Esta página foi traduzida pela API Cloud Translation.

Métodos de rede para conectividade do banco de dados de origem

Para mover dados do servidor de banco de dados de origem para a instância de destino do Cloud SQL para PostgreSQL, o Database Migration Service precisa se conectar à instância de origem. Essa conexão pode ser estabelecida pela Internet pública ou por uma série de conexões particulares na nuvem privada virtual (VPC) do seu projeto.

Esta página oferece uma visão geral de cada método de conectividade de banco de dados de origem disponível, além de uma seção de recomendações para ajudar você a escolher a solução certa para sua migração:

A comparação de métodos oferece uma tabela de comparação dos métodos de conectividade de origem disponíveis.
A lista de permissões de IP descreve a conectividade de rede com o IP público do banco de dados de origem.
O túnel SSH com encaminhamento oferece uma visão geral dos túneis Secure Shell (SSH) dedicados.
Conectividade particular com interfaces do Private Service Connect descreve como se conectar ao seu IP particular de origem com anexos de rede.
Conectividade privada com peering de VPC descreve como estabelecer uma conexão com o IP particular do banco de dados de origem em redes VPC com peering.

Depois de se familiarizar com diferentes métodos de conectividade e seus requisitos, use o diagrama de árvore de decisão para escolher a solução certa para seu cenário.

Comparação de métodos

Cada método de conectividade tem benefícios e requisitos diferentes. Use a tabela a seguir para comparar rapidamente e confira mais detalhes nas seções dedicadas a cada método.

Método de rede	Vantagens	Desvantagens
Lista de permissões de IP	O método de conectividade mais fácil de configurar. Útil quando não é possível acessar o banco de dados de origem por redes privadas em Google Cloud.	É necessário expor um endereço IPv4 do servidor de banco de dados de origem à Internet pública. Isso exige medidas de segurança extras. Por exemplo, recomendamos que você use certificados TLS e regras de firewall para proteger a conexão. A configuração das regras de firewall pode exigir assistência do departamento de TI. O Database Migration Service não oferece suporte à conectividade direta com bancos de dados usando o recurso Single Client Access Name (SCAN) em ambientes Oracle Real Application Clusters (RAC). Para possíveis soluções de conectividade usando a lista de permissões de IP público com esses ambientes, consulte Solução de problemas de erros do Oracle SCAN.
Túnel SSH com encaminhamento	Mais seguro do que se conectar por IP público com uma lista de permissões de IP. A conexão inicial é estabelecida por portas Secure Shell (SSH) na Internet pública. Depois que a conexão é ativada, todo o tráfego passa por uma conexão segura e particular. Útil quando o banco de dados de origem não pode ser acessado por redes particulares em Google Cloud, mas você não quer expor o servidor de banco de dados de origem diretamente à Internet pública.	Usar um servidor intermediário (a máquina de túnel SSH de encaminhamento) para conectividade pode gerar mais latência. Você precisa configurar e manter o servidor host forward-ssh. O servidor precisa estar on-line durante toda a migração.
Interfaces do Private Service Connect	Estabelece conexões com seu IP particular de origem usando um anexo de rede. Esse método não consome a cota de peering na sua VPC. O método mais fácil de configurar a conectividade particular de origem.	Requer a configuração de um anexo de rede e o ajuste das regras de firewall. Não é possível modificar o anexo de rede depois de estabelecer a conexão.
Conectividade particular com o peering da nuvem privada virtual	A conexão é estabelecida com o endereço IP privado do banco de dados de origem por peerings de VPC. Se a VPC não tiver cota de peering suficiente, talvez seja difícil usar esse método de conectividade. Na maioria dos casos, recomendamos usar a conectividade particular com interfaces do Private Service Connect em vez disso.	Para fontes fora da sua Google Cloud VPC, talvez seja necessário usar componentes de rede adicionais, como o Cloud VPN ou uma VM de proxy reverso. Você precisa de uma nuvem privada virtual com acesso a serviços particulares ativado para usar o peering de nuvem privada virtual. Essa configuração consome a cota de peering na sua rede VPC.

Lista de permissões de IP para conectividade do banco de dados de origem

Ao usar o método de conectividade da lista de permissões de IP, o Database Migration Service tenta estabelecer uma conexão com um endereço IP disponível publicamente do servidor de banco de dados de origem.

