Configurar a conectividade de rede para origens auto-hospedadas do Oracle

Esta página descreve como configurar a conectividade de rede para origens do Oracle auto-hospedadas para migrações heterogêneas do Oracle para o Cloud SQL para PostgreSQL com o Database Migration Service.

Há três métodos diferentes que podem ser usados para configurar a conectividade de rede necessária para migrações de origens do Oracle auto-hospedadas:

Configurar a conectividade da lista de permissões de IP

Para usar o método de conectividade da lista de permissões de IP público, siga estas etapas:

  1. Verifique se o banco de dados de origem tem um endereço IP que pode ser acessado pela Internet pública. Não é necessário usar o endereço IP para se conectar. Se você tiver um registro DNS associado ao IP, poderá usá-lo.
  2. Crie uma regra de firewall de entrada no servidor de banco de dados de origem para aceitar conexões do Database Migration Service. Use a seguinte configuração:
    1. Para o tipo de regra, use port.
    2. Para o intervalo de endereços IP permitidos, adicione todos os endereços IP públicos do Database Migration Service da região em que você cria o job de migração.
    3. Defina o protocolo como TCP.
    4. Defina o número da porta associada à regra para a porta em que o banco de dados de origem está aguardando conexões de entrada. Esse é o mesmo número de porta que você precisa inserir no perfil de conexão de origem.

      O servidor Oracle usa a porta 1521 por padrão.

    As etapas para configurar regras de firewall variam dependendo do software do servidor usado. Para mais informações, consulte a documentação do produto de firewall.

  3. Em uma etapa posterior, ao criar o perfil de conexão de origem, na seção Definir método de conectividade, selecione Lista de permissões de IP.

Configurar a conectividade por um túnel SSH encaminhado

Para se conectar ao banco de dados de origem com um túnel Secure Shell (SSH), siga estas etapas:

  1. Crie uma máquina virtual (VM) que possa abrir o túnel entre o Database Migration Service e o banco de dados de origem. O servidor do túnel pode ser qualquer host Unix/Linux que:
    • Pode ser acessado pela Internet pública por SSH.
    • Pode acessar o endereço IP particular do banco de dados de origem.

  2. No servidor SSH, crie uma conta de usuário que o Database Migration Service possa usar para se conectar ao túnel SSH.

    Por exemplo, em um sistema Ubuntu, você pode usar os seguintes comandos:

    1. Criar uma conta de usuário: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restringir o acesso ao shell para a conta de usuário para aumentar a segurança: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Decida qual método de autenticação você quer que o Database Migration Service use ao se conectar ao túnel.

    Você pode usar uma senha ou gerar chaves SSH no PEM formato que podem ser enviadas ao Database Migration Service ao criar o perfil de conexão de origem.

    • Se você quiser usar uma senha, não será necessário configurar mais nada adicional. Lembre-se da senha criada para a TUNNEL_ACCOUNT_USERNAME conta.
    • Se você quiser usar a autenticação baseada em chaves, será necessário gerar um par de chaves privada-pública. Por exemplo, você pode usar o ssh-keygen utilitário:
      1. Gerar o par de chaves: 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Copie a chave pública (YOUR_KEY_NAME.pub) para o diretório ~/.ssh/ no servidor de túnel.
      3. Salve a chave privada. Você precisará fazer o upload dela mais tarde para o Database Migration Service ao criar o perfil de conexão de origem.
  4. Edite o arquivo /etc/ssh/sshd_config para configurar o túnel SSH encaminhado para corresponder aos requisitos da sua organização. Recomendamos o uso das seguintes configurações: 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Execute o comando ssh para iniciar o túnel.

