如要將資料從來源資料庫伺服器移至目的地 PostgreSQL 適用的 Cloud SQL 執行個體,資料庫移轉服務必須連線至來源執行個體。該連線可透過公開網際網路建立,或透過專案虛擬私有雲 (VPC) 中的一系列私人連線建立。
本頁面概要說明各種可用的來源資料庫連線方法,並提供建議,協助您為移轉作業選擇合適的解決方案:
方法比較:提供可用來源連線方法的比較表。
IP 許可清單:說明來源資料庫公開 IP 的網路連線。
轉送 SSH 通道:提供專用安全殼層 (SSH) 通道的總覽。
透過 Private Service Connect 介面建立私人連線 說明如何透過網路連結連線至來源私人 IP。
透過虛擬私有雲對等互連建立私人連線一文說明如何透過對等互連的虛擬私有雲網路,與來源資料庫的私人 IP 建立連線。
熟悉各種連線方法及其需求後,即可使用 決策樹狀圖,為您的情境選擇合適的解決方案。
方法比較
每種連線方式都有不同的優點和規定。 請參閱下表快速比較,然後在各方法的專屬章節中瞭解更多詳細資料。
| 網路方法 | 優點 | 缺點 |
|---|---|---|
| IP 許可清單 |
|
|
| 轉送 SSH 通道 |
|
|
| Private Service Connect 介面 |
|
|
| 透過虛擬私有雲對等互連建立私人連線 | 系統會透過虛擬私有雲對等互連,與來源資料庫的私有 IP 位址建立連線。如果 VPC 的對等互連配額不足,可能難以使用這種連線方法。在大多數情況下,建議您改用 透過 Private Service Connect 介面進行私人連線。 |
|
來源資料庫連線的 IP 許可清單
使用 IP 許可清單連線方法時,資料庫移轉服務會嘗試與來源資料庫伺服器的公開 IP 位址建立連線。
IP 許可清單連線規定
如要使用這個連線方式,您必須確保符合下列條件:
您必須向公開網際網路公開來源的 IP 位址 (直接公開,或透過網域名稱伺服器 (DNS) 公開可辨識的主機名稱)。
- 資料庫移轉服務不支援使用 Oracle Real Application Clusters (RAC) 環境中的單一用戶端存取名稱 (SCAN) 功能,直接連線至資料庫。如要瞭解如何解決這類環境中透過公開 IP 許可清單連線時可能發生的問題,請參閱「 排解 Oracle SCAN 錯誤」。
您需要允許 資料庫移轉服務公開 IP 位址傳入的連線。
選用:根據預設,IP 許可清單連線會使用未加密的連線。 建議您使用 TLS 憑證確保連線安全。資料庫遷移服務支援不同類型的 TLS,您可以根據來源資料庫支援的類型,選擇最合適的解決方案。詳情請參閱「 使用 SSL/TLS 憑證加密網路連線」。
設定 IP 許可清單連線
設定公開 IP 連線時,步驟會因來源資料庫類型而異。如需詳細資訊,請參閱:
轉送安全殼層通道,用於連線至來源資料庫
這種連線方式結合了公用和私有網路連線。 連線本身是透過安全殼層 (SSH) 連接埠,連至通道主機伺服器的公開 IP 位址。連線啟用後,所有流量都會透過安全通道傳輸至來源資料庫的私人 IP 位址。
轉送 SSH 通道的相關規定
如要建立連線,您需要在通道伺服器上將 SSH 連接埠公開至網際網路。建立連線後,所有流量都會透過私人通道連線傳輸。
您可以在代管來源資料庫的同一部伺服器上終止通道,但建議使用專屬通道伺服器。這樣一來,您就不會直接將來源資料庫公開至網際網路。通道伺服器可以是任何可透過 SSH 從網際網路連線,且可存取來源資料庫的 Unix 或 Linux 主機。
在特定連線情境中,我們建議您使用 透過虛擬私有雲對等互連的私人連線網路方法,而非轉送 SSH 通道:
- 對於位於 Google Cloud內部的自架來源,資料庫移轉服務可透過私人連線設定,存取來源資料庫的私人 IP。您不需要設定個別的 SSH 伺服器來建立連線。
設定轉送安全殼層通道連線
透過轉送安全殼層通道設定連線時,需要根據來源資料庫類型採取不同步驟。如需詳細資訊,請參閱:
透過 Private Service Connect 介面建立私人連線
