Metodi di networking per la connettività del database di origine

Per spostare i dati dal server del database di origine all'istanza Cloud SQL per PostgreSQL di destinazione, Database Migration Service deve connettersi all'istanza di origine. Questa connessione può essere stabilita tramite internet pubblico o tramite una serie di connessioni private nel Virtual Private Cloud (VPC) del progetto.

Questa pagina fornisce una panoramica di ogni metodo di connettività del database di origine disponibile, nonché una sezione di consigli per aiutarti a scegliere la soluzione giusta per la migrazione:

Dopo aver preso dimestichezza con i diversi metodi di connettività e i relativi requisiti, puoi utilizzare il diagramma di albero decisionale per scegliere la soluzione giusta per il tuo scenario.

Confronto dei metodi

Ogni metodo di connettività presenta vantaggi e requisiti diversi. Utilizza la seguente tabella per confrontarli a colpo d'occhio e poi scopri di più nelle sezioni dedicate a ciascun metodo.

Metodo di networking Vantaggi Svantaggi
Lista consentita di IP
  • Il metodo di connettività più semplice da configurare.
  • È utile quando il database di origine non può essere raggiunto tramite reti private in Google Cloud.
  • Richiede di esporre un indirizzo IPv4 del server del database di origine alla rete internet pubblica. Questa operazione richiede misure di sicurezza aggiuntive. Ad esempio, ti consigliamo di utilizzare i certificati TLS e le regole del firewall per proteggere la connessione.
  • La configurazione delle regole del firewall potrebbe richiedere l'assistenza del reparto IT.
  • Database Migration Service non supporta la connettività diretta ai database che utilizzano la funzionalità SCAN (Single Client Access Name) negli ambienti Oracle Real Application Clusters (RAC). Per potenziali soluzioni all'utilizzo della connettività della lista consentita IP pubblico con questi ambienti, consulta Risolvere gli errori di Oracle SCAN.
Tunnel SSH di forwarding

  • Più sicura della connessione tramite IP pubblico con una lista consentita IP.

    La connessione iniziale viene stabilita tramite le porte Secure Shell (SSH) sulla rete internet pubblica. Una volta attivata la connessione, tutto il traffico passa attraverso una connessione privata e sicura.

  • È utile quando il database di origine non può essere raggiunto tramite reti private in Google Cloud, ma non vuoi esporre il server del database di origine direttamente alla rete internet pubblica.
  • L'utilizzo di un server intermedio (la macchina del tunnel SSH di forwarding) per la connettività potrebbe introdurre ulteriore latenza.
  • Devi configurare e gestire il server host forward-ssh. Il server deve essere online per tutta la durata della migrazione.
Connettività privata con il peering Virtual Private Cloud
  • La connessione viene stabilita con l'indirizzo IP privato del database di origine.
  • Questo metodo di connettività è più adatto per le origini il cui indirizzo IP privato può essere raggiunto dalla tua Google Cloud rete VPC.

Lista consentita IP per la connettività del database di origine

Quando utilizzi il metodo di connettività della lista consentita di IP, Database Migration Service tenta di stabilire una connessione a un indirizzo IP disponibile pubblicamente del server del database di origine.

Requisiti per la connettività con la lista consentita IP

In linea generale, per utilizzare questo metodo di connettività devi assicurarti di quanto segue:

  • Devi esporre l'indirizzo IP dell'origine alla rete internet pubblica (direttamente o con un nome host riconosciuto pubblicamente tramite un server dei nomi (DNS)).

  • Database Migration Service non supporta la connettività diretta ai database che utilizzano la funzionalità SCAN (Single Client Access Name) negli ambienti Oracle Real Application Clusters (RAC). Per potenziali soluzioni all'utilizzo della connettività della lista consentita IP pubblico con questi ambienti, consulta Risolvere gli errori di Oracle SCAN.

  • Devi consentire le connessioni in entrata dagli indirizzi IP pubblici di Database Migration Service.

  • (Facoltativo) La connettività con lista consentita IP utilizza per impostazione predefinita connessioni non criptate. Ti consigliamo di utilizzare i certificati TLS per proteggere la connessione. Database Migration Service offre il supporto di diversi tipi di TLS, in modo da poter scegliere la soluzione migliore in base a ciò che supporta il tuo database di origine. Per ulteriori informazioni, consulta Utilizzare i certificati SSL/TLS per criptare le connessioni di rete.

