Configurer la connectivité réseau aux sources Oracle auto-hébergées

Cette page explique comment configurer la connectivité réseau pour les sources Oracle auto-hébergées pour les migrations hétérogènes d'Oracle vers Cloud SQL pour PostgreSQL avec Database Migration Service.

Vous pouvez utiliser trois méthodes différentes pour configurer la connectivité réseau nécessaire aux migrations à partir de sources Oracle auto-hébergées :

Configurer la connectivité de la liste d'autorisation d'adresses IP

Pour utiliser la méthode de connectivité de la liste d'autorisation d'adresses IP publiques, procédez comme suit :

  1. Assurez-vous que votre base de données source dispose d'une adresse IP accessible depuis l'Internet public. Vous n'avez pas besoin d'utiliser l'adresse IP pour vous connecter. Si vous disposez d'un enregistrement DNS associé à l'adresse IP, vous pouvez l'utiliser à la place.
  2. Créez une règle de pare-feu entrante sur votre serveur de base de données source pour accepter les connexions de Database Migration Service. Utilisez la configuration suivante :
    1. Pour le type de règle, utilisez port.
    2. Pour la plage d'adresses IP autorisée, ajoutez toutes les adresses IP publiques de Database Migration Service pour la région dans laquelle vous créez la tâche de migration.
    3. Définissez le protocole sur TCP.
    4. Définissez le numéro de port associé à la règle sur le port où votre base de données source écoute les connexions entrantes. Il s'agit du même numéro de port que vous devez saisir dans le profil de connexion source.

      Par défaut, le serveur Oracle utilise le 1521 port.

    Les étapes de configuration des règles de pare-feu varient en fonction du logiciel serveur que vous utilisez. Pour en savoir plus, consultez la documentation de votre produit de pare-feu.

  3. À une étape ultérieure, lorsque vous créez le profil de connexion source, dans la section Définir une méthode de connectivité, sélectionnez Liste d'autorisation d'adresses IP.

Configurer la connectivité via un tunnel SSH de transfert

Pour vous connecter à votre base de données source avec un tunnel Secure Shell (SSH), procédez comme suit :

  1. Créez une machine virtuelle (VM) qui peut ouvrir le tunnel entre Database Migration Service et votre base de données source. Le serveur du tunnel peut être un hôte Unix/Linux qui :
    • est accessible depuis l'Internet public via SSH ;
    • peut accéder à l'adresse IP privée de votre base de données source.

  2. Sur le serveur SSH, créez un compte utilisateur que Database Migration Service peut utiliser pour se connecter au tunnel SSH.

    Par exemple, sur un système Ubuntu, vous pouvez utiliser les commandes suivantes :

    1. Créer un compte utilisateur : 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Limiter l'accès au shell pour le compte utilisateur afin d'améliorer la sécurité : 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Déterminez la méthode d'authentification que vous souhaitez que Database Migration Service utilise lors de la connexion au tunnel.

    Vous pouvez utiliser un mot de passe ou générer des clés SSH au format PEM que vous pourrez ensuite importer dans Database Migration Service lorsque vous créerez le profil de connexion source.

    • Si vous souhaitez utiliser un mot de passe, vous n'avez rien d'autre à configurer. N'oubliez pas le mot de passe que vous avez créé pour le TUNNEL_ACCOUNT_USERNAME compte.
    • Si vous souhaitez utiliser l'authentification par clé, vous devez générer une paire de clés privée/publique. Par exemple, vous pouvez utiliser l' utilitairessh-keygen :
      1. Générez la paire de clés : 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Copiez la clé publique (YOUR_KEY_NAME.pub) dans le répertoire ~/.ssh/ de votre serveur de tunnel.
      3. Enregistrez la clé privée. Vous devrez l'importer ultérieurement dans Database Migration Service lorsque vous créerez le profil de connexion source.
  4. Modifiez le fichier /etc/ssh/sshd_config pour configurer le tunnel SSH de transfert en fonction des exigences de votre organisation. Nous vous recommandons d'utiliser les paramètres suivants : 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Exécutez la commande ssh pour démarrer le tunnel.

    Avant d'utiliser l'une des données de commande ci-dessous, effectuez les remplacements suivants :

