本页介绍如何为使用 Database Migration Service 进行的异构 Oracle 到 Cloud SQL for PostgreSQL 迁移配置与自托管 Oracle 源的网络连接。
您可以使用以下三种不同的方法来配置从自托管 Oracle 源进行迁移时所需的网络连接:
配置 IP 许可名单连接
如需使用公共 IP 许可名单连接方法,请按以下步骤操作:
- 确保您的源数据库具有可从 公共互联网访问的 IP 地址。您无需使用 IP 地址进行连接。 如果您有与该 IP 关联的 DNS 记录,则可以使用该记录。
- 在源数据库服务器上创建入站防火墙规则,以接受来自 Database Migration Service 的连接。使用以下配置:
- 对于规则类型,请使用
port。 - 对于允许的 IP 地址范围,请添加您创建迁移作业的区域的所有 Database Migration Service 公共 IP 地址。
- 将协议设置为
TCP。 - 将与该规则关联的端口号设置为源数据库监听传入连接的端口。此端口号与您需要在源
连接配置文件中输入的端口号相同。
Oracle 服务器默认使用
1521端口。
配置防火墙规则的步骤因您使用的 服务器软件而异。如需了解详情,请参阅防火墙产品的文档。
- 对于规则类型,请使用
- 在稍后的阶段,当您 创建源连接配置文件时,请在 确定连接方法 部分中选择 IP 许可名单。
通过正向 SSH 隧道配置连接
如需使用 Secure Shell (SSH) 隧道连接到源数据库,请按以下步骤操作:
- 创建一个虚拟机 (VM),该虚拟机可以打开 Database Migration Service 与源数据库之间的隧道。隧道服务器可以是任何具备下列特点的 Unix/Linux 主机:
- 可以通过 SSH 从公共互联网访问。
- 可以访问源数据库的专用 IP 地址。
在 SSH 服务器上,创建一个用户账号,Database Migration Service 可以使用该账号连接到 SSH 隧道。
例如,在 Ubuntu 系统上,您可以使用以下命令:
- 创建用户账号:
adduser TUNNEL_ACCOUNT_USERNAME - 限制用户账号的 Shell 访问权限,以提高安全性:
usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME
- 创建用户账号:
确定您希望 Database Migration Service 在连接到隧道时使用哪种身份验证方法。
您可以使用密码,也可以生成 SSH 密钥,以便在创建源连接配置文件时将其上传到 Database Migration Service。
PEM- 如果您想使用密码,则无需进行任何其他配置 。请记住您为 TUNNEL_ACCOUNT_USERNAME 账号创建的密码。
- 如果您想使用基于密钥的身份验证,则需要生成
私钥-公钥对。例如,您可以使用
ssh-keygen实用程序:- 生成密钥对:
ssh-keygen -m PEM -f YOUR_KEY_NAME
- 将公钥 (
YOUR_KEY_NAME.pub) 复制到隧道服务器上的~/.ssh/目录。 - 保存私钥。您需要在稍后创建源连接配置文件时将其上传到 Database Migration Service 。
- 生成密钥对:
- 修改
/etc/ssh/sshd_config文件,以配置正向 SSH 隧道来满足您组织的要求。 我们建议使用以下设置:# Only allow the Database Migration Service user to connect. AllowUsers TUNNEL_ACCOUNT_USERNAME # Send keep-alive packets every 60 seconds to ensure that # the tunnel doesn't close during the migration ServerAliveInterval=60 # Optional: Force key-based authentication PasswordAuthentication no # Enables Database Migration Service to connect from a different host PermitTunnel yes GatewayPorts yes
- 运行
ssh命令以启动隧道。在使用下面的任何命令数据之前,请进行以下替换:
