このページでは、Database Migration Service を使用して、異種環境の Oracle から Cloud SQL for PostgreSQL への移行を行うために、セルフホスト型 Oracle ソースへのネットワーク接続を構成する方法について説明します。
セルフホストの Oracle ソースからの移行に必要なネットワーク接続を構成するには、次の 3 つの方法があります。
- パブリック IP 許可リスト
- フォワード SSH トンネル
- Private Service Connect インターフェースによるプライベート IP 接続
- Virtual Private Cloud ピアリングによるプライベート IP 接続
IP 許可リストの接続を構成する
パブリック IP 許可リスト接続方法を使用する手順は次のとおりです。
- 移行元データベースに、パブリック インターネットからアクセスできる IP アドレスがあることを確認します。接続に IP アドレスを使用する必要はありません。IP に関連付けられた DNS レコードがある場合は、代わりにそのレコードを使用できます。
- Database Migration Service からの接続を受け入れるように、移行元データベース サーバーに受信ファイアウォール ルールを作成します。次の構成を使用します。
- ルールタイプには
portを使用します。 - 許可された IP アドレス範囲に、移行ジョブを作成するリージョンの Database Migration Service のパブリック IP アドレスをすべて追加します。
- プロトコルを
TCPに設定します。 - ルールに関連付けるポート番号を、移行元データベースが受信接続をリッスンしているポートに設定します。これは、移行元接続プロファイルに入力する必要があるポート番号と同じです。
Oracle サーバーはデフォルトで
1521ポートを使用します。
ファイアウォール ルールの構成手順は、使用するサーバー ソフトウェアによって異なります。詳細については、ファイアウォール製品のドキュメントをご覧ください。
- ルールタイプには
- 後で、 移行元接続プロファイルを作成するときに、[接続方法の定義] セクションで [IP 許可リスト] を選択します。
フォワード SSH トンネル経由の接続を構成する
Secure Shell(SSH)トンネルを使用してソース データベースに接続する手順は次のとおりです。
- Database Migration Service とソース データベース間のトンネルを開くことができる仮想マシン(VM)を作成します。トンネル サーバーには、次の条件を満たす Unix/Linux ホストを指定できます。
- SSH 経由で公共のインターネットからアクセスできる。
- ソース データベースのプライベート IP アドレスにアクセスできる。
SSH サーバーで、Database Migration Service が SSH トンネルへの接続に使用できるユーザー アカウントを作成します。
たとえば、Ubuntu システムでは次のコマンドを使用できます。
- ユーザー アカウントを作成します。
adduser TUNNEL_ACCOUNT_USERNAME - ユーザー アカウントのシェル アクセスを制限して、セキュリティを強化します。
usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME
- ユーザー アカウントを作成します。
トンネルに接続するときに Database Migration Service で使用する認証方法を決定します。
パスワードを使用するか、
PEM形式の SSH 認証鍵を生成して、移行元接続プロファイルの作成時に Database Migration Service にアップロードできます。- パスワードを使用する場合は、追加の構成を行う必要はありません。TUNNEL_ACCOUNT_USERNAME アカウント用に作成したパスワードを覚えておいてください。
- 鍵ベースの認証を使用する場合は、秘密鍵と公開鍵のペアを生成する必要があります。たとえば、
ssh-keygenユーティリティを使用できます。- 鍵ペアを生成します。
ssh-keygen -m PEM -f YOUR_KEY_NAME
- 公開鍵(
YOUR_KEY_NAME.pub)をトンネル サーバーの~/.ssh/ディレクトリにコピーします。 - 秘密鍵を保存します。これは、移行元接続プロファイルを作成するときに、後で Database Migration Service にアップロードする必要があります。
- 鍵ペアを生成します。
- 組織の要件に合わせて転送 SSH トンネルを構成するように
/etc/ssh/sshd_configファイルを編集します。次の設定を使用することをおすすめします。# Only allow the Database Migration Service user to connect. AllowUsers TUNNEL_ACCOUNT_USERNAME # Send keep-alive packets every 60 seconds to ensure that # the tunnel doesn't close during the migration ServerAliveInterval=60 # Optional: Force key-based authentication PasswordAuthentication no # Enables Database Migration Service to connect from a different host PermitTunnel yes GatewayPorts yes
sshコマンドを実行してトンネルを開始します。後述のコマンドデータを使用する前に、次のように置き換えます。
- TUNNEL_SERVER_SSH_PORT: サーバーが SSH 接続をリッスンしているポート番号。
- SOURCE_DATABASE_PRIVATE_IP は、ソース データベースのプライベート IP アドレスに置き換えます。SSH サーバーがその IP に到達できる必要があります。
