Configurar a conectividade de rede para origens auto-hospedadas do Oracle

Esta página descreve como configurar a conectividade de rede com fontes do Oracle autohospedadas para migrações heterogêneas do Oracle para o Cloud SQL para PostgreSQL com o Database Migration Service.

Há três métodos diferentes que podem ser usados para configurar a conectividade de rede necessária para migrações de fontes Oracle auto-hospedadas:

Configurar a conectividade da lista de permissões de IP

Para usar o método de conectividade da lista de permissões de IP público, siga estas etapas:

  1. Verifique se o banco de dados de origem tem um endereço IP que pode ser acessado pela Internet pública. Não é preciso usar o endereço IP para se conectar. Se você tiver um registro DNS associado ao IP, use-o.
  2. Crie uma regra de firewall de entrada no servidor do banco de dados de origem para aceitar conexões do Database Migration Service. Use a seguinte configuração:
    1. Para o tipo de regra, use port.
    2. Para o intervalo de endereços IP permitidos, adicione todos os endereços IP públicos do Database Migration Service da região em que você cria o job de migração.
    3. Defina o protocolo como TCP.
    4. Defina o número da porta associada à regra como a porta em que o banco de dados de origem está aguardando conexões de entrada. Esse é o mesmo número de porta que você precisa inserir no perfil de conexão de origem.

      Por padrão, o servidor Oracle usa a porta 1521.

    As etapas para configurar regras de firewall variam de acordo com o software de servidor usado. Para mais informações, consulte a documentação do seu produto de firewall.

  3. Em uma etapa posterior, quando você criar o perfil de conexão de origem, na seção Definir método de conectividade, selecione Lista de permissões de IP.

Configurar a conectividade por um túnel SSH com encaminhamento

Para se conectar ao banco de dados de origem com um túnel Secure Shell (SSH), siga estas etapas:

  1. Crie uma máquina virtual (VM) que possa abrir o túnel entre o Database Migration Service e o banco de dados de origem. O servidor do túnel pode ser qualquer host Unix/Linux que:
    • Pode ser acessado pela Internet pública via SSH.
    • Pode acessar o endereço IP particular do banco de dados de origem.

  2. No servidor SSH, crie uma conta de usuário que o Database Migration Service possa usar para se conectar ao túnel SSH.

    Por exemplo, em um sistema Ubuntu, use os seguintes comandos:

    1. Crie uma conta de usuário: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restrinja o acesso ao shell da conta de usuário para aumentar a segurança: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Decida qual método de autenticação você quer que o Database Migration Service use ao se conectar ao túnel.

    Você pode usar uma senha ou gerar chaves SSH no formato PEM, que podem ser enviadas para o Database Migration Service ao criar o perfil de conexão de origem.

    • Se você quiser usar uma senha, não será necessário configurar nada adicional. Lembre-se da senha que você criou para a conta TUNNEL_ACCOUNT_USERNAME.
    • Se você quiser usar a autenticação baseada em chaves, gere um par de chaves pública e privada. Por exemplo, use o utilitário ssh-keygen:
      1. Gere o par de chaves: 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Copie a chave pública (YOUR_KEY_NAME.pub) para o diretório ~/.ssh/ no servidor de túnel.
      3. Salve a chave privada. Você precisará fazer upload dele mais tarde no Database Migration Service ao criar o perfil de conexão de origem.
  4. Edite o arquivo /etc/ssh/sshd_config para configurar o túnel de encaminhamento SSH de acordo com os requisitos da sua organização. Recomendamos usar as seguintes configurações: 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Execute o comando ssh para iniciar o túnel.