Requisitos para conectividade da lista de permissões de IP

Em geral, para usar esse método de conectividade, você precisa garantir o seguinte:

É necessário expor o endereço IP da sua origem à Internet pública (diretamente ou com um nome de host reconhecido publicamente por um servidor de nomes de domínio (DNS)).
O Database Migration Service não oferece suporte à conectividade direta com bancos de dados usando o recurso Single Client Access Name (SCAN) em ambientes Oracle Real Application Clusters (RAC). Para possíveis soluções de conectividade usando a lista de permissões de IP público com esses ambientes, consulte Solução de problemas de erros do Oracle SCAN.
É necessário permitir conexões de entrada dos endereços IP públicos do Database Migration Service.
Opcional: a conectividade da lista de permissões de IP usa conexões sem criptografia por padrão. Recomendamos que você use certificados TLS para proteger sua conexão. O Database Migration Service oferece suporte a diferentes tipos de TLS para que você possa escolher a melhor solução dependendo do que seu banco de dados de origem pode oferecer. Para mais informações, consulte Usar certificados SSL/TLS para criptografar conexões de rede.

Configurar a conectividade da lista de permissões de IP

A configuração da conectividade do IP público exige etapas diferentes, dependendo do tipo de banco de dados de origem. Veja mais informações em:

Túnel SSH de encaminhamento para conectividade do banco de dados de origem

Esse método de conectividade é uma mistura de conectividade de rede pública e privada. A conexão é estabelecida por portas Secure Shell (SSH) para o endereço IP público do servidor host do túnel. Quando a conexão está ativa, todo o tráfego passa por um túnel seguro até o endereço IP particular do banco de dados de origem.

Um diagrama de rede que mostra uma configuração de conectividade de alto nível em um servidor de túnel SSH dedicado. — **Figura 2.** Exemplo de rede de migração: conectividade de origem por um túnel SSH. (clique para ampliar)

Requisitos para túneis SSH com encaminhamento

Para criar a conexão, exponha as portas SSH à Internet pública no servidor de túnel. Quando a conectividade é estabelecida, todo o tráfego é roteado pela conexão de túnel particular.

É possível encerrar o túnel no mesmo servidor em que você hospeda o banco de dados de origem, mas recomendamos usar um servidor de túnel dedicado. Assim, você não expõe seu banco de dados de origem diretamente à Internet pública. O servidor de túnel pode ser qualquer host Unix ou Linux que possa ser acessado pela Internet usando SSH e que tenha acesso ao banco de dados de origem.

Para determinados cenários de conectividade, recomendamos usar o método de rede conectividade privada com peering de nuvem privada virtual em vez de um túnel SSH de encaminhamento:

Para fontes autohospedadas que residem em Google Cloud, o Database Migration Service pode acessar o IP particular do banco de dados de origem com a configuração de conectividade particular. Não é necessário configurar um servidor SSH separado para estabelecer a conexão.

Configurar a conectividade do túnel SSH com encaminhamento

A configuração da conectividade por um túnel SSH de encaminhamento exige etapas diferentes dependendo do tipo de banco de dados de origem. Veja mais informações em:

Conectividade particular com interfaces do Private Service Connect

As interfaces do Private Service Connect permitem que o Database Migration Service inicie conexões com o IP particular do banco de dados de origem sem consumir a cota de peering dos próprios endereços IP. Em vez disso, esse método de conectividade usa anexos de rede criados na sua VPC.

Um diagrama de rede que mostra uma configuração de conectividade
de alto nível em um servidor de túnel SSH dedicado e interfaces do Private Service
Connect. — **Figura 3.** Exemplo de rede de migração: conectividade de origem de IP privado com interfaces do Private Service Connect e Cloud VPN para origens que residem em outras ofertas de nuvem. (clique para ampliar)

Requisitos para interfaces do Private Service Connect

Esse método de conectividade exige que você crie um anexo de rede na rede VPC em que o banco de dados de origem pode ser acessado. A sub-rede do anexo de rede precisa ter seis endereços IP utilizáveis. Isso significa que você precisa usar o intervalo /29 para um total de oito endereços IP. É possível usar o mesmo anexo de rede para vários jobs de migração, desde que você tenha endereços suficientes para acomodar seus cenários de migração:

