Questa pagina descrive come configurare la connettività di rete ad Amazon RDS per le origini Oracle per le migrazioni eterogenee da Oracle a Cloud SQL per PostgreSQL con Database Migration Service.
Esistono tre diversi metodi che puoi utilizzare per configurare la connettività di rete necessaria per le migrazioni da origini Amazon RDS per Oracle:
- Lista consentita di IP pubblici
- Tunnel SSH di forwarding
- Richiede Cloud VPN o Cloud Interconnect: Connettività IP privata con peering Virtual Private Cloud
Per scoprire di più sulla connettività di rete del database di origine, consulta Panoramica dei metodi di connettività di rete di origine.
Configurare la connettività della lista consentita IP
Per utilizzare il metodo di connettività della lista consentita IP pubblico:
- Nella Console di gestione AWS, svolgi i seguenti passaggi:
- Assicurati che il database Amazon RDS di origine sia configurato per le connessioni IP pubblico.
- Identifica il nome e il numero di porta dell'endpoint. Devi inserire questi valori quando crei il profilo di connessione.
Per saperne di più sulla preparazione dell'istanza Amazon RDS for Oracle, consulta Collegarsi all'istanza di database Oracle nella documentazione di Amazon RDS.
Crea un gruppo di sicurezza che consenta il traffico da Database Migration Service alla tua VPC Amazon RDS. Consulta Fornire l'accesso all'istanza DB nella VPC creando un gruppo di sicurezza.
Assicurati di consentire tutti gli indirizzi IP pubblici di Database Migration Service per la regione in cui crei il job di migrazione.
- In un secondo momento, quando
crei il profilo di connessione di origine, procedi nel seguente modo:
- Nella sezione Definire i dettagli di connessione, utilizza il nome dell'endpoint dell'istanza per l'IP del database di origine.
- Nella sezione Definisci metodo di connettività, seleziona Lista consentita IP.
Configurare la connettività tramite un tunnel SSH di forwarding
Per connetterti al database di origine con un tunnel Secure Shell (SSH), segui questi passaggi:
-
Avvia un'istanza Amazon EC2 da utilizzare come tunnel SSH di forwarding dedicato. Assicurati di configurarlo nella stessa VPC Amazon in cui hai la tua origine Amazon RDS per Oracle.
Per ulteriori informazioni, consulta la sezione Introduzione ad Amazon EC2 nella documentazione di Amazon.
-
Connettiti all'istanza EC2 e configura il tunnel SSH.
Procedi nel seguente modo:
- Crea un account utente dedicato e separato a cui Database Migration Service deve collegarsi come segue:
adduser TUNNEL_ACCOUNT_USERNAME - Limita l'accesso alla shell per l'account Database Migration Service per
migliorare la sicurezza:
usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME
Decidi quale metodo di autenticazione vuoi che Database Migration Service utilizzi durante la connessione al tunnel.
Puoi utilizzare una semplice password o generare chiavi SSH nel formato
PEMche potrai caricare in un secondo momento su Database Migration Service quando crei il profilo di connessione di origine.- Se vuoi utilizzare una password, non devi configurare altro. Ricorda la password che hai creato per l'account TUNNEL_ACCOUNT_USERNAME.
- Se vuoi utilizzare l'autenticazione basata su chiavi, devi generare
una coppia di chiavi pubblica-privata. Ad esempio, puoi utilizzare l'utilità
ssh-keygen:- Genera la coppia di chiavi:
ssh-keygen -m PEM -f YOUR_KEY_NAME
- Copia la chiave pubblica (
YOUR_KEY_NAME.pub) nella directory~/.ssh/sul server del tunnel. - Salva la chiave privata. Dovrai caricarlo in un secondo momento in Database Migration Service quando crei il profilo di connessione di origine.
- Genera la coppia di chiavi:
- Modifica il file
/etc/ssh/sshd_configper configurare il tunnel forward-SSH in base alle esigenze della tua organizzazione. Ti consigliamo di utilizzare le seguenti impostazioni:# Only allow the Database Migration Service user to connect. AllowUsers TUNNEL_ACCOUNT_USERNAME # Send keep-alive packets every 60 seconds to ensure that # the tunnel doesn't close during the migration ServerAliveInterval=60 # Optional: Force key-based authentication PasswordAuthentication no # Enables Database Migration Service to connect from a different host PermitTunnel yes GatewayPorts yes
- Esegui il comando
sshper avviare il tunnel.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- TUNNEL_SERVER_SSH_PORT con il numero di porta su cui il server è in ascolto per le connessioni SSH.