Configurare la connettività della lista consentita IP

La configurazione della connettività IP pubblica richiede passaggi diversi a seconda del tipo di database di origine. Per ulteriori informazioni, vedi:

Tunnel SSH di forwarding per la connettività del database di origine

Questo metodo di connettività è una combinazione di connettività di rete pubblica e privata. La connessione stessa viene stabilita tramite le porte Secure Shell (SSH) all'indirizzo IP pubblico del server host del tunnel. Una volta attivata la connessione, tutto il traffico passa attraverso un tunnel sicuro all'indirizzo IP privato del database di origine.

Un diagramma di rete che mostra una configurazione di connettività di alto livello su un server di tunnel SSH dedicato.
Figura 2. Esempio di rete di migrazione: connettività di origine tramite un tunnel SSH. (fai clic per ingrandire)
Un diagramma di rete che mostra una configurazione di connettività di alto livello su un server di tunnel SSH dedicato.

Requisiti per i tunnel SSH di forwarding

Per creare la connessione, devi esporre le porte SSH all'internet pubblico sul server del tunnel. Una volta stabilita la connettività, tutto il traffico viene instradato tramite la connessione del tunnel privato.

È possibile terminare il tunnel sullo stesso server su cui ospiti il database di origine, ma ti consigliamo di utilizzare un server del tunnel dedicato. In questo modo, non esponi il database di origine direttamente alla rete internet pubblica. Il server del tunnel può essere qualsiasi host Unix o Linux raggiungibile da internet tramite SSH e che può accedere al database di origine.

Per determinati scenari di connettività, ti consigliamo di utilizzare il metodo di networking con connettività privata con peering Virtual Private Cloud instead of a forward-SSH tunnel:

  • Per le origini self-hosted all'interno di Google Cloud, Database Migration Service può accedere all'IP privato del database di origine con la configurazione della connettività privata. Non è necessario configurare un server SSH separato per stabilire la connessione.

Configura la connettività del tunnel SSH di forwarding

La configurazione della connettività tramite un tunnel SSH di forwarding richiede passaggi diversi, a seconda del tipo di database di origine. Per ulteriori informazioni, vedi:

Connettività privata con peering VPC

Questo metodo ti consente di connetterti all'origine tramite gli indirizzi IP privati nel tuo Virtual Private Cloud (VPC). Per utilizzare questo metodo non è necessario esporre interfacce all'internet pubblico, ma è necessario che l'indirizzo IP o il nome host del database di origine sia raggiungibile dalla tua Google Cloud VPC.

A seconda del database di origine di cui disponi, questo metodo di connettività potrebbe richiedere la configurazione di componenti di rete aggiuntivi (ad esempio Cloud VPN o una VM reverse proxy):

Un diagramma di rete che mostra una configurazione di connettività di alto livello su un server di tunnel SSH dedicato.
Figura 3. Esempio di rete di migrazione: connettività delle origini IP private con il peering Virtual Private Cloud e la VPN Cloud per le origini gestite esterne Google Cloud. (fai clic per ingrandire)
Un diagramma di rete che mostra una configurazione di connettività di alto livello su un server di tunnel SSH dedicato.

Requisiti per la connettività IP privato

Questo metodo di connettività è ideale per le origini il cui indirizzo IP privato può essere raggiunto dalla tua rete VPC. Google Cloud Per le origini self-hosted che si trovano in Google Cloud, puoi stabilire connessioni in peering diretto con una configurazione di connettività privata in Database Migration Service. Per altri tipi di origini, potresti aver bisogno di componenti di rete aggiuntivi, come Cloud VPN o una VM reverse proxy (o entrambi).

La connettività IP privato richiede quanto segue:

Configurare la connettività IP privata con il peering VPC

Per utilizzare la connettività IP privato con il peering Virtual Private Cloud, l'IP privato del database di origine deve essere raggiungibile dal tuo Virtual Private Cloud. A seconda dell'architettura della rete, potrebbe essere necessario utilizzare componenti aggiuntivi come una VM reverse proxy o Cloud VPN.

Per scoprire di più sulla configurazione della connettività IP privata per diverse origini database, consulta:

Albero decisionale per la connettività di rete di origine

Una volta che hai familiarità con tutti i metodi di connettività delle origini supportati e con i relativi requisiti, puoi seguire le domande nel diagramma per scegliere il metodo di connettività più adatto al tuo scenario.

Un diagramma di albero decisionale con domande guida per aiutarti a scegliere il metodo di connettività giusto.
Figura 4. Albero decisionale per la connettività di rete di origine. (fai clic per ingrandire)

Passaggi successivi