Netzwerkmethoden für die Verbindung zur Quelldatenbank

Um Daten vom Quell-Datenbankserver in den AlloyDB for PostgreSQL-Zielcluster zu verschieben, muss sich Database Migration Service mit der Quellinstanz verbinden. Diese Verbindung kann über das öffentliche Internet oder über eine Reihe privater Verbindungen in der Virtual Private Cloud (VPC) Ihres Projekts hergestellt werden.

Auf dieser Seite finden Sie eine Übersicht über die einzelnen verfügbaren Methoden zur Verbindung mit der Quelldatenbank sowie einen Empfehlungsbereich, der Ihnen bei der Auswahl der richtigen Lösung für Ihre Migration helfen soll:

• Im Methodenvergleich finden Sie eine Vergleichstabelle für die verfügbaren Methoden zur Verbindung mit der Quelle.

• IP-Zulassungsliste beschreibt die Netzwerkverbindung zur öffentlichen IP-Adresse Ihrer Quelldatenbank.

• Weiterleitungs-SSH-Tunnel bietet eine Übersicht über dedizierte Secure Shell (SSH)-Tunnel.

• Private Verbindung mit Private Service Connect-Schnittstellen beschreibt, wie Sie mit Netzwerkanhängen eine Verbindung zu Ihrer privaten IP-Adresse der Quelle herstellen.

• Private Verbindung mit VPC-Peering beschreibt, wie Sie über VPC-Netzwerke mit Peering eine Verbindung zur privaten IP-Adresse Ihrer Quelldatenbank herstellen können.

Nachdem Sie sich mit den verschiedenen Verbindungsmethoden und ihren Anforderungen vertraut gemacht haben, können Sie anhand des Entscheidungsbaumdiagramms die richtige Lösung für Ihr Szenario auswählen.

Methodenvergleich

Jede Verbindungsmethode hat unterschiedliche Vorteile und Anforderungen. In der folgenden Tabelle können Sie sie auf einen Blick vergleichen. Weitere Informationen finden Sie in den Abschnitten zu den einzelnen Methoden.

Netzwerkmethode	Vorteile	Nachteile
IP-Zulassungsliste	Die am einfachsten einzurichtende Verbindungsmethode. Nützlich, wenn Ihre Quelldatenbank nicht über private Netzwerke in Google Clouderreicht werden kann.	Erfordert, dass Sie eine IPv4-Adresse Ihres Quelldatenbank servers im öffentlichen Internet verfügbar machen. Dies erfordert zusätzliche Sicherheitsmaßnahmen. Wir empfehlen beispielsweise, TLS-Zertifikate und Firewall Regeln zu verwenden, um die Verbindung zu sichern. Die Konfiguration der Firewallregeln erfordert möglicherweise Unterstützung von der IT-Abteilung. Database Migration Service unterstützt keine direkte Verbindung zu Datenbanken mit dem Feature „Single Client Access Name“ (SCAN) in Oracle Real Application Clusters-Umgebungen (RAC). Mögliche Lösungen für die Verwendung der Verbindung über die Zulassungsliste für öffentliche IP-Adressen mit solchen Umgebungen finden Sie unter Fehlerbehebung bei Oracle SCAN-Fehlern.
Weiterleitungs-SSH-Tunnel	Sicherer als die Verbindung über eine öffentliche IP-Adresse mit einer IP-Zulassungsliste. Die erste Verbindung wird über Secure Shell-Ports (SSH) über das öffentliche Internet hergestellt. Sobald die Verbindung aktiv ist, wird der gesamte Traffic über eine sichere, private Verbindung übertragen. Nützlich, wenn Ihre Quelldatenbank nicht über private Netzwerke in Google Clouderreicht werden kann, Sie Ihren Quelldatenbankserver aber nicht direkt im öffentlichen Internet verfügbar machen möchten.	Die Verwendung eines Zwischenservers (der Weiterleitungs-SSH-Tunnel-Maschine) für die Verbindung kann zu zusätzlicher Latenz führen. Sie müssen den Weiterleitungs-SSH-Hostserver einrichten und verwalten. Der Server muss während der gesamten Migration online sein.
Private Service Connect-Schnittstellen	Stellen Verbindungen zu Ihrer privaten IP-Adresse der Quelle über einen Netzwerkanhang her. Bei dieser Methode wird kein Peering-Kontingent in Ihrer VPC verbraucht. Die am einfachsten zu konfigurierende Methode für die private Verbindung zur Quelle.	Erfordert das Einrichten eines Netzwerkanhangs und das Anpassen von Firewallregeln. Sie können den Netzwerkanhang nicht mehr ändern, nachdem Sie die Verbindung hergestellt haben.
Private Verbindung mit VPC-Peering	Die Verbindung wird über VPC-Peering zur privaten IP-Adresse Ihrer Quelldatenbank hergestellt. Wenn Ihre VPC nicht genügend Peering Kontingent hat, ist es möglicherweise schwierig, diese Verbindungsmethode zu verwenden. In den meisten Fällen empfehlen wir stattdessen die Verwendung von privaten Verbindungen mit Private Service Connect-Schnittstellen.	Für Quellen außerhalb Ihrer Google Cloud VPC müssen Sie möglicherweise zusätzliche Netzwerkkomponenten wie Cloud VPN oder eine Reverse-Proxy-VM verwenden. Sie benötigen eine Virtual Private Cloud mit aktiviertem Zugriff auf private Dienste , um VPC-Peering verwenden zu können. Bei dieser Einrichtung wird Peering-Kontingent in Ihrem VPC-Netzwerk verbraucht.

