Configura la connettività di rete alle origini Oracle self-hosted

Questa pagina descrive come configurare la connettività di rete alle origini Oracle self-hosted per le migrazioni eterogene da Oracle ad AlloyDB per PostgreSQL con Database Migration Service.

Esistono tre metodi diversi che puoi utilizzare per configurare la connettività di rete necessaria per le migrazioni da origini Oracle self-hosted:

Configurare la connettività della lista consentita IP

Per utilizzare il metodo di connettività della lista consentita IP pubblici:

  1. Assicurati che il database di origine abbia un indirizzo IP raggiungibile da internet pubblica. Non devi utilizzare l'indirizzo IP per connetterti. Se hai un record DNS associato all'IP, puoi utilizzarlo.
  2. Crea una regola firewall in entrata sul server del database di origine per accettare connessioni da Database Migration Service. Utilizza la seguente configurazione:
    1. Per il tipo di regola, utilizza port.
    2. Per l'intervallo di indirizzi IP consentiti, aggiungi tutti gli indirizzi IP pubblici di Database Migration Service per la regione in cui crei il job di migrazione.
    3. Imposta il protocollo su TCP.
    4. Imposta il numero di porta associato alla regola sulla porta in cui il database di origine è in ascolto delle connessioni in entrata. Questo è lo stesso numero di porta che devi inserire nel profilo di connessione di origine.

      Per impostazione predefinita, il server Oracle utilizza la 1521 porta.

    I passaggi per la configurazione delle regole firewall variano a seconda del software del server in uso. Per ulteriori informazioni, consulta la documentazione del prodotto firewall.

  3. In una fase successiva, quando crei il profilo di connessione di origine, nella sezione Definisci metodo di connettività, seleziona Lista consentita IP.

Configurare la connettività tramite un tunnel SSH di forwarding

Per connetterti al database di origine con un tunnel Secure Shell (SSH):

  1. Crea una macchina virtuale (VM) in grado di aprire il tunnel tra Database Migration Service e il database di origine. Il server del tunnel può essere costituito da un host Unix/Linux che sia:
    • Accessibile da internet pubblico tramite SSH.
    • In grado di accedere all'indirizzo IP privato del database di origine.

  2. Sul server SSH, crea un account utente che Database Migration Service possa utilizzare per connettersi al tunnel SSH.

    Ad esempio, su un sistema Ubuntu, puoi utilizzare i seguenti comandi:

    1. Crea un account utente: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Limita l'accesso alla shell per l'account utente per migliorare la sicurezza: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Decidi quale metodo di autenticazione vuoi che Database Migration Service utilizzi per la connessione al tunnel.

    Puoi utilizzare una password o generare chiavi SSH in formato PEM che potrai caricare in un secondo momento in Database Migration Service quando crei il profilo di connessione di origine.

    • Se vuoi utilizzare una password, non devi configurare altro. Ricorda la password che hai creato per l' TUNNEL_ACCOUNT_USERNAME account.
    • Se vuoi utilizzare l'autenticazione basata su chiavi, devi generare a coppia di chiavi privata-pubblica. Ad esempio, puoi utilizzare l'utilità ssh-keygen :
      1. Genera la coppia di chiavi: 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Copia la chiave pubblica (YOUR_KEY_NAME.pub) nella ~/.ssh/ directory sul server del tunnel.
      3. Salva la chiave privata. Dovrai caricarla in un secondo momento in Database Migration Service quando crei il profilo di connessione di origine.
  4. Modifica il file /etc/ssh/sshd_config per configurare il tunnel SSH di forwarding in modo che soddisfi i requisiti della tua organizzazione. Ti consigliamo di utilizzare le seguenti impostazioni: 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Esegui il comando ssh per avviare il tunnel.

