このページでは、Database Migration Service を使用して、異種環境の Oracle から Cloud SQL for PostgreSQL への移行を行うために、セルフホスト型 Oracle ソースへのネットワーク接続を構成する方法について説明します。
セルフホスト型 Oracle ソースからの移行に必要なネットワーク接続を構成するには、次の 3 つの方法があります。
- パブリック IP 許可リスト
- フォワード SSH トンネル
- Private Service Connect インターフェースを使用したプライベート IP 接続
- Virtual Private Cloud ピアリングを使用したプライベート IP 接続
IP 許可リスト接続を構成する
パブリック IP 許可リスト接続方法を使用する手順は次のとおりです。
- ソース データベースに、パブリック インターネットから到達可能な IP アドレスがあることを確認します。接続に IP アドレスを使用する必要はありません。 IP に関連付けられた DNS レコードがある場合は、代わりにそのレコードを使用できます。
- Database Migration Service からの接続を受け入れるように、ソース データベース サーバーにインバウンド ファイアウォール ルールを作成します。次の構成を使用します。
- ルールタイプには
portを使用します。 - 許可される IP アドレス範囲に、移行ジョブを作成するリージョンのすべての Database Migration Service パブリック IP アドレスを追加します。
- プロトコルを
TCPに設定します。 - ルールに関連付けられたポート番号を、ソース データベースが受信接続をリッスンしているポートに設定します。これは、ソース接続プロファイルに入力する必要があるポート番号と同じです。
Oracle サーバーはデフォルトで
1521ポートを使用します。
ファイアウォール ルールの構成手順は、使用する サーバー ソフトウェアによって異なります。詳細については、ファイアウォール プロダクトのドキュメントをご覧ください。
- ルールタイプには
- 後の段階でソース接続プロファイルを作成するときに、 [接続方法の定義] セクションで [IP 許可リスト] を選択します。
フォワード SSH トンネル経由の接続を構成する
Secure Shell(SSH)トンネルを使用してソース データベースに接続する手順は次のとおりです。
- Database Migration Service とソース データベースの間にトンネルを開くことができる仮想マシン(VM)を作成します。
トンネル サーバーには、次の条件を満たす
Unix/Linux ホストを指定できます。
- SSH 経由でパブリック インターネットからアクセスできる。
- ソース データベースのプライベート IP アドレスにアクセスできる。
SSH サーバーで、Database Migration Service が SSH トンネルへの接続に使用できるユーザー アカウントを作成します。 SSH トンネルへの接続に使用できるユーザー アカウントを作成します。
たとえば、Ubuntu システムでは、次のコマンドを使用できます。
- ユーザー アカウントを作成します。
adduser TUNNEL_ACCOUNT_USERNAME - セキュリティを強化するため、ユーザー アカウントのシェル アクセスを制限します。
usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME
- ユーザー アカウントを作成します。
トンネルに接続するときに Database Migration Service で使用する認証方法を決定します。
パスワードを使用するか、
PEM形式の SSH 鍵を生成して、ソース接続プロファイルを作成するときに Database Migration Service にアップロードできます。- パスワードを使用する場合は、追加の設定は必要ありません。 TUNNEL_ACCOUNT_USERNAME アカウント用に作成したパスワードを覚えておいてください。
- 鍵ベースの認証を使用する場合は、
秘密鍵と公開鍵のペアを生成する必要があります。たとえば、
ssh-keygenユーティリティを使用できます:- 鍵ペアを生成します。
ssh-keygen -m PEM -f YOUR_KEY_NAME
- 公開鍵(
YOUR_KEY_NAME.pub)をトンネル サーバーの~/.ssh/ディレクトリにコピーします。 - 秘密鍵を保存します。ソース接続プロファイルを作成するときに、後で Database Migration Service にアップロードする必要があります。
- 鍵ペアを生成します。
- 組織の要件に合わせてフォワード SSH
トンネルを構成するように
/etc/ssh/sshd_configファイルを編集します。 次の設定を使用することをおすすめします。# Only allow the Database Migration Service user to connect. AllowUsers TUNNEL_ACCOUNT_USERNAME # Send keep-alive packets every 60 seconds to ensure that # the tunnel doesn't close during the migration ServerAliveInterval=60 # Optional: Force key-based authentication PasswordAuthentication no # Enables Database Migration Service to connect from a different host PermitTunnel yes GatewayPorts yes
