Configure a conetividade de rede a origens Oracle autoalojadas

Esta página descreve como configurar a conetividade de rede a origens Oracle autoalojadas para migrações heterogéneas do Oracle para o Cloud SQL para PostgreSQL com o serviço de migração de base de dados.

Existem três métodos diferentes que pode usar para configurar a conectividade de rede necessária para migrações de origens Oracle alojadas por si:

Configure a conetividade da lista de autorizações de IPs

Para usar o método de conetividade da lista de autorizações de IPs públicos, siga estes passos:

  1. Certifique-se de que a base de dados de origem tem um endereço IP que pode ser alcançado a partir da Internet pública. Não precisa de usar o endereço IP para estabelecer ligação. Se tiver um registo de DNS associado ao IP, pode usá-lo em alternativa.
  2. Crie uma regra de firewall de entrada no servidor da base de dados de origem para aceitar ligações do serviço de migração de bases de dados. Use a seguinte configuração:
    1. Para o tipo de regra, use port.
    2. Para o intervalo de endereços IP permitidos, adicione todos os endereços IP públicos do serviço de migração de bases de dados para a região onde cria a tarefa de migração.
    3. Defina o protocolo como TCP.
    4. Defina o número da porta associado à regra para a porta onde a base de dados de origem está a ouvir ligações recebidas. Este é o mesmo número de porta que tem de introduzir no perfil de associação de origem.

      Por predefinição, o servidor Oracle usa a porta 1521.

    Os passos para configurar regras de firewall diferem consoante o software de servidor que usa. Para mais informações, consulte a documentação do seu produto de firewall.

  3. Numa fase posterior, quando criar o perfil de associação de origem, na secção Definir método de conetividade, selecione Lista de autorizações de IPs.

Configure a conetividade através de um túnel SSH de encaminhamento

Para estabelecer ligação à base de dados de origem com um túnel Secure Shell (SSH), siga estes passos:

  1. Crie uma máquina virtual (VM) que possa abrir o túnel entre o Database Migration Service e a sua base de dados de origem. O servidor de túnel pode ser qualquer anfitrião Unix/Linux que:
    • Pode aceder-se a partir da Internet pública através de SSH.
    • Pode aceder ao endereço IP privado da sua base de dados de origem.

  2. No servidor SSH, crie uma conta de utilizador que o serviço de migração de bases de dados possa usar para estabelecer ligação ao túnel SSH.

    Por exemplo, num sistema Ubuntu, pode usar os seguintes comandos:

    1. Crie uma conta de utilizador: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restrinja o acesso à shell para a conta de utilizador para melhorar a segurança: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Decida que método de autenticação quer que o serviço de migração de bases de dados use quando estabelecer ligação ao túnel.

    Pode usar uma palavra-passe ou gerar chaves SSH no formato PEM que pode carregar posteriormente para o serviço de migração de bases de dados quando criar o perfil de ligação de origem.

    • Se quiser usar uma palavra-passe, não tem de configurar nada adicional. Lembre-se da palavra-passe que criou para a conta TUNNEL_ACCOUNT_USERNAME.
    • Se quiser usar a autenticação baseada em chaves, tem de gerar um par de chaves públicas/privadas. Por exemplo, pode usar o utilitário ssh-keygen:
      1. Gere o par de chaves: 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Copie a chave pública (YOUR_KEY_NAME.pub) para o diretório ~/.ssh/ no servidor de túnel.
      3. Guarde a chave privada. Tem de carregá-lo mais tarde para o serviço de migração de bases de dados quando criar o perfil de ligação de origem.
  4. Edite o ficheiro /etc/ssh/sshd_config para configurar o túnel forward-SSH de acordo com os requisitos da sua organização. Recomendamos que use as seguintes definições: 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Execute o comando ssh para iniciar o túnel.

    Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

    • TUNNEL_SERVER_SSH_PORT com o número da porta onde o seu servidor está a escutar ligações SSH.
    • SOURCE_DATABASE_PRIVATE_IP com o endereço IP privado da base de dados de origem. O servidor SSH tem de conseguir aceder a esse IP.
    • SOURCE_DATABASE_PORT com o número da porta onde a base de dados de origem está a ouvir ligações. O número da porta predefinido para as ligações TCP no Oracle é 1433.
    • USERNAME com o nome da conta de utilizador que vai executar o túnel. Esta é uma conta separada da conta de TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP com o IP público do seu servidor de túnel SSH. 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Crie uma regra de firewall de entrada no seu túnel SSH para aceitar ligações dos endereços IP públicos do serviço de migração de bases de dados para a região onde cria a tarefa de migração.
  7. Numa fase posterior, quando criar o perfil de associação de origem, faça o seguinte:
    1. Na secção Defina os detalhes da ligação, introduza o IP privado da sua instância Oracle de origem.
    2. Na secção Definir método de conetividade, selecione Túnel SSH de encaminhamento.
    3. Indique o endereço IP público ou o nome de anfitrião do seu servidor SSH.
    4. Indique a porta que designou para as ligações SSH no servidor de túnel.
    5. Introduza o nome de utilizador do utilizador que criou para o serviço de migração de bases de dados para estabelecer ligação como (ou seja, o valor de TUNNEL_ACCOUNT_USERNAME).
    6. No menu pendente Método de autenticação, selecione o método de autenticação que quer usar com o utilizador TUNNEL_ACCOUNT_USERNAME:
      • Se quiser usar a palavra-passe do utilizador, selecione Palavra-passe e introduza a palavra-passe TUNNEL_ACCOUNT_USERNAME no formulário.
      • Se configurou o seu servidor SSH para usar a autenticação baseada em chaves, selecione Par de chaves privadas/públicas e carregue a chave privada que gerou com o comando ssh-keygen.

Configure interfaces do Private Service Connect de conetividade privada

Este método de conetividade permite-lhe estabelecer ligação ao IP privado da sua base de dados de origem sem consumir a quota de intercâmbio da VPC. As interfaces do Private Service Connect são o método recomendado para a conetividade de IP privado.

Para fontes autoalojadas em Google Cloud

Para usar a conetividade privada com interfaces do Private Service Connect para uma base de dados Oracle de origem alojada numa VM do Compute Engine, siga estes passos:

  1. Crie uma associação de rede na VPC onde reside a sua origem alojada por si. Siga estes passos:
    1. Na Google Cloud consola, aceda à página Anexos de rede.

      Aceda a Anexos de rede

    2. Clique em Criar anexo de rede.
    3. Introduza um nome para o anexo.
    4. No menu Rede, selecione a VPC onde reside a origem alojada por si.

    5. Para a região, use a mesma região onde planeia criar a base de dados de destino.

      O serviço de migração de bases de dados é um produto totalmente regional, o que significa que todas as entidades relacionadas com a sua migração (perfis de ligação de origem e destino, tarefas de migração, bases de dados de destino, espaços de trabalho de conversão) têm de ser guardadas numa única região.

    6. Em Preferência de associação, selecione Aceitar associações para projetos selecionados.

      O serviço de migração de bases de dados adiciona automaticamente o projeto produtor à lista de Projetos aceites quando, mais tarde, criar a configuração de conetividade privada.

    7. Não adicione Projetos aceites nem Projetos rejeitados.
    8. Clique em Criar anexo de rede.
  2. No serviço de migração de bases de dados, crie uma configuração de conetividade privada para interfaces do Private Service Connect.
  3. Numa fase posterior, quando criar o perfil de associação de origem, faça o seguinte:
    1. Na secção Definir detalhes da ligação, introduza o endereço IP da VM do Compute Engine onde aloja a base de dados Oracle.

      Pode ver o endereço IP da VM na Google Cloud consola.

    2. Na secção Definir método de conetividade, selecione Conetividade privada.
    3. No menu pendente, selecione a configuração de conetividade privada que criou no passo anterior.

Para fontes alojadas por si fora do Google Cloud

Para usar a conetividade privada com interfaces do Private Service Connect para uma base de dados de origem Oracle alojada por si própria que reside numa rede fora Google Cloud, siga estes passos:

  1. Configure a conetividade direta com o Cloud VPN à sua origem Oracle.

    Consoante a arquitetura da sua rede, pode ter de configurar gateways de VPN adicionais no seu sistema. Para mais informações, consulte o artigo Crie um gateway de VPN de alta disponibilidade para um gateway de VPN de intercâmbio na documentação do Cloud VPN.

  2. Opcional: se não conseguir criar a configuração de conetividade privada na mesma rede da VPC onde tem a Cloud VPN, crie uma máquina virtual (VM) de proxy inverso no Compute Engine para encaminhar as ligações entre VPCs.
  3. Crie uma associação de rede na VPC onde tem o Cloud VPN. Siga estes passos:
    1. Na Google Cloud consola, aceda à página Anexos de rede.

