Configurer la connectivité réseau aux sources Oracle auto-hébergées

Cette page explique comment configurer la connectivité réseau vers des sources Oracle auto-hébergées pour les migrations hétérogènes Oracle vers Cloud SQL pour PostgreSQL avec Database Migration Service.

Vous pouvez utiliser trois méthodes différentes pour configurer la connectivité réseau nécessaire aux migrations à partir de sources Oracle auto-hébergées:

Configurer la connectivité de la liste d'autorisation d'adresses IP

Pour utiliser la méthode de connectivité de liste d'autorisation d'adresses IP publiques, procédez comme suit:

  1. Assurez-vous que votre base de données source dispose d'une adresse IP accessible depuis Internet public. Vous n'avez pas besoin d'utiliser l'adresse IP pour vous connecter. Si vous avez un enregistrement DNS associé à l'adresse IP, vous pouvez l'utiliser à la place.
  2. Créez une règle de pare-feu entrante sur votre serveur de base de données source pour accepter les connexions de Database Migration Service. Utilisez la configuration suivante :
    1. Pour le type de règle, utilisez port.
    2. Pour la plage d'adresses IP autorisées, ajoutez toutes les adresses IP publiques de Database Migration Service pour la région dans laquelle vous créez la tâche de migration.
    3. Définissez le protocole sur TCP.
    4. Définissez le numéro de port associé à la règle sur le port sur lequel votre base de données source écoute les connexions entrantes. Il s'agit du même numéro de port que celui que vous devez saisir dans le profil de connexion source.

      Le serveur Oracle utilise par défaut le port 1521.

    Les étapes de configuration des règles de pare-feu varient en fonction du logiciel de serveur que vous utilisez. Pour en savoir plus, consultez la documentation de votre produit de pare-feu.

  3. À un stade ultérieur, lorsque vous créez le profil de connexion source, dans la section Définir une méthode de connectivité, sélectionnez Liste d'autorisation d'adresses IP.

Configurer la connectivité via un tunnel SSH de transfert

Pour vous connecter à votre base de données source via un tunnel Secure Shell (SSH), procédez comme suit:

  1. Créez une machine virtuelle (VM) pouvant ouvrir le tunnel entre Database Migration Service et votre base de données source. Le serveur du tunnel peut être un hôte Unix/Linux qui :
    • Est accessible depuis l'Internet public via SSH.
    • peut accéder à l'adresse IP privée de votre base de données source ;

  2. Sur le serveur SSH, créez un compte utilisateur que Database Migration Service peut utiliser pour se connecter au tunnel SSH.

    Par exemple, sur un système Ubuntu, vous pouvez utiliser les commandes suivantes:

    1. Créez un compte utilisateur: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Pour renforcer la sécurité, limitez l'accès au shell pour le compte utilisateur: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Déterminez la méthode d'authentification que vous souhaitez que Database Migration Service utilise lors de la connexion au tunnel.

    Vous pouvez utiliser un mot de passe ou générer des clés SSH au format PEM que vous pourrez ensuite importer dans Database Migration Service lorsque vous créerez le profil de connexion source.

    • Si vous souhaitez utiliser un mot de passe, vous n'avez rien d'autre à configurer. N'oubliez pas le mot de passe que vous avez créé pour le compte TUNNEL_ACCOUNT_USERNAME.
    • Si vous souhaitez utiliser l'authentification par clé, vous devez générer une paire de clés privée/publique. Par exemple, vous pouvez utiliser l'utilitaire ssh-keygen :
      1. Générez la paire de clés: 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Copiez la clé publique (YOUR_KEY_NAME.pub) dans le répertoire ~/.ssh/ de votre serveur de tunnel.
      3. Enregistrez la clé privée. Vous devrez l'importer ultérieurement dans Database Migration Service lorsque vous créerez le profil de connexion source.
  4. Modifiez le fichier /etc/ssh/sshd_config pour configurer le tunnel SSH avant en fonction des exigences de votre organisation. Nous vous recommandons d'utiliser les paramètres suivants: 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Exécutez la commande ssh pour démarrer le tunnel.