    • TUNNEL_SERVER_SSH_PORT par le numéro de port où votre serveur écoute les connexions SSH.
    • SOURCE_DATABASE_PRIVATE_IP par l'adresse IP privée de votre base de données source. Le serveur SSH doit pouvoir atteindre cette adresse IP.
    • SOURCE_DATABASE_PORT par le numéro de port où votre base de données source écoute les connexions. Le numéro de port par défaut pour les connexions TCP sur Oracle est 1433.
    • USERNAME par le nom du compte utilisateur qui exécutera le tunnel. Il s'agit d'un compte distinct de TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP par l'adresse IP publique de votre serveur de tunnel SSH. 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Créez une règle de pare-feu entrante sur votre tunnel SSH pour accepter les connexions provenant des adresses IP publiques de Database Migration Service pour la région dans laquelle vous créez la tâche de migration.
  7. À une étape ultérieure, lorsque vous créez le profil de connexion source, procédez comme suit :
    1. Dans la section Définir les détails de connexion, saisissez l'adresse IP privée de votre instance Oracle source.
    2. Dans la section Définir une méthode de connectivité, sélectionnez Tunnel SSH de transfert.
    3. Indiquez l'adresse IP publique ou le nom d'hôte de votre serveur SSH.
    4. Indiquez le port que vous avez désigné pour les connexions SSH sur le serveur de tunnel.
    5. Saisissez le nom d'utilisateur que vous avez créé pour que Database Migration Service se connecte (c'est-à-dire la valeur de TUNNEL_ACCOUNT_USERNAME).
    6. Dans le menu déroulant Méthode d'authentification, sélectionnez la méthode d'authentification que vous souhaitez utiliser avec l'utilisateur TUNNEL_ACCOUNT_USERNAME :
      • Si vous souhaitez utiliser le mot de passe de l'utilisateur, sélectionnez Mot de passe et saisissez le mot de passe dans le formulaire.TUNNEL_ACCOUNT_USERNAME
      • Si vous avez configuré votre serveur SSH pour utiliser l'authentification par clé, sélectionnez Paire de clés privée/publique et importez la clé privée que vous avez générée avec la commande ssh-keygen.

Configurer la connectivité privée avec des interfaces Private Service Connect

Cette méthode de connectivité vous permet de vous connecter à l'adresse IP privée de votre base de données source sans consommer de quota d'appairage de VPC. Les interfaces Private Service Connect sont la méthode recommandée pour la connectivité IP privée.

Pour les sources auto-hébergées dans Google Cloud

Pour utiliser la connectivité privée avec des interfaces Private Service Connect pour une base de données Oracle source hébergée sur une VM Compute Engine, procédez comme suit :

  1. Créez un rattachement de réseau dans le VPC où réside votre source auto-hébergée. Procédez comme suit :
    1. Dans la Google Cloud console, accédez à la page Rattachements de réseau.

      Accéder aux rattachements de réseau

    2. Cliquez sur Créer un rattachement de réseau.
    3. Saisissez un nom pour le rattachement.
    4. Dans le menu Réseau, sélectionnez le VPC où réside votre source auto-hébergée.

    5. Pour la région, utilisez la même région que celle dans laquelle vous prévoyez de créer la base de données de destination.

      Database Migration Service est un produit entièrement régional, ce qui signifie que toutes les entités liées à votre migration (profils de connexion source et de destination, tâches de migration, bases de données de destination, espaces de travail de conversion) doivent être enregistrées dans une seule région.

    6. Dans Préférences de connexion, sélectionnez Accepter les connexions pour les projets sélectionnés.

      Database Migration Service ajoute automatiquement le projet producteur à la liste Projets acceptés lorsque vous créez la configuration de connectivité privée.

    7. N'ajoutez pas de Projets acceptés ni de Projets refusés.
    8. Cliquez sur Créer un rattachement de réseau.
  2. Dans Database Migration Service, créez une configuration de connectivité privée pour les interfaces Private Service Connect.
  3. À une étape ultérieure, lorsque vous créez le profil de connexion source, procédez comme suit :
    1. Dans la section Définir les détails de connexion, saisissez l'adresse IP de la VM Compute Engine où vous hébergez la base de données Oracle.

      Vous pouvez afficher l'adresse IP de la VM dans la Google Cloud console.

    2. Dans la section Définir une méthode de connectivité, sélectionnez Connectivité privée.
    3. Dans le menu déroulant, sélectionnez la configuration de connectivité privée que vous avez créée à l'étape précédente.

Pour les sources auto-hébergées en dehors de Google Cloud

Pour utiliser la connectivité privée avec des interfaces Private Service Connect pour une base de données Oracle source auto-hébergée qui réside dans un réseau en dehors de Google Cloud, procédez comme suit :

  1. Configurez une connectivité directe avec Cloud VPN vers votre Oracle source.

    Selon l'architecture de votre réseau, vous devrez peut-être configurer des passerelles VPN supplémentaires dans votre système. Pour en savoir plus, consultez la section Créer une passerelle VPN haute disponibilité vers une passerelle VPN de pair dans la documentation Cloud VPN.

  2. Facultatif : Si vous ne pouvez pas créer la configuration de connectivité privée dans le même réseau VPC que celui où se trouve Cloud VPN, créez une machine virtuelle (VM) de proxy inverse sur Compute Engine pour transférer les connexions entre les VPC.
  3. Créez un rattachement de réseau dans le VPC où se trouve votre Cloud VPN. Procédez comme suit :
    1. Dans la Google Cloud console, accédez à la page Rattachements de réseau.