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • TUNNEL_SERVER_SSH_PORT con il numero di porta in cui il server è in ascolto delle connessioni SSH.
    • SOURCE_DATABASE_PRIVATE_IP con l'indirizzo IP privato del database di origine. Il server SSH deve essere in grado di raggiungere questo IP.
    • SOURCE_DATABASE_PORT con il numero di porta in cui il database di origine è in ascolto delle connessioni. Il numero di porta predefinito per le connessioni TCP su Oracle è 1433.
    • USERNAME con il nome dell'account utente che eseguirà il tunnel. Si tratta di un account separato da TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP con l'IP pubblico del server del tunnel SSH. 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Crea una regola firewall in entrata sul tunnel SSH per accettare connessioni da indirizzi IP pubblici di Database Migration Service per la regione in cui crei il job di migrazione.
    7. In una fase successiva, quando crei il profilo di connessione di origine:
    1. Nella sezione Definisci dettagli connessione , inserisci l'IP privato dell'istanza Oracle di origine.
    2. Nella sezione Definisci metodo di connettività , seleziona Tunnel SSH di forwarding.
    3. Fornisci l'indirizzo IP pubblico o il nome host del server SSH.
    4. Fornisci la porta che hai designato per le connessioni SSH su il server del tunnel.
    5. Inserisci il nome utente dell'utente che hai creato per la connessione di Database Migration Service (ovvero il valore di TUNNEL_ACCOUNT_USERNAME).
    6. Dal menu a discesa Metodo di autenticazione, seleziona il metodo di autenticazione che vuoi utilizzare con l'utente TUNNEL_ACCOUNT_USERNAME:
      • Se vuoi utilizzare la password dell'utente, seleziona Password e inserisci TUNNEL_ACCOUNT_USERNAME password nel modulo.
      • Se hai configurato il server SSH in modo da utilizzare l'autenticazione basata su chiavi, seleziona Coppia di chiavi privata/pubblica e carica la chiave privata che hai generato con il comando ssh-keygen.

Configurare la connettività privata con le interfacce Private Service Connect

Questo metodo di connettività ti consente di connetterti all'IP privato del database di origine senza consumare la quota di peering VPC. Le interfacce Private Service Connect sono il metodo consigliato per la connettività IP privata.

Per le origini self-hosted in Google Cloud

Per utilizzare la connettività privata con le interfacce Private Service Connect per un database Oracle di origine ospitato su una VM Compute Engine:

  1. Crea un collegamento di rete nel VPC in cui si trova l'origine self-hosted. Segui questi passaggi:
    1. Nella Google Cloud console, vai alla pagina Collegamenti di rete.

      Vai a Collegamenti di rete

    2. Fai clic su Crea collegamento di rete.
    3. Inserisci un nome per il collegamento.
    4. Dal menu Rete, seleziona il VPC in cui si trova l'origine self-hosted.

    5. Per la regione, utilizza la stessa regione in cui prevedi di creare il database di destinazione.

      Database Migration Service è un prodotto completamente regionale, il che significa che tutte le entità correlate alla migrazione (profili di connessione di origine e di destinazione, job di migrazione, database di destinazione, workspace di conversione) devono essere salvate in una singola regione.

    6. In Preferenza di connessione seleziona Accetta connessioni per i progetti selezionati.

      Database Migration Service aggiunge automaticamente il progetto producer all' elenco Progetti accettati quando in seguito crei la configurazione di connettività privata.

    7. Non aggiungere Progetti accettati o Progetti rifiutati.
    8. Fai clic su Crea collegamento di rete.
  2. In Database Migration Service, crea una configurazione di connettività privata per le interfacce Private Service Connect.
    3. In una fase successiva, quando crei il profilo di connessione di origine:
    1. Nella sezione Definisci dettagli connessione , inserisci l'indirizzo IP della VM Compute Engine in cui ospiti il database Oracle.

      Puoi visualizzare l'indirizzo IP della VM nella Google Cloud console.

    2. Nella sezione Definisci metodo di connettività , seleziona Connettività privata.
    3. Dal menu a discesa, seleziona la configurazione di connettività privata che hai creato nel passaggio precedente.

Per le origini self-hosted al di fuori di Google Cloud

Per utilizzare la connettività privata con le interfacce Private Service Connect per un database di origine Oracle self-hosted che si trova in una rete al di fuori di Google Cloud:

  1. Configura la connettività diretta con Cloud VPN all'origine Oracle.

    A seconda dell'architettura di rete, potrebbe essere necessario configurare gateway VPN aggiuntivi nel sistema. Per ulteriori informazioni, consulta Creare un gateway VPN ad alta affidabilità per un gateway VPN peer nella documentazione di Cloud VPN.

  2. (Facoltativo) Se non riesci a creare la configurazione di connettività privata nella stessa rete VPC in cui hai Cloud VPN, crea una macchina virtuale (VM) proxy inversa su Compute Engine per inoltrare le connessioni tra i VPC.
  3. Crea un collegamento di rete nel VPC in cui hai Cloud VPN. Segui questi passaggi:
    1. Nella Google Cloud console, vai alla pagina Collegamenti di rete.

