Metodi di networking per la connettività del database di origine

Per spostare i dati dal server del database di origine all'istanza di destinazione Cloud SQL per PostgreSQL, Database Migration Service deve connettersi all'istanza di origine. Questa connessione può essere stabilita tramite internet pubblico o tramite una serie di connessioni private nel virtual private cloud (VPC) del tuo progetto.

Questa pagina fornisce una panoramica di ogni metodo di connettività del database di origine disponibile, nonché una sezione di consigli per aiutarti a scegliere la soluzione giusta per la tua migrazione:

Confronto dei metodi fornisce una tabella di confronto per i metodi di connettività di origine disponibili.
Lista consentita IP descrive la connettività di rete all'IP pubblico del database di origine.
Tunnel SSH di forwarding fornisce una panoramica dei tunnel Secure Shell (SSH) dedicati.
Connettività privata con interfacce Private Service Connect descrive come connetterti all'IP privato di origine con i collegamenti di rete.
Connettività privata con peering VPC descrive come stabilire una connessione all'IP privato del database di origine tramite le reti VPC in peering.

Dopo aver acquisito familiarità con i diversi metodi di connettività e i relativi requisiti, puoi utilizzare il diagramma dell'albero decisionale per scegliere la soluzione giusta per il tuo scenario.

Confronto dei metodi

Ogni metodo di connettività presenta vantaggi e requisiti diversi. Utilizza la tabella seguente per confrontarli a colpo d'occhio, quindi scopri maggiori dettagli nelle sezioni dedicate a ciascun metodo.

Metodo di networking	Vantaggi	Svantaggi
Lista consentita IP	Il metodo di connettività più semplice da configurare. Utile quando il database di origine non è raggiungibile tramite reti private networks in Google Cloud.	Richiede di esporre un indirizzo IPv4 del server del database di origine a internet pubblico. Ciò richiede misure di sicurezza aggiuntive. Ad esempio, ti consigliamo di utilizzare certificati TLS e regole firewall per proteggere la connessione. La configurazione delle regole firewall potrebbe richiedere l'assistenza del reparto IT. Database Migration Service non supporta la connettività diretta ai database utilizzando la funzionalità Single Client Access Name (SCAN) negli ambienti Oracle Real Application Clusters (RAC). Per le potenziali soluzioni per l'utilizzo della connettività della lista consentita IP pubblici con questi ambienti, consulta Risolvi i problemi relativi agli errori SCAN di Oracle.
Tunnel SSH di forwarding	Più sicuro della connessione tramite IP pubblico con una lista consentita IP. La connessione iniziale viene stabilita tramite le porte Secure Shell (SSH) su internet pubblico. Una volta attivata la connessione, tutto il traffico passa attraverso una connessione privata sicura. Utile quando il database di origine non è raggiungibile tramite reti private in Google Cloud, ma non vuoi esporre direttamente il server del database di origine a internet pubblico.	L'utilizzo di un server intermedio (la macchina del tunnel SSH di forwarding) per la connettività potrebbe introdurre una latenza aggiuntiva. Devi configurare e gestire il server host SSH di forwarding. Il server deve essere online per l'intera durata della migrazione.
Interfacce Private Service Connect	Stabilisce connessioni all'IP privato di origine utilizzando un collegamento di rete. Questo metodo non consuma la quota di peering nel VPC. Il metodo di connettività privata di origine più semplice da configurare.	Richiede la configurazione di un collegamento di rete e la modifica delle regole firewall. Non puoi modificare il collegamento di rete dopo aver stabilito la connessione.
Connettività privata con peering Virtual Private Cloud	La connessione viene stabilita all'indirizzo IP privato del database di origine tramite i peering VPC. Se il VPC non ha una quota di peering sufficiente, potrebbe essere difficile utilizzare questo metodo di connettività. Nella maggior parte dei casi, ti consigliamo di utilizzare la connettività privata con le interfacce Private Service Connect invece.	Per le origini esterne al Google Cloud VPC, potrebbe essere necessario utilizzare componenti di rete aggiuntivi, come Cloud VPN o una VM proxy inverso. Per utilizzare il peering Virtual Private Cloud, devi disporre di un Virtual Private Cloud con l'accesso privato ai servizi abilitato. Questa configurazione consuma la quota di peering sulla rete VPC.

Lista consentita IP per la connettività del database di origine

Quando utilizzi il metodo di connettività della lista consentita IP, Database Migration Service tenta di stabilire una connessione a un indirizzo IP disponibile pubblicamente del server del database di origine.

