このページは Cloud Translation API によって翻訳されました。

Amazon RDS for Oracle ソースへのネットワーク接続を構成する

このページでは、Database Migration Service を使用して異種 Oracle から Cloud SQL for PostgreSQL への移行を行うために、Amazon RDS for Oracle ソースへのネットワーク接続を構成する方法について説明します。

Amazon RDS for Oracle ソースからの移行に必要なネットワーク接続を構成するには、次の 3 つの方法があります。

パブリック IP 許可リスト
フォワード SSH トンネル
プライベート IP 接続。これらの方法では、Cloud VPN または Cloud Interconnect が必要です。
- 推奨: Private Service Connect インターフェースを使用したプライベート IP 接続
- Virtual Private Cloud ピアリングによるプライベート IP 接続

ソースデータベースのネットワーク接続の詳細については、ソースネットワーキング方法の概要をご覧ください。

IP 許可リストの接続を構成する

パブリック IP 許可リスト接続方法を使用する手順は次のとおりです。

AWS Management Console で、次の操作を行います。
1. ソースの Amazon RDS データベースがパブリック IP 接続用に構成されていることを確認します。
2. エンドポイント名とポート番号を特定します。これらの値は、接続プロファイルを作成するときに入力する必要があります。
Amazon RDS for Oracle インスタンスの準備の詳細については、Amazon RDS ドキュメントの Oracle DB インスタンスへの接続をご覧ください。
Database Migration Service から Amazon RDS VPC へのトラフィックを許可するセキュリティグループを作成します。セキュリティグループを作成して VPC の DB インスタンスへのアクセスを提供するをご覧ください。

移行ジョブを作成するリージョンのすべての Database Migration Service パブリック IP アドレスを許可してください。
後で、ソース接続プロファイルを作成するときに、次の操作を行います。
1. [接続の詳細を定義する] セクションで、ソースデータベースの IP にインスタンスのエンドポイント名を使用します。
2. [接続方法の定義] セクションで、[IP 許可リスト] を選択します。

フォワード SSH トンネル経由の接続を構成する

Secure Shell（SSH）トンネルを使用してソースデータベースに接続する手順は次のとおりです。

専用のフォワード SSH トンネルとして機能する Amazon EC2 インスタンスを起動します。ソースの Amazon RDS for Oracle がある同じ Amazon VPC で構成してください。

詳細については、Amazon ドキュメントの Amazon EC2 のスタートガイドをご覧ください。
EC2 インスタンスに接続し、SSH トンネルを設定します。手順は次のとおりです。
1. Database Migration Service が接続する専用のユーザーアカウントを別途作成します。
```
adduser TUNNEL_ACCOUNT_USERNAME
```
2. Database Migration Service アカウントのシェルアクセスを制限して、セキュリティを強化します。
```
usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME
```
3. トンネルに接続するときに Database Migration Service で使用する認証方法を決定します。
  
  簡単なパスワードを使用するか、PEM 形式の SSH 認証鍵を生成して、移行元接続プロファイルの作成時に Database Migration Service にアップロードできます。
  - パスワードを使用する場合は、追加の構成を行う必要はありません。TUNNEL_ACCOUNT_USERNAME アカウント用に作成したパスワードを覚えておいてください。
  - 鍵ベースの認証を使用する場合は、秘密鍵と公開鍵のペアを生成する必要があります。たとえば、ssh-keygen ユーティリティを使用できます。
    1. 鍵ペアを生成します。
      ssh-keygen -m PEM -f YOUR_KEY_NAME
    2. 公開鍵（YOUR_KEY_NAME.pub）をトンネルサーバーの ~/.ssh/ ディレクトリにコピーします。
    3. 秘密鍵を保存します。このファイルは、移行元接続プロファイルを作成するときに、後で Database Migration Service にアップロードする必要があります。
4. 組織の要件に合わせて転送 SSH トンネルを構成するように /etc/ssh/sshd_config ファイルを編集します。次の設定を使用することをおすすめします。
```
# Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
```
5. ssh コマンドを実行してトンネルを開始します。
  後述のコマンドデータを使用する前に、次のように置き換えます。
  - TUNNEL_SERVER_SSH_PORT: サーバーが SSH 接続をリッスンしているポート番号。
  - SOURCE_DATABASE_PRIVATE_IP は、ソースデータベースのプライベート IP アドレスに置き換えます。SSH サーバーがその IP に到達できる必要があります。
  - SOURCE_DATABASE_PORT は、移行元データベースが接続をリッスンしているポート番号に置き換えます。Oracle の TCP 接続のデフォルトのポート番号は 1433 です。
  - USERNAME は、トンネルを実行するユーザーアカウントの名前に置き換えます。これは TUNNEL_ACCOUNT_USERNAME とは別のアカウントです。
  - TUNNEL_SERVER_PUBLIC_IP: SSH トンネルサーバーのパブリック IP。
```
ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
```
後で、ソース接続プロファイルを作成するときに、次の操作を行います。
1. [接続の詳細を定義する] セクションで、ソースデータベースの IP にインスタンスのエンドポイント名を使用します。
2. [接続方法の定義] セクションで、[転送 SSH トンネル] を選択します。
3. SSH サーバーのパブリック IP アドレスまたはホスト名を指定します。
4. トンネルサーバーで SSH 接続用に指定したポートを指定します。
5. Database Migration Service 用に作成したユーザーのユーザー名を入力して、接続します（つまり、TUNNEL_ACCOUNT_USERNAME の値）。
6. [認証方法] プルダウンメニューから、TUNNEL_ACCOUNT_USERNAME で使用する認証方法を選択します。
  - ユーザーパスワードを使用する場合は、[パスワード] を選択し、フォームに TUNNEL_ACCOUNT_USERNAME パスワードを入力します。
  - 鍵ベースの認証を使用するように SSH サーバーを構成した場合は、[秘密鍵/公開鍵ペア] を選択し、秘密鍵をアップロードします。 ssh-keygen コマンドで生成した秘密鍵。