      Vai a Collegamenti di rete

    2. Fai clic su Crea collegamento di rete.
    3. Inserisci un nome per il collegamento.
    4. Dal menu Rete, seleziona il VPC in cui si trova l'origine self-hosted.

    5. Per la regione, utilizza la stessa regione in cui prevedi di creare il database di destinazione.

      Database Migration Service è un prodotto completamente regionale, il che significa che tutte le entità correlate alla migrazione (profili di connessione di origine e di destinazione, job di migrazione, database di destinazione, workspace di conversione) devono essere salvate in una singola regione.

    6. Dal menu Subnet , seleziona una subnet in cui hai almeno 6 indirizzi IP utilizzabili senza costi per Database Migration Service (ovvero un intervallo /29 ).

    7. In Preferenza di connessione seleziona Accetta connessioni per i progetti selezionati.

      Database Migration Service aggiunge automaticamente il progetto producer all' elenco Progetti accettati quando in seguito crei la configurazione di connettività privata.

    8. Non aggiungere Progetti accettati o Progetti rifiutati.
    9. Fai clic su Crea collegamento di rete.
  4. In Database Migration Service, crea una configurazione di connettività privata per le interfacce Private Service Connect.
    5. In una fase successiva, quando crei il profilo di connessione di origine:
    1. Nella sezione Definisci dettagli connessione , inserisci l'IP privato dell'origine Oracle.
    2. Nella sezione Definisci metodo di connettività , seleziona Connettività privata.
    3. Dal menu a discesa, seleziona la configurazione di connettività privata che hai creato nel passaggio precedente.

Configurare la connettività privata con il peering VPC

Questo metodo di connettività richiede che l'indirizzo IP o il nome host del database di origine sia raggiungibile dal tuo Google Cloud VPC. Le origini self-hosted che si trovano in reti esterne Google Cloud potrebbero richiedere l'utilizzo di componenti di rete aggiuntivi come Cloud VPN o Cloud Interconnect.

Per le origini self-hosted in Google Cloud

Per utilizzare la connettività privata con il peering Virtual Private Cloud per un database Oracle di origine ospitato su una VM Compute Engine:

  1. Assicurati che la rete Virtual Private Cloud in cui è assegnato un indirizzo IP alla VM sia configurata per l'accesso privato ai servizi. Per ulteriori informazioni, consulta Configurare l'accesso privato ai servizi.
  2. In Database Migration Service, crea una configurazione di connettività privata per il peering con la rete VPC in cui è ospitato il database Oracle su una VM Compute Engine.
    3. In una fase successiva, quando crei il profilo di connessione di origine:
    1. Nella sezione Definisci dettagli connessione , inserisci l'indirizzo IP della VM Compute Engine in cui ospiti il database Oracle.

      Puoi visualizzare l'indirizzo IP della VM nella Google Cloud console.

    2. Nella sezione Definisci metodo di connettività , seleziona Connettività privata (peering VPC).
    3. Dal menu a discesa, seleziona la configurazione di connettività privata che hai creato nel passaggio precedente.

Per le origini self-hosted al di fuori di Google Cloud

Per utilizzare la connettività privata con il peering Virtual Private Cloud per un database di origine Oracle self-hosted che si trova in una rete al di fuori di Google Cloud:

  1. Configura la connettività diretta con Cloud VPN all'origine Oracle.

    A seconda dell'architettura di rete, potrebbe essere necessario configurare gateway VPN aggiuntivi nel sistema. Per ulteriori informazioni, consulta Creare un gateway VPN ad alta affidabilità per un gateway VPN peer nella documentazione di Cloud VPN.

  2. (Facoltativo) Se non riesci a creare la configurazione di connettività privata nella stessa rete VPC in cui hai Cloud VPN, crea una macchina virtuale (VM) proxy inversa su Compute Engine per inoltrare le connessioni tra i VPC.
  3. In Database Migration Service, crea una configurazione di connettività privata per il peering con la rete VPC in cui hai Cloud VPN.
    4. In una fase successiva, quando crei il profilo di connessione di origine:
    1. Nella sezione Definisci dettagli connessione , inserisci l'IP privato dell'origine Oracle.
    2. Nella sezione Definisci metodo di connettività , seleziona Connettività privata (peering VPC).
    3. Dal menu a discesa, seleziona la configurazione di connettività privata che hai creato nel passaggio precedente.

Passaggi successivi