- SOURCE_DATABASE_PORT は、移行元データベースが接続をリッスンしているポート番号に置き換えます。Oracle の TCP 接続のデフォルトのポート番号は
1433です。 - USERNAME は、トンネルを実行するユーザー アカウントの名前に置き換えます。これは TUNNEL_ACCOUNT_USERNAME とは別のアカウントです。
- TUNNEL_SERVER_PUBLIC_IP: SSH トンネル サーバーのパブリック IP。
ssh -N -L \ TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \ USERNAME@TUNNEL_SERVER_PUBLIC_IP
- 移行ジョブを作成するリージョンの Database Migration Service パブリック IP アドレスからの接続を受け入れるように、SSH トンネルにインバウンド ファイアウォール ルールを作成します。
- 後で、
ソース接続プロファイルを作成するときに、次の操作を行います。
- [接続の詳細を定義する] セクションに、移行元 Oracle インスタンスのプライベート IP を入力します。
- [接続方法の定義] セクションで、[転送 SSH トンネル] を選択します。
- SSH サーバーのパブリック IP アドレスまたはホスト名を指定します。
- トンネル サーバーで SSH 接続用に指定したポートを指定します。
- Database Migration Service 用に作成したユーザーのユーザー名を入力して、接続します(つまり、TUNNEL_ACCOUNT_USERNAME の値)。
- [認証方法] プルダウン メニューから、TUNNEL_ACCOUNT_USERNAME ユーザーで使用する認証方法を選択します。
- ユーザー パスワードを使用する場合は、[パスワード] を選択し、フォームに TUNNEL_ACCOUNT_USERNAME パスワードを入力します。
- 鍵ベースの認証を使用するように SSH サーバーを構成した場合は、[秘密鍵/公開鍵ペア] を選択し、秘密鍵をアップロードします。
ssh-keygenコマンドで生成した秘密鍵。
Private Service Connect インターフェースのプライベート接続を構成する
この接続方法を使用すると、 VPC ピアリングの割り当てを消費せずに、移行元データベースのプライベート IP に接続できます。Private Service Connect インターフェースは、プライベート IP 接続に推奨される方法です。
Google Cloudのセルフホスト ソースの場合
Compute Engine VM でホストされているソース Oracle データベースに Private Service Connect インターフェースでプライベート接続を使用するには、次の操作を行います。
- セルフホスト ソースが存在する VPC にネットワーク アタッチメントを作成します。手順は次のとおりです。
- Google Cloud コンソールで、[ネットワーク アタッチメント] ページに移動します。
- [ネットワーク アタッチメントの作成] をクリックします。
- 添付ファイルの名前を入力します。
- [ネットワーク] メニューから、セルフホスト型の移行元が存在する VPC を選択します。
-
リージョンには、移行先のデータベースを作成する予定のリージョンと同じリージョンを使用します。
Database Migration Service は完全にリージョンに依存するプロダクトです。つまり、移行に関連するすべてのエンティティ(移行元と移行先の接続プロファイル、移行ジョブ、移行先データベース、変換ワークスペース)は、単一のリージョンに保存する必要があります。
-
[接続の設定] で、[選択したプロジェクトの接続を受け入れる] を選択します。
Database Migration Service は、後で プライベート接続構成を作成するときに、プロデューサー プロジェクトを [承認済みプロジェクト] リストに自動的に追加します。
- [承認済みプロジェクト] や [不承認となったプロジェクト] は追加しないでください。
- [ネットワーク アタッチメントの作成] をクリックします。
- Database Migration Service で、 Private Service Connect インターフェースのプライベート接続構成を作成します。
- 後で、
ソース接続プロファイルを作成するときに、次の操作を行います。
- [接続の詳細を定義する] セクションで、Oracle データベースをホストする Compute Engine VM の IP アドレスを入力します。
Google Cloud コンソールで VM の IP アドレスを表示できます。
- [接続方法の定義] セクションで、[プライベート接続] を選択します。
- プルダウン メニューから、前の手順で作成したプライベート接続構成を選択します。
- [接続の詳細を定義する] セクションで、Oracle データベースをホストする Compute Engine VM の IP アドレスを入力します。
Google Cloudの外部にあるセルフホスト ソースの場合
Google Cloudの外部のネットワークにある自己ホスト型の Oracle ソース データベースで Private Service Connect インターフェースを使用してプライベート接続を使用するには、次の操作を行います。
-
Cloud VPN を使用して Oracle ソースへの直接接続を設定します。
ネットワーク アーキテクチャによっては、システムに追加の VPN ゲートウェイを設定する必要があります。詳細については、Cloud VPN のドキュメントの ピア VPN ゲートウェイに対する HA VPN ゲートウェイを作成するをご覧ください。
- 省略可: Cloud VPN がある VPC ネットワークにプライベート接続構成を作成できない場合は、 Compute Engine にリバース プロキシ仮想マシン(VM)を作成して、VPC 間の接続を転送します。