IP-Zulassungsliste für die Verbindung zur Quelldatenbank

Wenn Sie die Verbindungsmethode mit der IP-Zulassungsliste verwenden, versucht Database Migration Service, eine Verbindung zu einer öffentlich verfügbaren IP-Adresse Ihres Quelldatenbankservers herzustellen.

Anforderungen für die Verbindung über die IP-Zulassungsliste

Für die Verwendung dieser Verbindungsmethode müssen Sie Folgendes beachten:

• Sie müssen die IP-Adresse Ihrer Quelle im öffentlichen Internet verfügbar machen (entweder direkt oder mit einem öffentlich anerkannten Hostnamen über einen Domain Name Server (DNS)).

• Database Migration Service unterstützt keine direkte Verbindung zu Datenbanken mit dem Feature „Single Client Access Name“ (SCAN) in Oracle Real Application Clusters-Umgebungen (RAC). Mögliche Lösungen für die Verwendung der Verbindung über die Zulassungsliste für öffentliche IP-Adressen mit solchen Umgebungen finden Sie unter Fehlerbehebung bei Oracle SCAN-Fehlern.

• Sie müssen eingehende Verbindungen von öffentlichen IP-Adressen von Database Migration Service zulassen.

• Optional: Bei der Verbindung über die IP-Zulassungsliste werden standardmäßig unverschlüsselte Verbindungen verwendet. Wir empfehlen, TLS-Zertifikate zu verwenden, um die Verbindung zu sichern. Database Migration Service unterstützt verschiedene TLS-Typen, sodass Sie die beste Lösung für Ihre Quelldatenbank auswählen können. Weitere Informationen finden Sie unter SSL/TLS-Zertifikate zum Verschlüsseln von Netzwerkverbindungen verwenden.

Verbindung über die IP-Zulassungsliste konfigurieren

Die Konfiguration der Verbindung über eine öffentliche IP-Adresse erfordert je nach Quelldatenbanktyp unterschiedliche Schritte. Weitere Informationen finden Sie unter:

• Verbindung über die IP-Zulassungsliste für selbst gehostete Quellen konfigurieren

• Verbindung über die IP-Zulassungsliste für Quellen in Amazon Web Services konfigurieren

Weiterleitungs-SSH-Tunnel für die Verbindung zur Quelldatenbank

Diese Verbindungsmethode ist eine Mischung aus öffentlicher und privater Netzwerkverbindung. Die Verbindung selbst wird über Secure Shell-Ports (SSH) zur öffentlichen IP-Adresse des Tunnel-Hostservers hergestellt. Sobald die Verbindung aktiv ist, wird der gesamte Traffic über einen sicheren Tunnel zur privaten IP-Adresse Ihrer Quelldatenbank übertragen.