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • TUNNEL_SERVER_SSH_PORT com o número da porta em que o servidor está escutando conexões SSH.
    • SOURCE_DATABASE_PRIVATE_IP pelo endereço IP particular do banco de dados de origem. O servidor SSH precisa conseguir acessar esse IP.
    • SOURCE_DATABASE_PORT com o número da porta em que o banco de dados de origem está detectando conexões. O número da porta padrão para conexões TCP no Oracle é 1433.
    • USERNAME com o nome da conta de usuário que vai executar o túnel. Essa é uma conta separada de TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP com o IP público do servidor de túnel SSH. 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Crie uma regra de firewall de entrada no túnel SSH para aceitar conexões dos endereços IP públicos do Database Migration Service para a região em que você cria o job de migração.
  7. Em uma etapa posterior, quando você criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão, insira o IP privado da sua instância de origem do Oracle.
    2. Na seção Definir método de conectividade, selecione Túnel de encaminhamento SSH.
    3. Forneça o endereço IP público ou o nome do host do seu servidor SSH.
    4. Forneça a porta designada para as conexões SSH no servidor de túnel.
    5. Insira o nome de usuário criado para o Database Migration Service se conectar como (ou seja, o valor de TUNNEL_ACCOUNT_USERNAME).
    6. No menu suspenso Método de autenticação, selecione o método que você quer usar com o usuário TUNNEL_ACCOUNT_USERNAME:
      • Se quiser usar a senha do usuário, selecione Senha e digite a senha TUNNEL_ACCOUNT_USERNAME no formulário.
      • Se você configurou o servidor SSH para usar a autenticação baseada em chaves, selecione Par de chaves privada/pública e faça upload da chave privada gerada com o comando ssh-keygen.

Configurar interfaces do Private Service Connect de conectividade particular

Com esse método de conectividade, é possível se conectar ao IP particular do banco de dados de origem sem consumir a cota de peering de VPC. As interfaces do Private Service Connect são o método recomendado para conectividade de IP particular.

Para fontes auto-hospedadas em Google Cloud

Para usar a conectividade particular com interfaces do Private Service Connect em um banco de dados Oracle de origem hospedado em uma VM do Compute Engine, siga estas etapas:

  1. Crie um anexo de rede na VPC em que a origem autohospedada reside. Siga estas etapas:
    1. No console do Google Cloud , acesse a página Anexos de rede.

      Acesse "Anexos de rede"

    2. Clique em Criar anexo de rede.
    3. Insira um nome para o anexo.
    4. No menu Rede, selecione a VPC em que a origem autohospedada está localizada.

    5. Para a região, use a mesma em que você planeja criar o banco de dados de destino.

      O Database Migration Service é um produto totalmente regional. Isso significa que todas as entidades relacionadas à sua migração (perfis de conexão de origem e destino, jobs de migração, bancos de dados de destino, espaços de trabalho de conversão) precisam ser salvas em uma única região.

    6. Em Preferência de conexão, selecione Aceitar conexões para projetos selecionados.

      O Database Migration Service adiciona automaticamente o projeto do produtor à lista de Projetos aceitos quando você cria a configuração de conectividade particular.

    7. Não adicione Projetos aceitos nem Projetos rejeitados.
    8. Clique em Criar anexo de rede.
  2. No Database Migration Service, crie uma configuração de conectividade particular para interfaces do Private Service Connect.
  3. Em uma etapa posterior, quando você criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão, insira o endereço IP da VM do Compute Engine em que você hospeda o banco de dados Oracle.

      É possível conferir o endereço IP da VM no console do Google Cloud .

    2. Na seção Definir método de conectividade, selecione Conectividade particular.
    3. No menu suspenso, selecione a configuração de conectividade particular criada na etapa anterior.

Para fontes auto-hospedadas fora de Google Cloud

Para usar a conectividade privada com interfaces do Private Service Connect em um banco de dados de origem Oracle auto-hospedado que reside em uma rede fora doGoogle Cloud, siga estas etapas:

  1. Configure a conectividade direta com o Cloud VPN para sua origem do Oracle.

    Dependendo da arquitetura da rede, talvez seja necessário configurar outros gateways de VPN no sistema. Para mais informações, consulte Criar um gateway de VPN de alta disponibilidade para um gateway de VPN de peering na documentação do Cloud VPN.

  2. Opcional: se não for possível criar a configuração de conectividade particular na mesma rede VPC em que você tem a Cloud VPN, crie uma máquina virtual (VM) de proxy reverso no Compute Engine para encaminhar as conexões entre as VPCs.
  3. Crie um anexo de rede na VPC em que você tem o Cloud VPN. Siga estas etapas:
    1. No console do Google Cloud , acesse a página Anexos de rede.

