Configura la connettività di rete alle origini Oracle self-hosted

Questa pagina descrive come configurare la connettività di rete alle origini Oracle self-hosted per le migrazioni eterogenee da Oracle ad AlloyDB per PostgreSQL con Database Migration Service.

Esistono tre metodi diversi che puoi utilizzare per configurare la connettività di rete necessaria per le migrazioni dalle origini Oracle con hosting autonomo:

Configurare la connettività della lista consentita IP

Per utilizzare il metodo di connettività della lista consentita IP pubblici:

  1. Assicurati che il database di origine abbia un indirizzo IP raggiungibile da internet pubblico. Non è necessario utilizzare l'indirizzo IP per connettersi. Se hai un record DNS associato all'IP, puoi utilizzarlo.
  2. Crea una regola firewall in entrata sul server di database di origine per accettare le connessioni da Database Migration Service. Utilizza la seguente configurazione:
    1. Per il tipo di regola, utilizza port.
    2. Per l'intervallo di indirizzi IP consentiti, aggiungi tutti gli indirizzi IP pubblici di Database Migration Service per la regione in cui crei il job di migrazione.
    3. Imposta il protocollo su TCP.
    4. Imposta il numero di porta associato alla regola sulla porta in cui il database di origine è in attesa di connessioni in entrata. Si tratta dello stesso numero di porta che devi inserire nel profilo di connessione di origine.

      Per impostazione predefinita, il server Oracle utilizza la porta 1521.

    I passaggi per configurare le regole del firewall variano a seconda del software del server che utilizzi. Per ulteriori informazioni, consulta la documentazione del prodotto firewall.

  3. In una fase successiva, quando crei il profilo di connessione di origine, nella sezione Definisci metodo di connettività, seleziona Lista consentita IP.

Configura la connettività tramite un tunnel SSH di forwarding

Per connetterti al database di origine con un tunnel Secure Shell (SSH):

  1. Crea una macchina virtuale (VM) in grado di aprire il tunnel tra Database Migration Service e il database di origine. Il server del tunnel può essere qualsiasi host Unix/Linux che:
    • Può essere accessibile da internet pubblico tramite SSH.
    • Può accedere all'indirizzo IP privato del database di origine.

  2. Sul server SSH, crea un account utente che Database Migration Service possa utilizzare per connettersi al tunnel SSH.

    Ad esempio, su un sistema Ubuntu, puoi utilizzare i seguenti comandi:

    1. Crea un account utente: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Limita l'accesso alla shell per l'account utente per migliorare la sicurezza: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Decidi quale metodo di autenticazione vuoi che Database Migration Service utilizzi quando si connette al tunnel.

    Puoi utilizzare una password o generare chiavi SSH nel formato PEM che puoi caricare in Database Migration Service quando crei il profilo di connessione di origine.

    • Se vuoi utilizzare una password, non devi configurare nulla di aggiuntivo. Ricorda la password che hai creato per l'account TUNNEL_ACCOUNT_USERNAME.
    • Se vuoi utilizzare l'autenticazione basata su chiavi, devi generare una coppia di chiavi privata-pubblica. Ad esempio, puoi utilizzare l'utilità ssh-keygen:
      1. Genera la coppia di chiavi: 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Copia la chiave pubblica (YOUR_KEY_NAME.pub) nella directory ~/.ssh/ sul server tunnel.
      3. Salva la chiave privata. Dovrai caricarlo in un secondo momento in Database Migration Service quando crei il profilo di connessione di origine.
  4. Modifica il file /etc/ssh/sshd_config per configurare il tunnel SSH in modo che corrisponda ai requisiti della tua organizzazione. Ti consigliamo di utilizzare le seguenti impostazioni: 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Esegui il comando ssh per avviare il tunnel.