Anforderungen für Weiterleitungs-SSH-Tunnel

Um die Verbindung herzustellen, müssen Sie SSH-Ports auf Ihrem Tunnelserver im öffentlichen Internet verfügbar machen. Sobald die Verbindung hergestellt ist, wird der gesamte Traffic über die private Tunnelverbindung weitergeleitet.

Es ist möglich, den Tunnel auf demselben Server zu beenden, auf dem Sie Ihre Quelldatenbank hosten. Wir empfehlen jedoch, einen dedizierten Tunnelserver zu verwenden. So machen Sie Ihre Quelldatenbank nicht direkt im öffentlichen Internet verfügbar. Der Tunnelserver kann ein beliebiger Unix- oder Linux-Host sein, der über SSH aus dem Internet erreichbar ist und auf Ihre Quelldatenbank zugreifen kann.

In bestimmten Verbindungsszenarien empfehlen wir, anstelle eines Weiterleitungs-SSH-Tunnels die Netzwerkverbindungsmethode „ Private Verbindung mit VPC-Peering“ zu verwenden:

• Bei selbst gehosteten Quellen, die sich in befinden Google Cloud, kann Database Migration Service mit der Konfiguration für die private Verbindung auf die private IP-Adresse Ihrer Quelldatenbank zugreifen. Sie müssen keinen separaten SSH-Server einrichten, um die Verbindung herzustellen.

Verbindung über Weiterleitungs-SSH-Tunnel konfigurieren

Die Konfiguration der Verbindung über einen Weiterleitungs-SSH-Tunnel erfordert je nach Quelldatenbanktyp unterschiedliche Schritte. Weitere Informationen finden Sie unter:

• Verbindung über einen Weiterleitungs-SSH-Tunnel für selbst gehostete Quellen konfigurieren

• Verbindung über die IP-Zulassungsliste für Quellen in Amazon Web Services konfigurieren

Private Verbindung mit Private Service Connect-Schnittstellen

Mit Private Service Connect-Schnittstellen kann Database Migration Service Verbindungen zur privaten IP-Adresse Ihrer Quelldatenbank herstellen, ohne Peering-Kontingent für seine eigenen IP-Adressen zu verbrauchen. Stattdessen werden bei dieser Verbindungsmethode Netzwerkanhänge verwendet, die Sie in Ihrer VPC erstellen.

Anforderungen für Private Service Connect-Schnittstellen

Für diese Verbindungsmethode müssen Sie einen Netzwerkanhang in der VPC-Netzwerk erstellen, in der Ihre Quelldatenbank erreichbar ist. Das Subnetz für den Netzwerkanhang muss 6 nutzbare IP-Adressen haben. Das bedeutet, Sie müssen den Bereich /29 für insgesamt 8 IP-Adressen verwenden. Sie können denselben Netzwerkanhang für mehrere Migrationsjobs verwenden, sofern Sie mindestens eine verfügbare IP-Adresse für Ihren AlloyDB for PostgreSQL-Cluster haben. AlloyDB for PostgreSQL unterstützt Private Service Connect-Schnittstellen nur für den primären Cluster.

Private IP-Verbindung mit Private Service Connect-Schnittstellen konfigurieren

Wenn Sie die private IP-Verbindung mit Private Service Connect-Schnittstellen verwenden möchten, muss die private IP-Adresse Ihrer Quelldatenbank über die Virtual Private Cloud erreichbar sein, in der Sie den Netzwerkanhang erstellen. Weitere Informationen zum Konfigurieren dieser privaten IP-Verbindungsmethode für verschiedene Datenbankquellen finden Sie unter:

• Für selbst gehostete Quellen: Siehe Private IP-Verbindung mit Private Service Connect-Schnittstellen für selbst gehostete Quellen konfigurieren.