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • TUNNEL_SERVER_SSH_PORT com o número da porta em que o servidor está aguardando conexões SSH.
    • SOURCE_DATABASE_PRIVATE_IP com o endereço IP particular do banco de dados de origem. O servidor SSH precisa conseguir acessar esse IP.
    • SOURCE_DATABASE_PORT com o número da porta em que o banco de dados de origem está aguardando conexões. O número da porta padrão para conexões TCP no Oracle é 1433.
    • USERNAME com o nome da conta de usuário que executará o túnel. Essa é uma conta separada de TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP com o IP público do servidor de túnel SSH. 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Crie uma regra de firewall de entrada no túnel SSH para aceitar conexões de endereços IP públicos do Database Migration Service da região em que você cria o job de migração.
  7. Em uma etapa posterior, ao criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão , insira o IP particular da instância de origem do Oracle.
    2. Na seção Definir método de conectividade, selecione Túnel SSH encaminhado.
    3. Forneça o endereço IP público ou o nome do host do servidor SSH.
    4. Forneça a porta designada para as conexões SSH no o servidor de túnel.
    5. Insira o nome de usuário criado para o Database Migration Service se conectar como (ou seja, o valor de TUNNEL_ACCOUNT_USERNAME).
    6. No menu suspenso Método de autenticação, selecione o método de autenticação que você quer usar com o TUNNEL_ACCOUNT_USERNAME usuário:
      • Se você quiser usar a senha do usuário, selecione Senha e insira TUNNEL_ACCOUNT_USERNAME senha no formulário.
      • Se você configurou o servidor SSH para usar a autenticação baseada em chaves, selecione Par de chaves privada/pública e faça o upload da chave privada gerada com o comando ssh-keygen.

Configurar interfaces do Private Service Connect de conectividade particular

Esse método de conectividade permite que você se conecte ao IP particular do banco de dados de origem sem consumir a cota de peering de VPC. As interfaces do Private Service Connect são o método recomendado para conectividade de IP particular.

Para origens auto-hospedadas em Google Cloud

Para usar a conectividade particular com interfaces do Private Service Connect para um banco de dados de origem do Oracle hospedado em uma VM do Compute Engine, siga estas etapas:

  1. Crie um anexo de rede na VPC em que a origem auto-hospedada reside. Siga estas etapas:
    1. No Google Cloud console, acesse a página Anexos de rede.

      Acessar anexos de rede

    2. Clique em Criar anexo de rede.
    3. Insira um nome para o anexo.
    4. No menu Rede, selecione a VPC em que a origem auto-hospedada reside.

    5. Para a região, use a mesma em que você planeja criar o banco de dados de destino.

      O Database Migration Service é um produto totalmente regional, o que significa que todas as entidades relacionadas à migração (perfis de conexão de origem e destino, jobs de migração, bancos de dados de destino, espaços de trabalho de conversão) precisam ser salvas em uma única região.

    6. Em Preferência de conexão , selecione Aceitar conexões para projetos selecionados.

      O Database Migration Service adiciona automaticamente o projeto do produtor à lista de Projetos aceitos quando você mais tarde cria a configuração de conectividade particular.

    7. Não adicione Projetos aceitos ou Projetos rejeitados.
    8. Clique em Criar anexo de rede.
  2. No Database Migration Service, crie uma configuração de conectividade particular para interfaces do Private Service Connect.
  3. Em uma etapa posterior, ao criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão , insira o endereço IP da VM do Compute Engine em que você hospeda o banco de dados Oracle.

      É possível conferir o endereço IP da VM no Google Cloud console.

    2. Na seção Definir método de conectividade, selecione Conectividade particular.
    3. No menu suspenso, selecione a configuração de conectividade particular criada na etapa anterior.

Para origens auto-hospedadas fora de Google Cloud

Para usar a conectividade particular com interfaces do Private Service Connect para um banco de dados de origem do Oracle auto-hospedado que reside em uma rede fora do Google Cloud, siga estas etapas:

  1. Configure a conectividade direta com o Cloud VPN para sua origem do Oracle.

    Dependendo da arquitetura de rede, talvez seja necessário configurar gateways de VPN adicionais no sistema. Para mais informações, consulte Criar um gateway de VPN de alta disponibilidade para um gateway de VPN de peering na documentação do Cloud VPN.

  2. Opcional: se não for possível criar a configuração de conectividade particular na mesma rede VPC em que você tem o Cloud VPN, crie uma máquina virtual (VM) de proxy reverso no Compute Engine para encaminhar as conexões entre VPCs.
  3. Crie um anexo de rede na VPC em que você tem o Cloud VPN. Siga estas etapas:
    1. No Google Cloud console, acesse a página Anexos de rede.