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants:

    • TUNNEL_SERVER_SSH_PORT par le numéro de port sur lequel votre serveur écoute les connexions SSH.
    • SOURCE_DATABASE_PRIVATE_IP par l'adresse IP privée de votre base de données source. Le serveur SSH doit pouvoir accéder à cette adresse IP.
    • SOURCE_DATABASE_PORT avec le numéro de port sur lequel votre base de données source écoute les connexions. Le numéro de port par défaut pour les connexions TCP sur Oracle est 1433.
    • USERNAME avec le nom du compte utilisateur qui exécutera le tunnel. Il s'agit d'un compte distinct de TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP par l'adresse IP publique de votre serveur de tunnel SSH. 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Créez une règle de pare-feu entrante sur votre tunnel SSH pour accepter les connexions provenant des adresses IP publiques de Database Migration Service pour la région dans laquelle vous créez la tâche de migration.
  7. À un stade ultérieur, lorsque vous créez le profil de connexion source, procédez comme suit :
    1. Dans la section Définir les détails de connexion, saisissez l'adresse IP privée de votre instance Oracle source.
    2. Dans la section Définir la méthode de connectivité, sélectionnez Tunnel SSH de transfert.
    3. Indiquez l'adresse IP publique ou le nom d'hôte de votre serveur SSH.
    4. Indiquez le port que vous avez désigné pour les connexions SSH sur le serveur du tunnel.
    5. Saisissez le nom d'utilisateur de l'utilisateur que vous avez créé pour Database Migration Service pour vous connecter (c'est-à-dire la valeur de TUNNEL_ACCOUNT_USERNAME).
    6. Dans le menu déroulant Méthode d'authentification, sélectionnez la méthode d'authentification que vous souhaitez utiliser avec l'utilisateur TUNNEL_ACCOUNT_USERNAME :

Configurer une connectivité privée avec l'appairage VPC

Cette méthode de connectivité nécessite que l'adresse IP ou le nom d'hôte de votre base de données source soit accessible depuis votre VPC. Google Cloud Les sources auto-hébergées qui se trouvent dans des réseaux externes Google Cloudpeuvent nécessiter l'utilisation de composants réseau supplémentaires tels que Cloud VPN ou Cloud Interconnect.

Pour les sources auto-hébergées dans Google Cloud

Pour utiliser la connectivité privée avec l'appariement de cloud privé virtuel pour une base de données Oracle source hébergée sur une VM Compute Engine, procédez comme suit:

  1. Assurez-vous que le réseau cloud privé virtuel auquel une adresse IP est attribuée à votre VM est configuré pour l'accès aux services privés. Pour en savoir plus, consultez la page Configurer l'accès aux services privés.
  2. Dans Database Migration Service, créez une configuration de connectivité privée pour appairer avec le réseau VPC où votre base de données Oracle est hébergée sur une VM Compute Engine.
  3. À un stade ultérieur, lorsque vous créez le profil de connexion source, procédez comme suit :
    1. Dans la section Définir les détails de la connexion, saisissez l'adresse IP de la VM Compute Engine sur laquelle vous hébergez la base de données Oracle.

      Vous pouvez afficher l'adresse IP de la VM dans la console Google Cloud.

    2. Dans la section Définir la méthode de connectivité, sélectionnez Connectivité privée (appairage de VPC).
    3. Dans le menu déroulant, sélectionnez la configuration de connectivité privée que vous avez créée à l'étape précédente.

Pour les sources auto-hébergées en dehors de Google Cloud

Pour utiliser la connectivité privée avec l'appariement Virtual Private Cloud pour une base de données source Oracle auto-hébergée qui se trouve sur un réseau en dehors deGoogle Cloud, procédez comme suit:

  1. Configurez une connectivité directe avec Cloud VPN vers votre source Oracle.

    Selon votre architecture réseau, vous devrez peut-être configurer des passerelles VPN supplémentaires dans votre système. Pour en savoir plus, consultez la section Créer une passerelle VPN haute disponibilité vers une passerelle VPN de pair dans la documentation Cloud VPN.

  2. Facultatif: Si vous ne pouvez pas créer la configuration de connectivité privée dans le même réseau VPC que le Cloud VPN, créez une VM proxy inverse sur Compute Engine pour transférer les connexions entre les VPC.
  3. Dans Database Migration Service, créez une configuration de connectivité privée pour appairer avec le réseau VPC sur lequel se trouve votre VPN Cloud.
  4. À un stade ultérieur, lorsque vous créez le profil de connexion source, procédez comme suit :
    1. Dans la section Définir les détails de connexion, saisissez l'adresse IP privée de votre source Oracle.
    2. Dans la section Définir la méthode de connectivité, sélectionnez Connectivité privée (appairage de VPC).
    3. Dans le menu déroulant, sélectionnez la configuration de connectivité privée que vous avez créée à l'étape précédente.

Étape suivante