      Acesse "Anexos de rede"

    2. Clique em Criar anexo de rede.
    3. Insira um nome para o anexo.
    4. No menu Rede, selecione a VPC em que a origem autohospedada está localizada.

    5. Para a região, use a mesma em que você planeja criar o banco de dados de destino.

      O Database Migration Service é um produto totalmente regional. Isso significa que todas as entidades relacionadas à sua migração (perfis de conexão de origem e destino, jobs de migração, bancos de dados de destino, espaços de trabalho de conversão) precisam ser salvas em uma única região.

    6. No menu Sub-rede, selecione uma sub-rede em que você tenha pelo menos seis endereços IP utilizáveis e livres para o Database Migration Service (ou seja, um intervalo /29).

    7. Em Preferência de conexão, selecione Aceitar conexões para projetos selecionados.

      O Database Migration Service adiciona automaticamente o projeto do produtor à lista de Projetos aceitos quando você cria a configuração de conectividade particular.

    8. Não adicione Projetos aceitos nem Projetos rejeitados.
    9. Clique em Criar anexo de rede.
  4. No Database Migration Service, crie uma configuração de conectividade particular para interfaces do Private Service Connect.
  5. Em uma etapa posterior, quando você criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão, insira o IP particular da sua origem da Oracle.
    2. Na seção Definir método de conectividade, selecione Conectividade particular.
    3. No menu suspenso, selecione a configuração de conectividade particular criada na etapa anterior.

Configurar a conectividade privada com o peering de VPC

Esse método de conectividade exige que o endereço IP ou o nome do host do banco de dados de origem possam ser acessados na sua Google Cloud VPC. Fontes autohospedadas que residem em redes fora do Google Cloud podem exigir o uso de componentes de rede adicionais, como Cloud VPN ou Cloud Interconnect.

Para fontes auto-hospedadas em Google Cloud

Para usar a conectividade particular com o peering de nuvem privada virtual para um banco de dados Oracle de origem hospedado em uma VM do Compute Engine, siga estas etapas:

  1. Verifique se a rede de nuvem privada virtual em que a VM tem um endereço IP atribuído está configurada para acesso a serviços particulares. Para mais informações, consulte Configurar o acesso a serviços privados.
  2. No Database Migration Service, crie uma configuração de conectividade privada para fazer peering com a rede VPC em que seu banco de dados Oracle está hospedado em uma VM do Compute Engine.
  3. Em uma etapa posterior, quando você criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão, insira o endereço IP da VM do Compute Engine em que você hospeda o banco de dados Oracle.

      É possível conferir o endereço IP da VM no console do Google Cloud .

    2. Na seção Definir método de conectividade, selecione Conectividade particular (peering de VPC).
    3. No menu suspenso, selecione a configuração de conectividade particular criada na etapa anterior.

Para fontes auto-hospedadas fora de Google Cloud

Para usar a conectividade particular com o peering de nuvem privada virtual para um banco de dados de origem do Oracle autohospedado que reside em uma rede fora doGoogle Cloud, siga estas etapas:

  1. Configure a conectividade direta com o Cloud VPN para sua origem do Oracle.

    Dependendo da arquitetura da rede, talvez seja necessário configurar outros gateways de VPN no sistema. Para mais informações, consulte Criar um gateway de VPN de alta disponibilidade para um gateway de VPN de peering na documentação do Cloud VPN.

  2. Opcional: se não for possível criar a configuração de conectividade particular na mesma rede VPC em que você tem a Cloud VPN, crie uma máquina virtual (VM) de proxy reverso no Compute Engine para encaminhar as conexões entre as VPCs.
  3. No Database Migration Service, crie uma configuração de conectividade privada para fazer peering com a rede VPC em que você tem a Cloud VPN.
  4. Em uma etapa posterior, quando você criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão, insira o IP particular da sua origem da Oracle.
    2. Na seção Definir método de conectividade, selecione Conectividade particular (peering de VPC).
    3. No menu suspenso, selecione a configuração de conectividade particular criada na etapa anterior.

A seguir