- Cloud VPN がある VPC にネットワーク アタッチメントを作成します。手順は次のとおりです。
- Google Cloud コンソールで、[ネットワーク アタッチメント] ページに移動します。
- [ネットワーク アタッチメントの作成] をクリックします。
- 添付ファイルの名前を入力します。
- [ネットワーク] メニューから、セルフホスト型の移行元が存在する VPC を選択します。
-
リージョンには、移行先のデータベースを作成する予定のリージョンと同じリージョンを使用します。
Database Migration Service は完全にリージョンに依存するプロダクトです。つまり、移行に関連するすべてのエンティティ(移行元と移行先の接続プロファイル、移行ジョブ、移行先データベース、変換ワークスペース)は、単一のリージョンに保存する必要があります。
- [サブネットワーク] メニューで、Database Migration Service で使用可能な IP アドレスが 6 つ以上あるサブネット(
/29範囲)を選択します。 -
[接続の設定] で、[選択したプロジェクトの接続を受け入れる] を選択します。
Database Migration Service は、後で プライベート接続構成を作成するときに、プロデューサー プロジェクトを [承認済みプロジェクト] リストに自動的に追加します。
- [承認済みプロジェクト] や [不承認となったプロジェクト] は追加しないでください。
- [ネットワーク アタッチメントの作成] をクリックします。
- Database Migration Service で、 Private Service Connect インターフェースのプライベート接続構成を作成します。
- 後で、
ソース接続プロファイルを作成するときに、次の操作を行います。
- [接続の詳細を定義する] セクションで、Oracle ソースのプライベート IP を入力します。
- [接続方法の定義] セクションで、[プライベート接続] を選択します。
- プルダウン メニューから、前の手順で作成したプライベート接続構成を選択します。
VPC ピアリングを使用してプライベート接続を構成する
この接続方法では、移行元データベースの IP アドレスまたはホスト名が Google Cloud VPC から到達可能である必要があります。 Google Cloudの外部のネットワークに存在するセルフホスト ソースでは、Cloud VPN や Cloud Interconnect などの追加のネットワーク コンポーネントを使用する必要がある場合があります。
Google Cloudのセルフホスト ソースの場合
Compute Engine VM でホストされている移行元 Oracle データベースに Virtual Private Cloud ピアリングでプライベート接続を使用するには、次の操作を行います。
- VM に IP アドレスが割り当てられている Virtual Private Cloud ネットワークが、プライベート サービス アクセス用に構成されていることを確認します。詳細については、 プライベート サービス アクセスを構成するをご覧ください。
- Database Migration Service で、 プライベート接続構成を作成して、Oracle データベースが Compute Engine VM でホストされている VPC ネットワークとピアリングします。
- 後で、
ソース接続プロファイルを作成するときに、次の操作を行います。
- [接続の詳細を定義する] セクションで、Oracle データベースをホストする Compute Engine VM の IP アドレスを入力します。
Google Cloud コンソールで VM の IP アドレスを表示できます。
- [接続方法の定義] セクションで、[プライベート接続(VPC ピアリング)] を選択します。
- プルダウン メニューから、前の手順で作成したプライベート接続構成を選択します。
- [接続の詳細を定義する] セクションで、Oracle データベースをホストする Compute Engine VM の IP アドレスを入力します。
Google Cloudの外部にあるセルフホスト ソースの場合
Google Cloudの外部のネットワークにあるセルフホストの Oracle ソース データベースで Virtual Private Cloud ピアリングを使用してプライベート接続を使用するには、次の操作を行います。
-
Cloud VPN を使用して Oracle ソースへの直接接続を設定します。
ネットワーク アーキテクチャによっては、システムに追加の VPN ゲートウェイを設定する必要があります。詳細については、Cloud VPN のドキュメントの ピア VPN ゲートウェイに対する HA VPN ゲートウェイを作成するをご覧ください。
- 省略可: Cloud VPN がある VPC ネットワークにプライベート接続構成を作成できない場合は、 Compute Engine にリバース プロキシ仮想マシン(VM)を作成して、VPC 間の接続を転送します。
- Database Migration Service で、Cloud VPN がある VPC ネットワークとピアリングする プライベート接続構成を作成します。
- 後で、
ソース接続プロファイルを作成するときに、次の操作を行います。
- [接続の詳細を定義する] セクションで、Oracle ソースのプライベート IP を入力します。
- [接続方法の定義] セクションで、[プライベート接続(VPC ピアリング)] を選択します。
- プルダウン メニューから、前の手順で作成したプライベート接続構成を選択します。
次のステップ
ソース データベースのネットワーク接続の詳細については、 ソース ネットワーキング方法の概要をご覧ください。
移行の完全な手順については、 Oracle から Cloud SQL for PostgreSQL への移行ガイドをご覧ください。