sshコマンドを実行してトンネルを開始します。以下のコマンドデータを使用する前に、次の置換を行います。
- TUNNEL_SERVER_SSH_PORT は、サーバーが SSH 接続をリッスンしているポート番号に置き換えます。
- SOURCE_DATABASE_PRIVATE_IP は、ソース データベースのプライベート IP アドレスに置き換えます。SSH サーバーは、その IP に到達できる必要があります。
- SOURCE_DATABASE_PORT は、ソース データベースが接続をリッスンしているポート番号
に置き換えます。Oracle の TCP 接続のデフォルトのポート
番号は
1433です。 - USERNAME は、トンネルを実行するユーザー アカウントの 名前に置き換えます。これは、 TUNNEL_ACCOUNT_USERNAME とは異なるアカウントです。
- TUNNEL_SERVER_PUBLIC_IP は、SSH トンネル サーバーのパブリック IP に置き換えます。
ssh -N -L \ TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \ USERNAME@TUNNEL_SERVER_PUBLIC_IP
- 移行ジョブを作成するリージョンの Database Migration Service パブリック IP アドレスからの接続を受け入れるように、SSH トンネルにインバウンド ファイアウォール ルールを作成します。
-
後の段階でソース接続プロファイルを作成するときに、次の操作を行います。
- [接続の詳細を定義] セクションに、ソース Oracle インスタンスのプライベート IP を入力します。
- [接続方法の定義] セクションで、 [フォワード SSH トンネル] を選択します。
- SSH サーバーのパブリック IP アドレスまたはホスト名を指定します。
- トンネル サーバーの SSH 接続用に指定したポートを指定します。
- Database Migration Service が接続するユーザーのユーザー名(TUNNEL_ACCOUNT_USERNAME の値)を入力します。
- [認証方法] プルダウン メニューから、TUNNEL_ACCOUNT_USERNAME ユーザーで使用する認証方法を選択します。
- ユーザー パスワードを使用する場合は、[パスワード] を選択し、 パスワードをフォームに入力します。 TUNNEL_ACCOUNT_USERNAME
- 鍵ベースの認証を使用するように SSH サーバーを構成した場合は、[秘密鍵/公開鍵のペア] を選択し、秘密鍵
を
ssh-keygenコマンドで生成したものをアップロードします。
Private Service Connect インターフェースを使用してプライベート接続を構成する
この接続方法では、ソース データベースのプライベート IP に接続できます。 VPC ピアリング割り当てを消費しません。Private Service Connect インターフェースは、プライベート IP 接続におすすめの方法です。
内のセルフホスト型ソースの場合 Google Cloud
Compute Engine VM でホストされているソース Oracle データベースに Private Service Connect インターフェースを使用してプライベート接続を使用する手順は次のとおりです。
- セルフホスト型ソースが存在する VPC にネットワーク アタッチメントを作成します。
手順は次のとおりです。
- コンソールで、[ネットワーク アタッチメント] ページに移動します。 Google Cloud
- [ネットワーク アタッチメントの作成] をクリックします。
- アタッチメントの名前を入力します。
- [ネットワーク] メニューから、セルフホスト型ソースが存在する VPC を選択します。
-
リージョンには、移行先データベースを作成する予定のリージョンと同じリージョンを使用します。
Database Migration Service はリージョン プロダクトです。つまり、移行に関連するすべてのエンティティ (移行元と移行先の接続プロファイル、 移行ジョブ、移行先データベース、変換ワークスペース)は、 単一のリージョンに保存する必要があります。
-
[**接続の設定**] で、 [**選択したプロジェクトの接続を受け入れる**] を選択します。
後でプライベート接続構成を作成すると、Database Migration Service によってプロデューサー プロジェクトが [承認済みプロジェクト] リストに自動的に追加されます 。
- [承認済みプロジェクト] や [不承認となったプロジェクト] は追加しないでください。
- [ネットワーク アタッチメントの作成] をクリックします。
- Database Migration Service で、 Private Service Connect インターフェースのプライベート接続構成を作成します。
-
後の段階でソース接続プロファイルを作成するときに、次の操作を行います。
- In the [Define connection details] section, enter the IP address of the Compute Engine VM where you host the Oracle database.
VM の IP アドレスは コンソールで確認できます。 Google Cloud
- [接続方法の定義] セクションで、 [**プライベート接続**] を選択します。
- プルダウン メニューから、前の手順で作成したプライベート接続構成 を選択します。
- In the [Define connection details] section, enter the IP address of the Compute Engine VM where you host the Oracle database.