- 将 TUNNEL_SERVER_SSH_PORT 替换为服务器监听 SSH 连接的端口号。
- 将 SOURCE_DATABASE_PRIVATE_IP 替换为源数据库的专用 IP 地址。SSH 服务器需要能够访问该 IP。
- 将 SOURCE_DATABASE_PORT 替换为源数据库监听连接的端口号
。Oracle 上 TCP 连接的默认端口号为
1433。 - 将 USERNAME 替换为将运行隧道的用户账号的名称。这是一个与 TUNNEL_ACCOUNT_USERNAME不同的账号。
- 将 TUNNEL_SERVER_PUBLIC_IP 替换为 SSH 隧道服务器的公共 IP。
ssh -N -L \ TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \ USERNAME@TUNNEL_SERVER_PUBLIC_IP
- 在 SSH 隧道上创建入站防火墙规则,以接受 连接,这些连接来自 Database Migration Service 公共 IP 地址,这些地址适用于您 创建迁移作业的区域。
- 在稍后的阶段,当您
创建源连接配置文件时,请执行以下操作:
- 在确定连接详情 部分中, 输入源 Oracle 实例的专用 IP。
- 在确定连接方法 部分中, 选择 正向 SSH 隧道。
- 提供 SSH 服务器的公共 IP 地址或主机名。
- 提供您为隧道服务器上的 SSH 连接指定的端口。
- 输入您为 Database Migration Service 创建的用户账号的用户名,以便以该用户身份进行连接(即 TUNNEL_ACCOUNT_USERNAME 的值)。
- 从 身份验证方法 下拉菜单中,选择您要与 TUNNEL_ACCOUNT_USERNAME 用户搭配使用的身份验证方法:
配置专用连接 Private Service Connect 接口
借助此连接方法,您可以连接到源 数据库的专用 IP,而不会消耗 VPC 对等互连配额。Private Service Connect 接口是推荐的专用 IP 连接方法。
对于中的自托管来源 Google Cloud
如需对托管在 Compute Engine 虚拟机上的源 Oracle 数据库使用 Private Service Connect 接口的专用连接,请按以下步骤操作:
- 在自托管来源所在的 VPC 中创建网络连接。
请按以下步骤操作:
- 在 Google Cloud 控制台中,前往 网络连接 页面。
- 点击创建网络连接 。
- 输入连接的名称。
- 从 Network 菜单中,选择自托管 来源所在的 VPC。
-
对于区域,请使用您计划创建目标数据库的同一区域。
Database Migration Service 是一款完全区域性的产品,这意味着与迁移相关的所有实体 (来源和目标连接配置文件、 迁移作业、目标数据库、转换工作区)都必须 保存在单个区域中。
-
在连接偏好设置 中,选择 接受选定项目的连接。
当您稍后创建专用连接配置时,Database Migration Service 会自动将提供方项目添加到接受的项目 列表中。
我们不建议使用此选项。 - 请勿添加接受的项目 或拒绝的项目 。
- 点击创建网络连接 。
- 在 Database Migration Service 中, 为 Private Service Connect 接口创建专用连接配置。
- 在稍后的阶段,当您
创建源连接配置文件时,请执行以下操作:
- 在确定连接详情 部分中,输入您在其中托管 Oracle 数据库的 Compute Engine 虚拟机的 IP 地址。
您可以在 控制台中查看虚拟机的 IP 地址 Google Cloud 。
- 在确定连接方法 部分中, 选择 专用连接。
- 从下拉菜单中,选择您在上一步中创建的专用连接配置。
- 在确定连接详情 部分中,输入您在其中托管 Oracle 数据库的 Compute Engine 虚拟机的 IP 地址。
对于外部的自托管来源 Google Cloud
如需对位于外部网络中的自托管 Oracle 源数据库使用 Private Service Connect 接口的专用连接 Google Cloud,请按以下步骤操作:
-
使用 Cloud VPN 设置与您的 Oracle 源的直接连接。
根据您的网络架构,您可能需要在系统中设置 其他 VPN 网关。如需了解详情,请参阅 Cloud VPN 文档中的创建连接到对等 VPN 网关的高可用性 VPN 网关。