Private Service Connect 介面可讓資料庫移轉服務啟動與來源資料庫私人 IP 的連線,且不會耗用自身 IP 位址的對等互連配額。而是使用您在虛擬私有雲中建立的網路連結。
Private Service Connect 介面的相關規定
如要使用這種連線方式,您必須在可連線至來源資料庫的虛擬私有雲網路中建立網路連結。網路附件的子網路必須有 6 個可用的 IP 位址 (也就是說,您必須使用 /29 範圍,總共 8 個 IP 位址)。只要有足夠的位址來因應遷移情境,您就能在多項遷移工作中,使用相同的網路附件:
| 目的地 | 所需 IP 位址數量 |
|---|---|
| Cloud SQL 區域執行個體 | 1 個位址 |
| Cloud SQL 高可用性 (HA) 執行個體 | 2 個地址 |
使用 Private Service Connect 介面設定私人 IP 連線
如要透過 Private Service Connect 介面使用私人 IP 連線,您必須從建立網路連結的虛擬私有雲存取來源資料庫私人 IP。如要進一步瞭解如何為不同資料庫來源設定這項私人 IP 連線方式,請參閱:
如果是自行代管的來源:請參閱「 為自行代管的來源設定 Private Service Connect 介面的私人 IP 連線」。
Amazon RDS for Oracle:您需要 Cloud VPN 或 Cloud Interconnect,才能建立與來源資料庫私人 IP 的連線。請參閱: 為 Amazon RDS 來源設定 Private Service Connect 介面的私人 IP 連線。
透過虛擬私有雲對等互連建立私人連線
這個方法可讓您透過虛擬私有雲 (VPC) 中的私人 IP 位址連線至來源。使用這個方法時,您不需要向公開網際網路公開任何介面,但來源資料庫 IP 位址或主機名稱必須可從 Google Cloud 虛擬私有雲連線。
視來源資料庫而定,您可能需要設定額外的網路元件 (例如 Cloud VPN 或反向 Proxy VM):
私人 IP 連線的必要條件
如果來源的私人 IP 位址可從虛擬私有雲網路存取,這個連線方法最適合。 Google Cloud 對於位於 Google Cloud的自行代管來源,您可以透過資料庫移轉服務中的 私人連線設定,建立直接對等互連連線。如果是其他類型的來源,您可能需要額外的網路元件,例如 Cloud VPN 或 反向 Proxy VM (或兩者)。
如要啟用私人 IP 連線,您必須符合下列條件:
-
這是與資料庫移轉服務和來源資料庫伺服器對等互連的網路。您必須有足夠的空間,才能為這兩個元件分配 IP 範圍。
適用於 Amazon RDS for Oracle:您必須在同一個虛擬私有雲網路中設定 Cloud VPN 或 Cloud Interconnect,才能為資料庫遷移服務建立私人連線設定。如果無法在同一個虛擬私有雲網路中建立私有連線設定,您必須 在 Compute Engine 上設定反向 Proxy 虛擬機器 (VM)。
透過虛擬私有雲對等互連設定私人 IP 連線
如要透過虛擬私有雲對等互連使用私人 IP 連線,來源資料庫的私人 IP 必須可從虛擬私有雲連線。視網路架構而定,您可能需要使用其他元件,例如反向 Proxy VM 或 Cloud VPN。
如要進一步瞭解如何為不同資料庫來源設定私人 IP 連線,請參閱:
自有來源:請參閱「 為自有來源設定虛擬私有雲對等互連的私人 IP 連線」。
Amazon RDS for Oracle:您需要 Cloud VPN 或 Cloud Interconnect,才能建立與來源資料庫私人 IP 的連線。請參閱: 使用虛擬私有雲對等互連,為 Amazon RDS 來源設定私人 IP 連線。
來源網路連線決策樹狀圖
熟悉所有支援的來源連線方式及其需求後,即可按照圖表中的問題,為您的情境選擇合適的連線方式。
後續步驟
瞭解目的地資料庫連線。請參閱「 目的地資料庫連線的網路方法」。
如需完整的逐步遷移導覽,請參閱 Oracle 遷移至 PostgreSQL 適用的 Cloud SQL 遷移指南。