- SOURCE_DATABASE_PRIVATE_IP con l'indirizzo IP privato del database di origine. Il server SSH deve essere in grado di raggiungere quell'IP.
- SOURCE_DATABASE_PORT con il numero di porta
su cui il database di origine è in ascolto per le connessioni. Il numero di porta predefinito per le connessioni TCP su Oracle è
1433. - USERNAME con il nome dell'account utente che eseguirà il tunnel. Si tratta di un account distinto da TUNNEL_ACCOUNT_USERNAME.
- TUNNEL_SERVER_PUBLIC_IP con l'IP pubblico del server del tunnel SSH.
ssh -N -L \ TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \ USERNAME@TUNNEL_SERVER_PUBLIC_IP
- Crea un account utente dedicato e separato a cui Database Migration Service deve collegarsi come segue:
- In un secondo momento, quando
crei il profilo di connessione di origine, procedi nel seguente modo:
- Nella sezione Definire i dettagli di connessione, utilizza il nome dell'endpoint dell'istanza per l'IP del database di origine.
- Nella sezione Definisci metodo di connettività, seleziona Tunnel SSH di forwarding.
- Fornisci l'indirizzo IP pubblico o il nome host del tuo server SSH.
- Specifica la porta designata per le connessioni SSH sul server del tunnel.
- Inserisci il nome utente con cui l'utente che hai creato per Database Migration Service deve connettersi (ovvero il valore di TUNNEL_ACCOUNT_USERNAME).
- Nel menu a discesa Authentication method (Metodo di autenticazione), seleziona
il metodo di autenticazione che vuoi utilizzare con TUNNEL_ACCOUNT_USERNAME:
- Se vuoi utilizzare la password dell'utente, seleziona Password e inserisci la password TUNNEL_ACCOUNT_USERNAME nel modulo.
- Se hai configurato il server SSH in modo da utilizzare l'autenticazione basata su chiavi,
seleziona Coppia di chiavi privata/pubblica e carica la chiave privata
generata con il comando
ssh-keygen.
Configurare la connettività privata con il peering VPC
Per utilizzare la connettività privata con Amazon RDS per le origini Oracle, devi avere una VPN Cloud VPN o Cloud Interconnect configurata nella stessa rete VPC in cui intendi creare la configurazione di connettività privata per Database Migration Service. Se non riesci a creare la configurazione della connettività privata nella rete VPC in cui hai Cloud VPN o Cloud Interconnect, è necessaria anche una macchina virtuale (VM) di reverse proxy su Compute Engine per stabilire la connessione.
Se non puoi utilizzare Cloud VPN o Cloud Interconnect, ti consigliamo di utilizzare il tunnel SSH di forwarding o la lista consentita di IP come metodi di connettività.
Per utilizzare la connettività privata con il peering VPC e Cloud VPN, segui questi passaggi:
-
Configura la connettività diretta con Cloud VPN all'istanza Amazon RDS per PostgreSQL.
Per ulteriori informazioni, consulta Creare connessioni VPN ad alta disponibilità tra Google Cloud e AWS nella documentazione di Cloud VPN.
- (Facoltativo) Se non riesci a creare la configurazione della connettività privata nella stessa rete VPC in cui hai la VPN cloud, crea una macchina virtuale (VM) di reverse proxy su Compute Engine per inoltrare le connessioni tra i VPC.
- In Database Migration Service, crea una configurazione di connettività privata per il peering con la rete VPC in cui si trova la tua VPN Cloud.
- In un secondo momento, quando
crei il profilo di connessione di origine, procedi nel seguente modo:
- Nella sezione Definire i dettagli di connessione, inserisci l'IP privato dell'istanza Amazon RDS di origine.
- Nella sezione Definisci metodo di connettività, seleziona Connettività privata (peering VPC).
- Dal menu a discesa, seleziona la configurazione di connettività privata creata nel passaggio precedente.