      Accéder aux rattachements de réseau

    2. Cliquez sur Créer un rattachement de réseau.
    3. Saisissez un nom pour le rattachement.
    4. Dans le menu Réseau, sélectionnez le VPC où réside votre source auto-hébergée.

    5. Pour la région, utilisez la même région que celle dans laquelle vous prévoyez de créer la base de données de destination.

      Database Migration Service est un produit entièrement régional, ce qui signifie que toutes les entités liées à votre migration (profils de connexion source et de destination, tâches de migration, bases de données de destination, espaces de travail de conversion) doivent être enregistrées dans une seule région.

    6. Dans le menu Sous-réseau, sélectionnez un sous-réseau dans lequel vous disposez d'au moins six adresses IP utilisables sans frais pour Database Migration Service (c'est-à-dire une plage /29).

    7. Dans Préférences de connexion, sélectionnez Accepter les connexions pour les projets sélectionnés.

      Database Migration Service ajoute automatiquement le projet producteur à la liste Projets acceptés lorsque vous créez la configuration de connectivité privée.

    8. N'ajoutez pas de Projets acceptés ni de Projets refusés.
    9. Cliquez sur Créer un rattachement de réseau.
  4. Dans Database Migration Service, créez une configuration de connectivité privée pour les interfaces Private Service Connect.
  5. À une étape ultérieure, lorsque vous créez le profil de connexion source, procédez comme suit :
    1. Dans la section Définir les détails de connexion, saisissez l'adresse IP privée de votre source Oracle.
    2. Dans la section Définir une méthode de connectivité, sélectionnez Connectivité privée.
    3. Dans le menu déroulant, sélectionnez la configuration de connectivité privée que vous avez créée à l'étape précédente.

Configurer la connectivité privée avec l'appairage de VPC

Cette méthode de connectivité nécessite que l'adresse IP ou le nom d'hôte de votre base de données source soient accessibles depuis votre Google Cloud VPC. Les sources auto-hébergées qui résident dans des réseaux en dehors de Google Cloud peuvent nécessiter l'utilisation de composants réseau supplémentaires tels que Cloud VPN ou Cloud Interconnect.

Pour les sources auto-hébergées dans Google Cloud

Pour utiliser la connectivité privée avec l'appairage de cloud privé virtuel pour une base de données Oracle source hébergée sur une VM Compute Engine, procédez comme suit :

  1. Assurez-vous que le réseau cloud privé virtuel où une adresse IP est attribuée à votre VM est configuré pour l'accès aux services privés. Pour en savoir plus, consultez la section Configurer l'accès aux services privés.
  2. Dans Database Migration Service, créez une configuration de connectivité privée pour l'appairage avec le réseau VPC où votre base de données Oracle est hébergée sur une VM Compute Engine.
  3. À une étape ultérieure, lorsque vous créez le profil de connexion source, procédez comme suit :
    1. Dans la section Définir les détails de connexion, saisissez l'adresse IP de la VM Compute Engine où vous hébergez la base de données Oracle.

      Vous pouvez afficher l'adresse IP de la VM dans la Google Cloud console.

    2. Dans la section Définir une méthode de connectivité, sélectionnez Connectivité privée (appairage de VPC).
    3. Dans le menu déroulant, sélectionnez la configuration de connectivité privée que vous avez créée à l'étape précédente.

Pour les sources auto-hébergées en dehors de Google Cloud

Pour utiliser la connectivité privée avec l'appairage de cloud privé virtuel pour une base de données Oracle source auto-hébergée qui réside dans un réseau en dehors de Google Cloud, procédez comme suit :

  1. Configurez une connectivité directe avec Cloud VPN vers votre Oracle source.

    Selon l'architecture de votre réseau, vous devrez peut-être configurer des passerelles VPN supplémentaires dans votre système. Pour en savoir plus, consultez la section Créer une passerelle VPN haute disponibilité vers une passerelle VPN de pair dans la documentation Cloud VPN.

  2. Facultatif : Si vous ne pouvez pas créer la configuration de connectivité privée dans le même réseau VPC que celui où se trouve Cloud VPN, créez une machine virtuelle (VM) de proxy inverse sur Compute Engine pour transférer les connexions entre les VPC.
  3. Dans Database Migration Service, créez une configuration de connectivité privée pour l'appairage avec le réseau VPC où se trouve votre Cloud VPN.
  4. À une étape ultérieure, lorsque vous créez le profil de connexion source, procédez comme suit :
    1. Dans la section Définir les détails de connexion, saisissez l'adresse IP privée de votre source Oracle.
    2. Dans la section Définir une méthode de connectivité, sélectionnez Connectivité privée (appairage de VPC).
    3. Dans le menu déroulant, sélectionnez la configuration de connectivité privée que vous avez créée à l'étape précédente.

Étape suivante