- 可选:如果您无法在 Cloud VPN 所在的同一 VPC 网络中创建专用连接配置,请在 Compute Engine 上创建一个反向代理虚拟机 (VM),以转发 VPC 之间的连接。
- 在 Cloud VPN 所在的 VPC 中创建网络连接。
请按以下步骤操作:
- 在 Google Cloud 控制台中,前往 网络连接 页面。
- 点击创建网络连接 。
- 输入连接的名称。
- 从 Network 菜单中,选择自托管 来源所在的 VPC。
-
对于区域,请使用您计划创建目标数据库的同一区域。
Database Migration Service 是一款完全区域性的产品,这意味着与迁移相关的所有实体 (来源和目标连接配置文件、 迁移作业、目标数据库、转换工作区)都必须 保存在单个区域中。
- 从 子网 菜单中,选择您至少有 6 个可供 Database Migration Service 使用的空闲 IP 地址的子网(即
/29范围)。 -
在连接偏好设置 中,选择 接受选定项目的连接。
当您稍后创建专用连接配置时,Database Migration Service 会自动将提供方项目添加到接受的项目 列表中。
- 请勿添加接受的项目 或拒绝的项目 。
- 点击创建网络连接 。
- 在 Database Migration Service 中, 为 Private Service Connect 接口创建专用连接配置。
- 在稍后的阶段,当您
创建源连接配置文件时,请执行以下操作:
- 在确定连接详情 部分中,输入 Oracle 源的专用 IP。
- 在确定连接方法 部分中, 选择 专用连接。
- 从下拉菜单中,选择您在上一步中创建的专用连接配置。
使用 VPC 对等互连配置专用连接
此连接方法要求您的源数据库 IP 地址或 主机名可从您的 Google Cloud VPC 访问。 位于外部网络中的自托管来源 Google Cloud 可能需要您使用其他网络组件,例如 Cloud VPN 或 Cloud Interconnect。
对于中的自托管来源 Google Cloud
如需对托管在 Compute Engine 虚拟机上的源 Oracle 数据库使用虚拟私有云对等互连的专用连接,请按以下步骤操作:
- 确保已为分配有 IP 地址的虚拟私有云网络配置专用服务访问通道 。如需了解详情,请参阅 配置专用服务访问通道。
- 在 Database Migration Service 中, 创建专用连接配置,以与您在其中托管 Oracle 数据库的 Compute Engine 虚拟机的 VPC 网络建立对等互连。
- 在稍后的阶段,当您
创建源连接配置文件时,请执行以下操作:
- 在确定连接详情 部分中,输入您在其中托管 Oracle 数据库的 Compute Engine 虚拟机的 IP 地址。
您可以在 控制台中查看虚拟机的 IP 地址 Google Cloud 。
- 在确定连接方法 部分中, 选择 专用连接 (VPC 对等互连)。
- 从下拉菜单中,选择您在上一步中创建的专用连接配置。
- 在确定连接详情 部分中,输入您在其中托管 Oracle 数据库的 Compute Engine 虚拟机的 IP 地址。
对于外部的自托管来源 Google Cloud
如需对位于外部网络中的自托管 Oracle 源数据库使用虚拟私有云对等互连的专用连接 Google Cloud,请按以下步骤操作:
-
使用 Cloud VPN 设置与您的 Oracle 源的直接连接。
根据您的网络架构,您可能需要在系统中设置 其他 VPN 网关。如需了解详情,请参阅 Cloud VPN 文档中的创建连接到对等 VPN 网关的高可用性 VPN 网关。
- 可选:如果您无法在 Cloud VPN 所在的同一 VPC 网络中创建专用连接配置,请在 Compute Engine 上创建一个反向代理虚拟机 (VM),以转发 VPC 之间的连接。
- 在 Database Migration Service 中, 创建专用连接配置,以与 Cloud VPN 所在的 VPC 网络建立对等互连。
- 在稍后的阶段,当您
创建源连接配置文件时,请执行以下操作:
- 在确定连接详情 部分中,输入 Oracle 源的专用 IP。
- 在确定连接方法 部分中, 选择 专用连接 (VPC 对等互连)。
- 从下拉菜单中,选择您在上一步中创建的专用连接配置。
后续步骤
如需详细了解源数据库网络连接,请参阅 源端网络连接方法概览。
如需获取完整的分步迁移演练,请参阅 Oracle 到 Cloud SQL for PostgreSQL 迁移指南。