      Aceda a Anexos de rede

    2. Clique em Criar anexo de rede.
    3. Introduza um nome para o anexo.
    4. No menu Rede, selecione a VPC onde reside a origem alojada por si.

    5. Para a região, use a mesma região onde planeia criar a base de dados de destino.

      O serviço de migração de bases de dados é um produto totalmente regional, o que significa que todas as entidades relacionadas com a sua migração (perfis de ligação de origem e destino, tarefas de migração, bases de dados de destino, espaços de trabalho de conversão) têm de ser guardadas numa única região.

    6. No menu Sub-rede, selecione uma sub-rede onde tenha, pelo menos, 6 endereços IP utilizáveis gratuitos para o Database Migration Service (ou seja, um intervalo /29).

    7. Em Preferência de associação, selecione Aceitar associações para projetos selecionados.

      O serviço de migração de bases de dados adiciona automaticamente o projeto produtor à lista de Projetos aceites quando, mais tarde, criar a configuração de conetividade privada.

    8. Não adicione Projetos aceites nem Projetos rejeitados.
    9. Clique em Criar anexo de rede.
  4. No serviço de migração de bases de dados, crie uma configuração de conetividade privada para interfaces do Private Service Connect.
  5. Numa fase posterior, quando criar o perfil de associação de origem, faça o seguinte:
    1. Na secção Defina os detalhes da ligação, introduza o IP privado da sua origem Oracle.
    2. Na secção Definir método de conetividade, selecione Conetividade privada.
    3. No menu pendente, selecione a configuração de conetividade privada que criou no passo anterior.

Configure a conetividade privada com o intercâmbio da VPC

Este método de conetividade requer que o endereço IP ou o nome do anfitrião da base de dados de origem seja acessível a partir da sua Google Cloud VPC. As origens com alojamento próprio que residem em redes externas Google Cloud podem exigir que use componentes de rede adicionais, como o Cloud VPN ou o Cloud Interconnect.

Para fontes autoalojadas em Google Cloud

Para usar a conetividade privada com o intercâmbio da nuvem virtual privada para uma base de dados Oracle de origem alojada numa VM do Compute Engine, siga estes passos:

  1. Certifique-se de que a rede de nuvem privada virtual onde a sua VM tem um endereço IP atribuído está configurada para acesso privado a serviços. Para mais informações, consulte o artigo Configure o acesso a serviços privados.
  2. No Database Migration Service, crie uma configuração de conetividade privada para estabelecer intercâmbio com a rede da VPC onde tem a sua base de dados Oracle alojada numa VM do Compute Engine.
  3. Numa fase posterior, quando criar o perfil de associação de origem, faça o seguinte:
    1. Na secção Definir detalhes da ligação, introduza o endereço IP da VM do Compute Engine onde aloja a base de dados Oracle.

      Pode ver o endereço IP da VM na Google Cloud consola.

    2. Na secção Definir método de conetividade, selecione Conetividade privada (interligação de VPCs).
    3. No menu pendente, selecione a configuração de conetividade privada que criou no passo anterior.

Para fontes alojadas por si fora do Google Cloud

Para usar a conetividade privada com o peering da nuvem privada virtual para uma base de dados de origem Oracle alojada por si própria que reside numa rede fora doGoogle Cloud, siga estes passos:

  1. Configure a conetividade direta com o Cloud VPN à sua origem Oracle.

    Consoante a arquitetura da sua rede, pode ter de configurar gateways de VPN adicionais no seu sistema. Para mais informações, consulte o artigo Crie um gateway de VPN de alta disponibilidade para um gateway de VPN de intercâmbio na documentação do Cloud VPN.

  2. Opcional: se não conseguir criar a configuração de conetividade privada na mesma rede da VPC onde tem a Cloud VPN, crie uma máquina virtual (VM) de proxy inverso no Compute Engine para encaminhar as ligações entre VPCs.
  3. No Database Migration Service, crie uma configuração de conetividade privada para estabelecer intercâmbio com a rede da VPC onde tem a Cloud VPN.
  4. Numa fase posterior, quando criar o perfil de associação de origem, faça o seguinte:
    1. Na secção Defina os detalhes da ligação, introduza o IP privado da sua origem Oracle.
    2. Na secção Definir método de conetividade, selecione Conetividade privada (interligação de VPCs).
    3. No menu pendente, selecione a configuração de conetividade privada que criou no passo anterior.

O que se segue?