の外部にあるセルフホスト型ソースの場合 Google Cloud
の外部のネットワークに存在するセルフホスト型 Oracle ソース データベースに Private Service Connect インターフェースを使用してプライベート接続を使用する手順は次のとおりです。Google Cloud
-
Cloud VPN を使用して Oracle ソースへの直接接続を設定します。
ネットワーク アーキテクチャによっては、システムに追加の VPN ゲートウェイを設定する必要がある場合があります。 詳細については、 Cloud VPN ドキュメントのピア VPN ゲートウェイに対する HA VPN ゲートウェイを作成する をご覧ください。
- 省略可: Cloud VPN がある VPC ネットワークと同じ VPC ネットワークにプライベート接続構成を作成できない場合は、Compute Engine に リバース プロキシ仮想マシン(VM)を作成して、VPC 間の接続を転送します。
- Cloud VPN がある VPC にネットワーク アタッチメントを作成します。
手順は次のとおりです。
- コンソールで、[ネットワーク アタッチメント] ページに移動します。 Google Cloud
- [ネットワーク アタッチメントの作成] をクリックします。
- アタッチメントの名前を入力します。
- [ネットワーク] メニューから、セルフホスト型ソースが存在する VPC を選択します。
-
リージョンには、移行先データベースを作成する予定のリージョンと同じリージョンを使用します。
Database Migration Service はリージョン プロダクトです。つまり、移行に関連するすべてのエンティティ (移行元と移行先の接続プロファイル、 移行ジョブ、移行先データベース、変換ワークスペース)は、 単一のリージョンに保存する必要があります。
- From the [Subnetwork] menu, select a subnet where you have at least 6 free usable IP addresses for Database Migration Service (that is, a
/29range). -
[**接続の設定**] で、 [**選択したプロジェクトの接続を受け入れる**] を選択します。
後でプライベート接続構成を作成すると、Database Migration Service によってプロデューサー プロジェクトが [承認済みプロジェクト] リストに自動的に追加されます 。
- [承認済みプロジェクト] や [不承認となったプロジェクト] は追加しないでください。
- [ネットワーク アタッチメントの作成] をクリックします。
- Database Migration Service で、 Private Service Connect インターフェースのプライベート接続構成を作成します。
-
後の段階でソース接続プロファイルを作成するときに、次の操作を行います。
- [**接続の詳細を定義**] セクションに、Oracle ソースのプライベート IP を入力します。
- [接続方法の定義] セクションで、 [**プライベート接続**] を選択します。
- プルダウン メニューから、前の手順で作成したプライベート接続構成 を選択します。
VPC ピアリングを使用してプライベート接続を構成する
この接続方法では、ソース データベースの IP アドレスまたは ホスト名に Google Cloud VPC から到達できる必要があります。 の外部のネットワークに存在するセルフホスト型ソースでは、 Google Cloud Cloud VPN や Cloud Interconnect などの 追加のネットワーク コンポーネントを使用する必要がある場合があります。
内のセルフホスト型ソースの場合 Google Cloud
Compute Engine VM でホストされているソース Oracle データベースに Virtual Private Cloud ピアリングを使用してプライベート接続を使用する手順は次のとおりです。
- VM に IP アドレスが割り当てられている Virtual Private Cloud ネットワークが、プライベート サービス アクセス用に構成されていることを確認します。 詳細については、 プライベート サービス アクセスを構成するをご覧ください。
- Database Migration Service で、 Compute Engine VM で Oracle データベースをホストしている VPC ネットワークとピアリングする プライベート接続構成を作成します。
-
後の段階でソース接続プロファイルを作成するときに、次の操作を行います。
- In the [Define connection details] section, enter the IP address of the Compute Engine VM where you host the Oracle database.
VM の IP アドレスは コンソールで確認できます。 Google Cloud
- [接続方法の定義] セクションで、[プライベート接続(VPC ピアリング)] を選択します。
- プルダウン メニューから、前の手順で作成したプライベート接続構成 を選択します。
- In the [Define connection details] section, enter the IP address of the Compute Engine VM where you host the Oracle database.
の外部にあるセルフホスト型ソースの場合 Google Cloud
の外部のネットワークに存在するセルフホスト型 Oracle ソース データベースに Virtual Private Cloud ピアリングを使用してプライベート接続を使用する手順は次のとおりです。 Google Cloud
-
Cloud VPN を使用して Oracle ソースへの直接接続を設定します。
ネットワーク アーキテクチャによっては、システムに追加の VPN ゲートウェイを設定する必要がある場合があります。 詳細については、 Cloud VPN ドキュメントのピア VPN ゲートウェイに対する HA VPN ゲートウェイを作成する をご覧ください。
- 省略可: Cloud VPN がある VPC ネットワークと同じ VPC ネットワークにプライベート接続構成を作成できない場合は、Compute Engine に リバース プロキシ仮想マシン(VM)を作成して、VPC 間の接続を転送します。
- Database Migration Service で、 Cloud VPN がある VPC ネットワークとピアリングするプライベート接続構成を作成します。
-
後の段階でソース接続プロファイルを作成するときに、次の操作を行います。
- [**接続の詳細を定義**] セクションに、Oracle ソースのプライベート IP を入力します。
- [接続方法の定義] セクションで、[プライベート接続(VPC ピアリング)] を選択します。
- プルダウン メニューから、前の手順で作成したプライベート接続構成 を選択します。
次のステップ
ソース データベースのネットワーク接続の詳細については、 移行元のネットワーキング方法の概要をご覧ください。
移行の完全なステップバイステップ ガイドについては、 Oracle から Cloud SQL for PostgreSQL への移行ガイドをご覧ください。