Destino	Número de endereços IP necessários
Instância zonal do Cloud SQL	1 endereço
Instância de alta disponibilidade (HA) do Cloud SQL	2 endereços

Configurar a conectividade de IP particular com interfaces do Private Service Connect

Para usar a conectividade de IP particular com interfaces do Private Service Connect, o IP particular do banco de dados de origem precisa estar acessível na nuvem privada virtual em que você cria a vinculação de rede. Para saber mais sobre como configurar esse método de conectividade IP particular para diferentes fontes de dados, consulte:

Para fontes auto-hospedadas, consulte Configurar a conectividade IP particular com interfaces do Private Service Connect para fontes auto-hospedadas.
Para o Amazon RDS para Oracle: você precisa do Cloud VPN ou do Cloud Interconnect para criar a conexão com o IP particular do banco de dados de origem. Consulte: Configurar a conectividade de IP particular com interfaces do Private Service Connect para fontes do Amazon RDS.

Conectividade privada com peering de VPC

Esse método permite se conectar à sua origem usando os endereços IP particulares na sua nuvem privada virtual (VPC). Não é necessário expor nenhuma interface à Internet pública para usar esse método, mas é preciso que o endereço IP ou nome do host do banco de dados de origem possa ser acessado da sua Google Cloud VPC.

Dependendo do banco de dados de origem, esse método de conectividade pode exigir a configuração de outros componentes de rede, como o Cloud VPN ou uma VM de proxy reverso:

Requisitos para conectividade de IP particular

Esse método de conectividade é mais adequado para fontes cujo endereço IP privado pode ser acessado da sua rede VPC Google Cloud . Para fontes autohospedadas que residem em Google Cloud, é possível estabelecer conexões de peering direto com uma configuração de conectividade particular no Database Migration Service. Para outros tipos de fontes, talvez seja necessário ter componentes de rede adicionais, como o Cloud VPN ou uma VM de proxy reverso (ou ambos).

A conectividade do IP particular requer o seguinte:

Você precisa ter uma rede de nuvem privada virtual com o acesso a serviços particulares ativado.

É a rede que você faz peering com o Database Migration Service e o servidor de banco de dados de origem. Você precisa ter espaço suficiente para alocar intervalos de IP para os dois componentes.
Para o Amazon RDS para Oracle: é necessário ter uma Cloud VPN ou um Cloud Interconnect configurado na mesma rede VPC em que você pretende criar a configuração de conectividade privada para o Database Migration Service. Se não for possível criar a configuração de conectividade particular na mesma rede VPC, configure uma máquina virtual (VM) de proxy reverso no Compute Engine.

Configurar a conectividade de IP particular com peering de VPC

Para usar a conectividade de IP particular com o peering de nuvem privada virtual, o IP particular do banco de dados de origem precisa estar acessível na nuvem privada virtual. Dependendo da arquitetura da rede, talvez seja necessário usar componentes adicionais, como uma VM de proxy reverso ou o Cloud VPN.

Para saber mais sobre como configurar a conectividade de IP privado para diferentes fontes de dados, consulte:

Para fontes auto-hospedadas, consulte Configurar a conectividade de IP particular com o peering da nuvem privada virtual para fontes auto-hospedadas.
Para o Amazon RDS para Oracle: você precisa do Cloud VPN ou do Cloud Interconnect para criar a conexão com o IP particular do banco de dados de origem. Consulte: Configurar a conectividade IP particular com o peering de nuvem privada virtual para origens do Amazon RDS.

Árvore de decisão de conectividade de rede de origem

Quando você conhecer todos os métodos de conectividade de origem compatíveis e os requisitos deles, siga as perguntas no diagrama para escolher o método certo para seu cenário.

Um diagrama de árvore de decisão com perguntas orientadoras para ajudar você a escolher o método de conectividade certo. — **Figura 5.** Árvore de decisão de conectividade de rede de origem.

A seguir

Saiba mais sobre a conectividade do banco de dados de destino. Consulte Métodos de rede para conectividade de banco de dados de destino.
Para conferir um tutorial completo e detalhado sobre a migração, consulte o guia de migração do Oracle para o Cloud SQL para PostgreSQL.