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • TUNNEL_SERVER_SSH_PORT con il numero di porta in cui il server è in attesa di connessioni SSH.
    • SOURCE_DATABASE_PRIVATE_IP con l'indirizzo IP privato del database di origine. Il server SSH deve essere in grado di raggiungere questo IP.
    • SOURCE_DATABASE_PORT con il numero di porta in cui il database di origine è in attesa di connessioni. Il numero di porta predefinito per le connessioni TCP su Oracle è 1433.
    • USERNAME con il nome dell'account utente che eseguirà il tunnel. Si tratta di un account separato da TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP con l'IP pubblico del server del tunnel SSH. 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Crea una regola firewall in entrata sul tunnel SSH per accettare le connessioni dagli indirizzi IP pubblici di Database Migration Service per la regione in cui crei il job di migrazione.
  7. In una fase successiva, quando crei il profilo di connessione di origine, procedi nel seguente modo:
    1. Nella sezione Definisci dettagli connessione, inserisci l'IP privato dell'istanza Oracle di origine.
    2. Nella sezione Definisci metodo di connettività, seleziona Tunnel SSH di forwarding.
    3. Fornisci l'indirizzo IP pubblico o il nome host del server SSH.
    4. Specifica la porta che hai designato per le connessioni SSH sul server del tunnel.
    5. Inserisci il nome utente dell'utente creato per Database Migration Service per la connessione (ovvero il valore di TUNNEL_ACCOUNT_USERNAME).
    6. Nel menu a discesa Metodo di autenticazione, seleziona il metodo di autenticazione che vuoi utilizzare con l'utente TUNNEL_ACCOUNT_USERNAME:
      • Se vuoi utilizzare la password dell'utente, seleziona Password e inserisci la password di TUNNEL_ACCOUNT_USERNAME nel modulo.
      • Se hai configurato il server SSH per utilizzare l'autenticazione basata su chiavi, seleziona Coppia di chiavi privata/pubblica e carica la chiave privata che hai generato con il comando ssh-keygen.

Configura le interfacce Private Service Connect per la connettività privata

Questo metodo di connettività ti consente di connetterti all'IP privato del database di origine senza utilizzare la quota di peering VPC. Le interfacce Private Service Connect sono il metodo consigliato per la connettività IP privata.

Per le fonti self-hosted in Google Cloud

Per utilizzare la connettività privata con le interfacce Private Service Connect per un database Oracle di origine ospitato su una VM Compute Engine, segui questi passaggi:

  1. Crea un collegamento di rete nel VPC in cui si trova l'origine self-hosted. Segui questi passaggi:
    1. Nella console Google Cloud , vai alla pagina Allegati di rete.

      Vai ad Allegati di rete

    2. Fai clic su Crea collegamento di rete.
    3. Inserisci un nome per l'allegato.
    4. Nel menu Rete, seleziona il VPC in cui si trova l'origine self-hosted.

    5. Per la regione, utilizza la stessa regione in cui prevedi di creare il database di destinazione.

      Database Migration Service è un prodotto completamente regionale, il che significa che tutte le entità correlate alla migrazione (profili di connessione di origine e di destinazione, job di migrazione, database di destinazione, workspace della conversione) devono essere salvate in una singola regione.

    6. In Preferenza di connessione, seleziona Accetta connessioni per i progetti selezionati.

      Database Migration Service aggiunge automaticamente il progetto producer all'elenco Progetti accettati quando in un secondo momento crei la configurazione di connettività privata.

    7. Non aggiungere Progetti accettati o Progetti rifiutati.
    8. Fai clic su Crea collegamento di rete.
  2. In Database Migration Service, crea una configurazione di connettività privata per le interfacce Private Service Connect.
  3. In una fase successiva, quando crei il profilo di connessione di origine, procedi nel seguente modo:
    1. Nella sezione Definisci i dettagli della connessione, inserisci l'indirizzo IP della VM di Compute Engine in cui è ospitato il database Oracle.

      Puoi visualizzare l'indirizzo IP della VM nella console Google Cloud .

    2. Nella sezione Definisci metodo di connettività, seleziona Connettività privata.
    3. Dal menu a discesa, seleziona la configurazione di connettività privata che hai creato nel passaggio precedente.

Per le origini self-hosted al di fuori di Google Cloud

Per utilizzare la connettività privata con le interfacce Private Service Connect per un database di origine Oracle self-hosted che si trova in una rete esterna aGoogle Cloud, segui questi passaggi:

  1. Configura la connettività diretta con Cloud VPN all'origine Oracle.

    A seconda dell'architettura di rete, potrebbe essere necessario configurare gateway VPN aggiuntivi nel sistema. Per ulteriori informazioni, consulta la sezione Crea un gateway VPN ad alta disponibilità connesso a un gateway VPN peer nella documentazione di Cloud VPN.

  2. (Facoltativo) Se non riesci a creare la configurazione di connettività privata nella stessa rete VPC in cui hai Cloud VPN, crea una macchina virtuale (VM) proxy inverso su Compute Engine per inoltrare le connessioni tra i VPC.
  3. Crea un collegamento di rete nel VPC in cui hai Cloud VPN. Segui questi passaggi:
    1. Nella console Google Cloud , vai alla pagina Allegati di rete.

