Configurar a conectividade de rede para as origens do Amazon RDS para Oracle

Esta página descreve como configurar a conectividade de rede para origens do Amazon RDS para Oracle para migrações heterogêneas do Oracle para o Cloud SQL para PostgreSQL com o Database Migration Service.

Há três métodos diferentes que podem ser usados para configurar a conectividade de rede necessária para migrações de origens do Amazon RDS para Oracle:

Para saber mais sobre a conectividade de rede do banco de dados de origem, consulte a Visão geral dos métodos de rede de origem.

Configurar a conectividade da lista de permissões de IP

Para usar o método de conectividade da lista de permissões de IP público, siga estas etapas:

  1. No console de gerenciamento da AWS, siga estas etapas:
    1. Verifique se o banco de dados de origem do Amazon RDS está configurado para conexões IP públicas.
    2. Identifique o nome do endpoint e o número da porta. É necessário inserir esses valores ao criar o perfil de conexão.

    Para mais informações sobre como preparar a instância do Amazon RDS para Oracle, consulte Como se conectar à instância do Oracle DB na documentação do Amazon RDS.

  2. Crie um grupo de segurança que permita o tráfego do Database Migration Service para sua VPC do Amazon RDS. Consulte Crie um grupo de segurança para fornecer acesso à sua instância de banco de dados na VPC.

    Permita todos os endereços IP públicos do Database Migration Service para a região em que você cria o job de migração.

  3. Em uma fase posterior, ao criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Define connection details, use o nome do endpoint da instância para o IP do banco de dados de origem.
    2. Na seção Definir método de conectividade, selecione Lista de permissões de IP.

Configurar a conectividade em um túnel SSH encaminhado

Para se conectar ao banco de dados de origem com um túnel Secure Shell (SSH), siga estas etapas:

  1. Inicie uma instância do Amazon EC2 para servir como um túnel SSH de encaminhamento dedicado. Configure-o na mesma VPC do Amazon onde você tem o Amazon RDS para Oracle de origem.

    Para mais informações, consulte Introdução ao Amazon EC2 na documentação da Amazon.

  2. Conecte-se à sua instância do EC2 e configure o túnel SSH. Siga estas etapas:
    1. Crie uma conta de usuário separada e dedicada para que o Database Migration Service se conecte como: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restringir o acesso ao shell para a conta do Database Migration Service para aumentar a segurança: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

    3. Decida qual método de autenticação você quer que o Database Migration Service use ao se conectar ao túnel.

      É possível usar uma senha simples ou gerar chaves SSH no formato PEM para fazer upload posteriormente no Database Migration Service ao criar o perfil de conexão de origem.

      • Se você quiser usar uma senha, não será necessário configurar nada além disso. Lembre-se da senha que você criou para a conta TUNNEL_ACCOUNT_USERNAME.
      • Se você quiser usar a autenticação baseada em chave, será necessário gerar um par de chaves pública e privada. Por exemplo, use o utilitário ssh-keygen:
        1. Gere o par de chaves: 
              ssh-keygen -m PEM -f YOUR_KEY_NAME
        2. Copie a chave pública (YOUR_KEY_NAME.pub) para o diretório ~/.ssh/ no servidor do túnel.
        3. Salve a chave privada. Você precisará fazer upload dele mais tarde no Database Migration Service ao criar o perfil de conexão de origem.
    4. Edite o arquivo /etc/ssh/sshd_config para configurar o túnel de encaminhamento SSH para corresponder aos requisitos da sua organização. Recomendamos usar as seguintes configurações: 
      # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
    5. Execute o comando ssh para iniciar o túnel.

      Antes de usar os dados do comando abaixo, faça as seguintes substituições:

      • TUNNEL_SERVER_SSH_PORT com o número da porta em que o servidor está detectando conexões SSH.
      • SOURCE_DATABASE_PRIVATE_IP pelo endereço IP particular do banco de dados de origem. O servidor SSH precisa conseguir acessar esse IP.
      • SOURCE_DATABASE_PORT com o número da porta em que o banco de dados de origem está detectando conexões. O número de porta padrão para conexões TCP no Oracle é 1433.
      • USERNAME com o nome da conta de usuário que vai executar o túnel. Essa é uma conta separada de TUNNEL_ACCOUNT_USERNAME.
      • TUNNEL_SERVER_PUBLIC_IP com o IP público do servidor de túnel SSH. 
      ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  3. Em uma fase posterior, ao criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Define connection details, use o nome do endpoint da instância para o IP do banco de dados de origem.
    2. Na seção Definir método de conectividade, selecione Túnel SSH de encaminhamento.
    3. Informe o endereço IP público ou o nome do host do servidor SSH.
    4. Informe a porta que você designou para as conexões SSH no servidor de túnel.
    5. Insira o nome de usuário do usuário que você criou para o Database Migration Service se conectar (ou seja, o valor de TUNNEL_ACCOUNT_USERNAME).
    6. No menu suspenso Método de autenticação, selecione o método de autenticação que você quer usar com TUNNEL_ACCOUNT_USERNAME:
      • Se você quiser usar a senha do usuário, selecione Senha e digite a senha TUNNEL_ACCOUNT_USERNAME no formulário.
      • Se você configurou o servidor SSH para usar a autenticação baseada em chave, selecione Par de chaves privada/pública e faça upload da chave privada que você gerou com o comando ssh-keygen.

Configurar a conectividade particular com o peering de VPC

Para usar a conectividade particular com origens do Amazon RDS para Oracle, é necessário ter uma VPN do Cloud ou um Cloud Interconnect configurados na mesma rede VPC em que você pretende criar a configuração de conectividade particular para o Database Migration Service. Se não for possível criar a configuração de conectividade particular na rede VPC em que você tem o Cloud VPN ou o Cloud Interconnect, também será necessário ter uma máquina virtual (VM) de proxy reverso no Compute Engine para estabelecer a conexão.

Se não for possível usar o Cloud VPN ou o Cloud Interconnect, recomendamos o uso do túnel de encaminhamento SSH ou dos métodos de conectividade da lista de permissões de IP.

Para usar a conectividade particular com o peering de VPC e a Cloud VPN, siga estas etapas:

  1. Configure a conectividade direta com a Cloud VPN para sua instância do Amazon RDS para PostgreSQL.

    Para mais informações, consulte Criar conexões de VPN de alta disponibilidade entre o Google Cloud e a AWS na documentação do Cloud VPN.

  2. Opcional: se não for possível criar a configuração de conectividade particular na mesma rede VPC em que você tem a Cloud VPN, crie uma máquina virtual (VM) de proxy reverso no Compute Engine para encaminhar as conexões entre as VPCs.
  3. No Database Migration Service, crie uma configuração de conectividade particular para fazer peering com a rede VPC em que você tem a Cloud VPN.
  4. Em uma fase posterior, ao criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Define connection details, insira o IP privado da sua instância de origem do Amazon RDS.
    2. Na seção Definir método de conectividade, selecione Conectividade privada (peering de VPC).
    3. No menu suspenso, selecione a configuração de conectividade privada criada na etapa anterior.