Private Service Connect インターフェースを使用してプライベート接続を構成する

この接続方法を使用すると、 VPC ピアリングの割り当てを消費せずに、移行元データベースのプライベート IP に接続できます。Private Service Connect インターフェースは、プライベート IP 接続に推奨される方法です。

この方法を使用するには、ネットワークアタッチメントを作成する VPC ネットワークと同じネットワークに Cloud VPN または Cloud Interconnect が構成されている必要があります。Cloud VPN または Cloud Interconnect がある VPC ネットワークにネットワークアタッチメントを作成できない場合は、接続を確立するために Compute Engine にリバースプロキシ仮想マシン（VM）も必要になります。

Cloud VPN または Cloud Interconnect を使用できない場合は、代わりに転送 SSH トンネルまたはIP 許可リストの接続方法を使用することをおすすめします。

Private Service Connect インターフェースの接続を使用するには、次の操作を行います。

Cloud VPN を使用して Amazon RDS for PostgreSQL インスタンスとの直接接続を設定します。

詳細については、Cloud VPN ドキュメントの Google Cloud と AWS の間に HA VPN 接続を作成するをご覧ください。
省略可: Cloud VPN がある VPC ネットワークにネットワークアタッチメントを作成できない場合は、 Compute Engine にリバースプロキシ仮想マシン（VM）を作成して、VPC 間の接続を転送します。
Cloud VPN がある VPC にネットワークアタッチメントを作成します。手順は次のとおりです。
1. Google Cloud コンソールで、[ネットワークアタッチメント] ページに移動します。
  [ネットワークアタッチメント] に移動します。
2. [ネットワークアタッチメントの作成] をクリックします。
3. 添付ファイルの名前を入力します。
4. [ネットワーク] メニューから、移行元が存在する VPC を選択します。
5. リージョンには、移行先のデータベースを作成する予定のリージョンと同じリージョンを使用します。
  
  Database Migration Service は完全にリージョンに依存するプロダクトです。つまり、移行に関連するすべてのエンティティ（移行元と移行先の接続プロファイル、移行ジョブ、移行先データベース、変換ワークスペース）は、単一のリージョンに保存する必要があります。
6. [サブネットワーク] メニューから、Database Migration Service で使用可能な IP アドレスが 6 つ以上あるサブネット（/29 範囲）を選択します。
7. [接続の設定] で、[選択したプロジェクトの接続を受け入れる] を選択します。
  
  Database Migration Service は、後でプライベート接続構成を作成するときに、プロデューサープロジェクトを [承認済みプロジェクト] リストに自動的に追加します。
  
  注意: [すべてのプロジェクトの接続を自動的に受け入れる] オプションは、すべてのサービスがサブネットから IP アドレスを取得できるため、安全性が低くなります。このオプションの使用はおすすめしません。
8. [承認済みプロジェクト] や [不承認となったプロジェクト] は追加しないでください。
9. [ネットワークアタッチメントの作成] をクリックします。
Database Migration Service で、 Private Service Connect インターフェースのプライベート接続構成を作成します。
後で、ソース接続プロファイルを作成するときに、次の操作を行います。
1. [接続の詳細を定義する] セクションで、ソース Amazon RDS インスタンスのプライベート IP を入力します。
2. [接続方法の定義] セクションで、[プライベート接続] を選択します。
3. プルダウンメニューから、前の手順で作成したプライベート接続構成を選択します。

VPC ピアリングを使用してプライベート接続を構成する

Amazon RDS for Oracle ソースでプライベート接続を使用するには、Database Migration Service のプライベート接続構成を作成する VPC ネットワークと同じ VPC ネットワークに Cloud VPN または Cloud Interconnect が構成されている必要があります。Cloud VPN または Cloud Interconnect がある VPC ネットワークでプライベート接続構成を作成できない場合は、接続を確立するために Compute Engine にリバースプロキシ仮想マシン（VM）も必要になります。