      Vai ad Allegati di rete

    2. Fai clic su Crea collegamento di rete.
    3. Inserisci un nome per l'allegato.
    4. Nel menu Rete, seleziona il VPC in cui si trova l'origine self-hosted.

    5. Per la regione, utilizza la stessa regione in cui prevedi di creare il database di destinazione.

      Database Migration Service è un prodotto completamente regionale, il che significa che tutte le entità correlate alla migrazione (profili di connessione di origine e di destinazione, job di migrazione, database di destinazione, workspace della conversione) devono essere salvate in una singola regione.

    6. Dal menu Subnet, seleziona una subnet in cui hai almeno 6 indirizzi IP utilizzabili gratuiti per Database Migration Service (ovvero un intervallo /29).

    7. In Preferenza di connessione, seleziona Accetta connessioni per i progetti selezionati.

      Database Migration Service aggiunge automaticamente il progetto producer all'elenco Progetti accettati quando in un secondo momento crei la configurazione di connettività privata.

    8. Non aggiungere Progetti accettati o Progetti rifiutati.
    9. Fai clic su Crea collegamento di rete.
  4. In Database Migration Service, crea una configurazione di connettività privata per le interfacce Private Service Connect.
  5. In una fase successiva, quando crei il profilo di connessione di origine, procedi nel seguente modo:
    1. Nella sezione Definisci i dettagli della connessione, inserisci l'IP privato dell'origine Oracle.
    2. Nella sezione Definisci metodo di connettività, seleziona Connettività privata.
    3. Dal menu a discesa, seleziona la configurazione di connettività privata che hai creato nel passaggio precedente.

Configura la connettività privata con il peering VPC

Questo metodo di connettività richiede che l'indirizzo IP o il nome host del database di origine sia raggiungibile dal tuo VPC. Google Cloud Le origini self-hosted che si trovano in reti esterne a Google Cloud potrebbero richiedere l'utilizzo di componenti di rete aggiuntivi come Cloud VPN o Cloud Interconnect.

Per le fonti self-hosted in Google Cloud

Per utilizzare la connettività privata con il peering Virtual Private Cloud per un database Oracle di origine ospitato su una VM Compute Engine, segui questi passaggi:

  1. Assicurati che la rete Virtual Private Cloud in cui è assegnato un indirizzo IP alla tua VM sia configurata per l'accesso privato ai servizi. Per ulteriori informazioni, consulta Configurare l'accesso privato ai servizi.
  2. In Database Migration Service, crea una configurazione di connettività privata per il peering con la rete VPC in cui è ospitato il tuo database Oracle su una VM Compute Engine.
  3. In una fase successiva, quando crei il profilo di connessione di origine, procedi nel seguente modo:
    1. Nella sezione Definisci i dettagli della connessione, inserisci l'indirizzo IP della VM di Compute Engine in cui è ospitato il database Oracle.

      Puoi visualizzare l'indirizzo IP della VM nella console Google Cloud .

    2. Nella sezione Definisci metodo di connettività, seleziona Connettività privata (peering VPC).
    3. Dal menu a discesa, seleziona la configurazione di connettività privata che hai creato nel passaggio precedente.

Per le origini self-hosted al di fuori di Google Cloud

Per utilizzare la connettività privata con il peering di Virtual Private Cloud per un database di origine Oracle self-hosted che si trova in una rete esterna aGoogle Cloud, segui questi passaggi:

  1. Configura la connettività diretta con Cloud VPN all'origine Oracle.

    A seconda dell'architettura di rete, potrebbe essere necessario configurare gateway VPN aggiuntivi nel sistema. Per ulteriori informazioni, consulta la sezione Crea un gateway VPN ad alta disponibilità connesso a un gateway VPN peer nella documentazione di Cloud VPN.

  2. (Facoltativo) Se non riesci a creare la configurazione di connettività privata nella stessa rete VPC in cui hai Cloud VPN, crea una macchina virtuale (VM) proxy inverso su Compute Engine per inoltrare le connessioni tra i VPC.
  3. In Database Migration Service, crea una configurazione di connettività privata per il peering con la rete VPC in cui si trova Cloud VPN.
  4. In una fase successiva, quando crei il profilo di connessione di origine, procedi nel seguente modo:
    1. Nella sezione Definisci i dettagli della connessione, inserisci l'IP privato dell'origine Oracle.
    2. Nella sezione Definisci metodo di connettività, seleziona Connettività privata (peering VPC).
    3. Dal menu a discesa, seleziona la configurazione di connettività privata che hai creato nel passaggio precedente.

Passaggi successivi