• Für Amazon RDS for Oracle: Sie benötigen Cloud VPN oder Cloud Interconnect, um die Verbindung zur privaten IP-Adresse Ihrer Quelldatenbank herzustellen. Weitere Informationen finden Sie unter Private IP-Verbindung mit Private Service Connect-Schnittstellen für Amazon RDS-Quellen konfigurieren.

Private Verbindung mit VPC-Peering

Mit dieser Methode können Sie über die privaten IP-Adressen in Ihrer Virtual Private Cloud (VPC) eine Verbindung zu Ihrer Quelle herstellen. Sie müssen keine Schnittstellen im öffentlichen Internet verfügbar machen, um diese Methode zu verwenden. Die IP Adresse oder der Hostname Ihrer Quelldatenbank muss jedoch über Ihre Google Cloud VPC erreichbar sein.

Je nach Quelldatenbank müssen Sie für diese Verbindungsmethode möglicherweise zusätzliche Netzwerkkomponenten einrichten, z. B. Cloud VPN oder eine Reverse-Proxy-VM:

Anforderungen für private IP-Verbindungen

Diese Verbindungsmethode eignet sich am besten für Quellen, deren private IP-Adresse über Ihr Google Cloud VPC-Netzwerk erreichbar ist. Bei selbst gehosteten Quellen, die sich in Google Cloudbefinden, können Sie direkte Peering-Verbindungen mit einer Konfiguration für private Verbindungen in Database Migration Service herstellen. Für andere Arten von Quellen benötigen Sie möglicherweise zusätzliche Netzwerkkomponenten wie Cloud VPN oder eine Reverse-Proxy-VM (oder beides).

Für private IP-Verbindungen ist Folgendes erforderlich:

• Sie benötigen ein Virtual Private Cloud-Netzwerk mit aktiviertem Zugriff auf private Dienste.

  Dies ist das Netzwerk, mit dem Sie Peering mit Database Migration Service und Ihrem Quelldatenbankserver durchführen. Sie benötigen genügend Speicherplatz, um IP-Bereiche für beide Komponenten zuzuweisen.

• Für Amazon RDS for Oracle: Sie müssen Cloud VPN oder Cloud Interconnect in derselben VPC-Netzwerk konfigurieren, in der Sie die Konfiguration für die private Verbindung für Database Migration Service erstellen möchten. Wenn Sie die Konfiguration für die private Verbindung nicht in derselben VPC erstellen können, müssen Sie eine Reverse-Proxy-VM (virtuelle Maschine) in Compute Engine einrichten.

Private IP-Verbindung mit VPC-Peering konfigurieren

Wenn Sie die private IP-Verbindung mit VPC-Peering verwenden möchten, muss die private IP-Adresse Ihrer Quelldatenbank über Ihre Virtual Private Cloud erreichbar sein. Je nach Ihrer Netzwerkarchitektur müssen Sie möglicherweise zusätzliche Komponenten wie eine Reverse-Proxy-VM oder Cloud VPN verwenden.

Weitere Informationen zum Konfigurieren der privaten IP-Verbindung für verschiedene Datenbankquellen finden Sie unter:

• Für selbst gehostete Quellen: Siehe Private IP-Verbindung mit VPC-Peering für selbst gehostete Quellen konfigurieren.

• Für Amazon RDS for Oracle: Sie benötigen Cloud VPN oder Cloud Interconnect, um die Verbindung zur privaten IP-Adresse Ihrer Quelldatenbank herzustellen. Weitere Informationen finden Sie unter Private IP-Verbindung mit VPC-Peering für Amazon RDS-Quellen konfigurieren.

Entscheidungsbaum für die Netzwerkverbindung zur Quelle

Wenn Sie mit allen unterstützten Methoden zur Verbindung mit der Quelle und ihren Anforderungen vertraut sind, können Sie anhand der Fragen im Diagramm die richtige Verbindungsmethode für Ihr Szenario auswählen.

Nächste Schritte

• Weitere Informationen zur Verbindung zur Zieldatenbank. Siehe Netzwerkmethoden für die Verbindung zur Zieldatenbank.

• Eine vollständige Schritt-für-Schritt-Anleitung für die Migration finden Sie im Migrationsleitfaden von Oracle zu AlloyDB for PostgreSQL.