Requisiti per la connettività della lista consentita IP

A livello generale, per utilizzare questo metodo di connettività devi assicurarti di quanto segue:

Devi esporre l'indirizzo IP dell'origine a internet pubblico (direttamente o con un nome host riconosciuto pubblicamente tramite un server dei nomi di dominio (DNS)).
Database Migration Service non supporta la connettività diretta ai database utilizzando la funzionalità Single Client Access Name (SCAN) negli ambienti Oracle Real Application Clusters (RAC). Per le potenziali soluzioni per l'utilizzo della connettività della lista consentita IP pubblici con questi ambienti, consulta Risolvi i problemi relativi agli errori SCAN di Oracle.
Devi consentire le connessioni in entrata dagli indirizzi IP pubblici di Database Migration Service.
(Facoltativo) La connettività della lista consentita IP utilizza connessioni non criptate per impostazione predefinita. Ti consigliamo di utilizzare i certificati TLS per proteggere la connessione. Database Migration Service offre il supporto per diversi tipi di TLS, in modo che tu possa scegliere la soluzione migliore a seconda di ciò che il database di origine può supportare. Per saperne di più, consulta Utilizzare i certificati SSL/TLS per criptare le connessioni di rete.

Configurare la connettività della lista consentita IP

La configurazione della connettività IP pubblica richiede passaggi diversi a seconda del tipo di database di origine. Per saperne di più, vedi:

Tunnel SSH di forwarding per la connettività del database di origine

Questo metodo di connettività è una combinazione di connettività di rete pubblica e privata. La connessione stessa viene stabilita tramite le porte Secure Shell (SSH) all'indirizzo IP pubblico del server host del tunnel. Una volta attivata la connessione, tutto il traffico passa attraverso un tunnel sicuro all'indirizzo IP privato del database di origine.

Un diagramma di rete che mostra una configurazione di connettività
di alto livello su un server tunnel SSH dedicato. — **Figura 2.** Esempio di networking di migrazione: connettività di origine tramite un tunnel SSH. (fai clic per ingrandire)

Requisiti per i tunnel SSH di forwarding

Per creare la connessione, devi esporre le porte SSH a internet pubblico sul server del tunnel. Quando viene stabilita la connettività, tutto il traffico viene instradato tramite la connessione del tunnel privato.

È possibile terminare il tunnel sullo stesso server in cui è ospitato il database di origine, ma ti consigliamo di utilizzare un server del tunnel dedicato. In questo modo, non esponi direttamente il database di origine a internet pubblico. Il server del tunnel può essere qualsiasi host Unix o Linux raggiungibile da internet tramite SSH e può accedere al database di origine.

Per alcuni scenari di connettività, ti consigliamo di utilizzare il metodo di networking connettività privata con peering Virtual Private Cloud anziché un tunnel SSH di forwarding:

Per le origini self-hosted che risiedono in Google Cloud, Database Migration Service può accedere all'IP privato del database di origine con la configurazione di connettività privata. Non è necessario configurare un server SSH separato per stabilire la connessione.

Configurare la connettività del tunnel SSH di forwarding

La configurazione della connettività tramite un tunnel SSH di forwarding richiede passaggi diversi a seconda del tipo di database di origine. Per saperne di più, vedi:

Connettività privata con interfacce Private Service Connect

Le interfacce Private Service Connect consentono a Database Migration Service di avviare connessioni all'IP privato del database di origine senza consumare la quota di peering per i propri indirizzi IP. Questo metodo di connettività utilizza invece i collegamenti di rete creati nel VPC.

Un diagramma di rete che mostra una configurazione di connettività di alto livello tramite un server tunnel SSH dedicato e interfacce Private Service Connect. — **Figura 3.** Esempio di networking di migrazione: connettività di origine IP privato con interfacce Private Service Connect e Cloud VPN per le origini che risiedono in altre offerte cloud. (fai clic per ingrandire)

Un diagramma di rete che mostra una configurazione di connettività
di alto livello su un server tunnel SSH dedicato e interfacce
Private Service Connect. — **Figura 3.** Esempio di networking di migrazione: connettività di origine IP privato con interfacce Private Service Connect e Cloud VPN per le origini che risiedono in altre offerte cloud. (fai clic per ingrandire)

