tu instancia de base de datos en tu VPC.

    Asegúrate de permitir todas las direcciones IP públicas de Database Migration Service para la región en la que creas el trabajo de migración.

  3. Más adelante, cuando crees el perfil de conexión fuente, haz lo siguiente:
    1. En la sección Define connection details, usa el nombre del extremo de tu instancia para la IP de la base de datos de origen.
    2. En la sección Definir método de conectividad, selecciona Lista de IP permitidas.

Configura la conectividad a través de un túnel SSH de reenvío

Para conectarte a tu base de datos de origen con un túnel de Secure Shell (SSH), sigue estos pasos:

  1. Inicia una instancia de Amazon EC2 para que funcione como un túnel de reenvío de SSH dedicado. Asegúrate de configurarlo en la misma Amazon VPC en la que tienes tu Amazon RDS for Oracle de origen.

    Para obtener más información, consulta Comienza a usar Amazon EC2 en la documentación de Amazon.

  2. Conéctate a tu instancia de EC2 y configura el túnel SSH. Sigue estos pasos:
    1. Crea una cuenta de usuario dedicada y separada para que Database Migration Service se conecte como: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restringe el acceso de la shell a la cuenta de servicio de migración de bases de datos para mejorar la seguridad: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

    3. Decide qué método de autenticación deseas que use Database Migration Service cuando se conecte al túnel.

      Puedes usar una contraseña simple o generar claves SSH en el formato PEM que, luego, podrás subir a Database Migration Service cuando crees el perfil de conexión de origen.

      • Si quieres usar una contraseña, no es necesario que configures nada más. Recuerda la contraseña que creaste para la cuenta de TUNNEL_ACCOUNT_USERNAME.
      • Si deseas usar la autenticación basada en claves, debes generar un par de claves pública y privada. Por ejemplo, puedes usar la utilidad ssh-keygen:
        1. Genera el par de claves: 
              ssh-keygen -m PEM -f YOUR_KEY_NAME
        2. Copia la clave pública (YOUR_KEY_NAME.pub) al directorio ~/.ssh/ en tu servidor de túnel.
        3. Guarda la clave privada. Debes subirlo más adelante a Database Migration Service cuando crees el perfil de conexión de origen.
    4. Edita el archivo /etc/ssh/sshd_config para configurar el túnel de reenvío de SSH para que coincida con los requisitos de tu organización. Recomendamos usar la siguiente configuración: 
      # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
    5. Ejecuta el comando ssh para iniciar el túnel.

      Antes de usar cualquiera de los datos de comando que se muestran a continuación, realiza los siguientes reemplazos:

      • TUNNEL_SERVER_SSH_PORT con el número de puerto en el que el servidor escucha las conexiones SSH.
      • SOURCE_DATABASE_PRIVATE_IP por la dirección IP privada de tu base de datos de origen. El servidor SSH debe poder acceder a esa IP.
      • SOURCE_DATABASE_PORT con el número de puerto en el que tu base de datos de origen escucha las conexiones. El número de puerto predeterminado para las conexiones TCP en Oracle es 1433.
      • USERNAME por el nombre de la cuenta de usuario que ejecutará el túnel. Esta es una cuenta independiente de TUNNEL_ACCOUNT_USERNAME.
      • TUNNEL_SERVER_PUBLIC_IP por la IP pública de tu servidor de túnel SSH. 
      ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  3. Más adelante, cuando crees el perfil de conexión fuente, haz lo siguiente:
    1. En la sección Define connection details, usa el nombre del extremo de tu instancia para la IP de la base de datos de origen.
    2. En la sección Definir método de conectividad, selecciona Túnel de reenvío de SSH.
    3. Proporciona la dirección IP pública o el nombre de host de tu servidor SSH.
    4. Proporciona el puerto que designaste para las conexiones SSH en el servidor de túnel.
    5. Ingresa el nombre de usuario del usuario que creaste para que Database Migration Service se conecte (es decir, el valor de TUNNEL_ACCOUNT_USERNAME).
    6. En el menú desplegable Authentication method, selecciona el método de autenticación que deseas usar con TUNNEL_ACCOUNT_USERNAME:
      • Si deseas usar la contraseña del usuario, selecciona Contraseña y, luego, ingresa la contraseña de TUNNEL_ACCOUNT_USERNAME en el formulario.
      • Si configuraste tu servidor SSH para usar la autenticación basada en claves, selecciona Par de claves pública/privada y sube la clave privada que generaste con el comando ssh-keygen.

Configura la conectividad privada con el intercambio de tráfico de VPC

Para usar la conectividad privada con fuentes de Amazon RDS para Oracle, debes tener una Cloud VPN o Cloud Interconnect configurada en la misma red de VPC en la que deseas crear la configuración de conectividad privada para Database Migration Service. Si no puedes crear la configuración de conectividad privada en la red de VPC en la que tienes tu Cloud VPN o Cloud Interconnect, también necesitas una máquina virtual (VM) de proxy inverso en Compute Engine para establecer la conexión.

Si no puedes usar Cloud VPN o Cloud Interconnect, te recomendamos que uses los métodos de conectividad del túnel de reenvío de SSH o la lista de entidades permitidas de IP.

Para usar la conectividad privada con el intercambio de tráfico entre VPC y Cloud VPN, sigue estos pasos:

  1. Configura la conectividad directa con Cloud VPN a tu instancia de Amazon RDS para PostgreSQL.

    Para obtener más información, consulta Crea conexiones de VPN con alta disponibilidad entre Google Cloud y AWS en la documentación de Cloud VPN.

  2. Opcional: Si no puedes crear la configuración de conectividad privada en la misma red de VPC en la que tienes la VPN de Cloud, crea una máquina virtual (VM) de proxy inverso en Compute Engine para reenviar las conexiones entre las VPC.
  3. En Database Migration Service, crea una configuración de conectividad privada para establecer un intercambio de tráfico con la red de VPC en la que tienes tu VPN de Cloud.
  4. Más adelante, cuando crees el perfil de conexión fuente, haz lo siguiente:
    1. En la sección Define connection details, ingresa la IP privada de tu instancia de Amazon RDS de origen.
    2. En la sección Definir método de conectividad, selecciona Conectividad privada (intercambio de tráfico entre VPC).
    3. En el menú desplegable, selecciona la configuración de conectividad privada que creaste en el paso anterior.