      Acessar anexos de rede

    2. Clique em Criar anexo de rede.
    3. Insira um nome para o anexo.
    4. No menu Rede, selecione a VPC em que a origem auto-hospedada reside.

    5. Para a região, use a mesma em que você planeja criar o banco de dados de destino.

      O Database Migration Service é um produto totalmente regional, o que significa que todas as entidades relacionadas à migração (perfis de conexão de origem e destino, jobs de migração, bancos de dados de destino, espaços de trabalho de conversão) precisam ser salvas em uma única região.

    6. No menu Sub-rede, selecione uma sub-rede em que você tenha pelo menos seis endereços IP utilizáveis sem custo financeiro para o Database Migration Service (ou seja, um intervalo /29).

    7. Em Preferência de conexão , selecione Aceitar conexões para projetos selecionados.

      O Database Migration Service adiciona automaticamente o projeto do produtor à lista de Projetos aceitos quando você mais tarde cria a configuração de conectividade particular.

    8. Não adicione Projetos aceitos ou Projetos rejeitados.
    9. Clique em Criar anexo de rede.
  4. No Database Migration Service, crie uma configuração de conectividade particular para interfaces do Private Service Connect.
  5. Em uma etapa posterior, ao criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão, insira o IP particular da origem do Oracle.
    2. Na seção Definir método de conectividade, selecione Conectividade particular.
    3. No menu suspenso, selecione a configuração de conectividade particular criada na etapa anterior.

Configurar a conectividade particular com peering de VPC

Esse método de conectividade exige que o endereço IP ou o nome do host do banco de dados de origem possa ser acessado da sua Google Cloud VPC. As origens auto-hospedadas que residem em redes fora do Google Cloud podem exigir o uso de componentes de rede adicionais, como o Cloud VPN ou o Cloud Interconnect.

Para origens auto-hospedadas em Google Cloud

Para usar a conectividade particular com peering de nuvem privada virtual para um banco de dados de origem do Oracle hospedado em uma VM do Compute Engine, siga estas etapas:

  1. Verifique se a rede de nuvem privada virtual em que a VM tem um endereço IP atribuído está configurada para acesso a serviços particulares. Para mais informações, consulte Configurar o acesso a serviços particulares.
  2. No Database Migration Service, crie uma configuração de conectividade particular para fazer peering com a rede VPC em que você tem o banco de dados Oracle hospedado em uma VM do Compute Engine.
  3. Em uma etapa posterior, ao criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão , insira o endereço IP da VM do Compute Engine em que você hospeda o banco de dados Oracle.

      É possível conferir o endereço IP da VM no Google Cloud console.

    2. Na seção Definir método de conectividade, selecione Conectividade particular (peering de VPC).
    3. No menu suspenso, selecione a configuração de conectividade particular criada na etapa anterior.

Para origens auto-hospedadas fora de Google Cloud

Para usar a conectividade particular com peering de nuvem privada virtual para um banco de dados de origem do Oracle auto-hospedado que reside em uma rede fora do Google Cloud, siga estas etapas:

  1. Configure a conectividade direta com o Cloud VPN para sua origem do Oracle.

    Dependendo da arquitetura de rede, talvez seja necessário configurar gateways de VPN adicionais no sistema. Para mais informações, consulte Criar um gateway de VPN de alta disponibilidade para um gateway de VPN de peering na documentação do Cloud VPN.

  2. Opcional: se não for possível criar a configuração de conectividade particular na mesma rede VPC em que você tem o Cloud VPN, crie uma máquina virtual (VM) de proxy reverso no Compute Engine para encaminhar as conexões entre VPCs.
  3. No Database Migration Service, crie uma configuração de conectividade particular para fazer peering com a rede VPC em que você tem o Cloud VPN.
  4. Em uma etapa posterior, ao criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão, insira o IP particular da origem do Oracle.
    2. Na seção Definir método de conectividade, selecione Conectividade particular (peering de VPC).
    3. No menu suspenso, selecione a configuração de conectividade particular criada na etapa anterior.

A seguir