Requisiti per le interfacce Private Service Connect

Questo metodo di connettività richiede la creazione di un collegamento di rete nella rete VPC in cui è raggiungibile il database di origine. La subnet per il collegamento di rete deve avere 6 indirizzi IP utilizzabili (ovvero, devi utilizzare l'intervallo /29 per un totale di 8 indirizzi IP). Puoi utilizzare lo stesso collegamento di rete per più job di migrazione, a condizione di avere indirizzi sufficienti per soddisfare gli scenari di migrazione:

Destinazione	Numero di indirizzi IP richiesti
Istanza zonale Cloud SQL	1 indirizzo
Istanza Cloud SQL ad alta disponibilità (HA)	2 indirizzi

Configurare la connettività IP privata con le interfacce Private Service Connect

Per utilizzare la connettività IP privata con le interfacce Private Service Connect, l'IP privato del database di origine deve essere raggiungibile dal Virtual Private Cloud in cui crei il collegamento di rete. Per saperne di più sulla configurazione di questo metodo di connettività IP privata per diverse origini database, vedi:

Per le origini self-hosted: consulta Configurare la connettività IP privata con le interfacce Private Service Connect per le origini self-hosted sources.
Per Amazon RDS for Oracle: hai bisogno di Cloud VPN o Cloud Interconnect per creare la connessione all'IP privato del database di origine. Consulta: Configurare la connettività IP privata con le interfacce Private Service Connect per le origini Amazon RDS.

Connettività privata con peering VPC

Questo metodo ti consente di connetterti all'origine tramite gli indirizzi IP privati nel Virtual Private Cloud (VPC). Non è necessario esporre alcuna interfaccia a internet pubblico per utilizzare questo metodo, ma è necessario che l'indirizzo IP o il nome host del database di origine sia raggiungibile dal tuo Google Cloud VPC.

A seconda del database di origine, questo metodo di connettività potrebbe richiedere la configurazione di componenti di rete aggiuntivi (come Cloud VPN o una VM proxy inverso):

Requisiti per la connettività IP privata

Questo metodo di connettività è più adatto per le origini il cui indirizzo IP privato è raggiungibile dalla rete Google Cloud VPC. Per le origini self-hosted che risiedono in Google Cloud, puoi stabilire connessioni di peering dirette con una configurazione di connettività privata in Database Migration Service. Per altri tipi di origini, potresti aver bisogno di componenti di rete aggiuntivi come Cloud VPN o una VM proxy inverso (o entrambi).

La connettività IP privata richiede quanto segue:

Devi disporre di una rete Virtual Private Cloud con l'accesso privato ai servizi abilitato.

Questa è la rete con cui esegui il peering con Database Migration Service e il server del database di origine. Devi avere spazio sufficiente per allocare gli intervalli IP per entrambi i componenti.
Per Amazon RDS for Oracle: devi aver configurato Cloud VPN o Cloud Interconnect nella stessa rete VPC in cui intendi creare la configurazione di connettività privata per Database Migration Service. Se non riesci a creare la configurazione di connettività privata nella stessa rete VPC, devi configurare una macchina virtuale (VM) proxy inverso su Compute Engine.

Configurare la connettività IP privata con peering VPC

Per utilizzare la connettività IP privata con peering Virtual Private Cloud, l'IP privato del database di origine deve essere raggiungibile dal tuo Virtual Private Cloud. A seconda dell'architettura di rete, potrebbe essere necessario utilizzare componenti aggiuntivi come una VM proxy inverso o Cloud VPN.

Per saperne di più sulla configurazione della connettività IP privata per diverse origini database, vedi:

Per le origini self-hosted: consulta Configurare la connettività IP privata con peering Virtual Private Cloud per le origini self-hosted sources.
Per Amazon RDS for Oracle: hai bisogno di Cloud VPN o Cloud Interconnect per creare la connessione all'IP privato del database di origine. Consulta: Configurare la connettività IP privata con peering Virtual Private Cloud per le origini Amazon RDS.

Albero decisionale per la connettività di rete di origine

Quando hai familiarità con tutti i metodi di connettività di origine supportati e i relativi requisiti, puoi seguire le domande nel diagramma per scegliere il metodo di connettività giusto per il tuo scenario.

Un diagramma ad albero decisionale con domande guida per aiutarti
a scegliere il metodo di connettività giusto. — **Figura 5.** Albero decisionale per la connettività di rete di origine.

Passaggi successivi

Scopri di più sulla connettività del database di destinazione. Consulta Metodi di networking per la connettività del database di destinazione.
Per una procedura dettagliata completa della migrazione, consulta Guida alla migrazione da Oracle a Cloud SQL per PostgreSQL.