Verbindung über umgekehrten SSH-Tunnel konfigurieren

MySQL | PostgreSQL | PostgreSQL zu AlloyDB

Übersicht

Sie können eine Verbindung von der Zieldatenbank zur Quelldatenbank über einen sicheren umgekehrten SSH-Tunnel herstellen. Für diese Methode ist eine Bastion Host-VM im Google Cloud Projekt sowie ein Computer (z. B. ein Laptop im Netzwerk) erforderlich, der eine Verbindung zur Quelldatenbank herstellen kann.

Der Database Migration Service for PostgreSQL erfasst die erforderlichen Informationen bei der Erstellung der Migration und generiert das Skript für die Einrichtung automatisch.

Sehen Sie sich das folgende Diagramm an: Diagramm für umgekehrten SSH-Tunnel

Umgekehrten SSH-Tunnel einrichten

Die folgenden Schritte werden im Database Migration Service-Ablauf zum Erstellen eines Migrationsjobs ausgeführt, um einen Reverse-SSH-Tunnel zwischen der Quelldatenbank und der Cloud SQL-Instanz einzurichten. Nachdem Sie einige Parameter angegeben haben, führen Sie eine Reihe von gcloud-Befehlen auf einem Computer aus, der sowohl mit der Quelldatenbank als auch mit Google Cloudverbunden ist.

Wählen Sie die VM-Instanz aus, die zum Herstellen einer Verbindung zwischen der Quelldatenbank und der Cloud SQL-Instanz verwendet wird. Normalerweise ist das eine VM, die in der VPC ausgeführt wird, in der auch die Anwendung ausgeführt wird, die auf die neue Cloud SQL-Datenbank zugreift. Die VM-Instanz dient als SSH-Tunnel-Bastion-Server.
Sie können dafür eine vorhandene Compute Engine-VM-Instanz verwenden.
1. Wählen Sie die Compute Engine-VM-Instanz aus der Liste aus.
2. Geben Sie einen kostenlosen Port an, der für den SSH-Tunnel verwendet werden kann.
Hinweis: Damit der Reverse-SSH-Tunnel funktioniert, müssen Sie den Parameter `GatewayPorts` in der Datei /etc/ssh/sshd_config auf dem Zielserver auf `yes` setzen. Nachdem Sie die Datei aktualisiert haben, starten Sie den sshd-Dienst mit dem Befehl sudo systemctl restart sshd.service neu.

Wenn Sie die Konfiguration Ihrer vorhandenen VM nicht ändern möchten, erstellen Sie eine neue VM.
Alternativ können Sie in diesem Schritt eine neue VM erstellen. Wählen Sie CREATE A COMPUTE ENGINE VM INSTANCE aus. Das generierte Skript enthält dann eine Anleitung zum Erstellen.
1. Geben Sie einen Namen für die VM-Instanz an.
2. Wählen Sie einen Maschinentyp für die VM aus.
3. Subnetz für die VM angeben
Hinweis: Eine Compute Engine-VM-Instanz, die vom Skript erstellt wurde, wird nicht vom Database Migration Service verwaltet. Wenn eine Instanz erstellt wird, wird Ihrer Organisation der Preis für die Instanz gemäß der Standardpreisgestaltung in Rechnung gestellt. Ihre Organisation ist für die Verwaltung der Instanz verantwortlich, einschließlich des Löschens der Instanz, wenn sie nicht mehr benötigt wird.
Klicken Sie auf SKRIPT ANSEHEN, um das generierte Skript aufzurufen.
Standardmäßig wird im Skript eine öffentliche IP-Adresse für den Compute Engine-VM-Server generiert. Wenn Sie möchten, dass die IP-Adresse privat ist, gehen Sie so vor:
- Ändern Sie den Befehl gcloud compute instances create, indem Sie das Flag --no-address hinzufügen.
- Ändern Sie den Befehl gcloud compute ssh, indem Sie das Flag --internal-ip hinzufügen.
Wenn Sie eine Bastion Host-VM in einem Subnetz in einer freigegebenen VPC erstellen möchten, ändern Sie den export SUBNET_NAME-Befehl im generierten Skript so, dass er auf /projects/project_name/regions/region_name/subnetworks/subnetwork_name verweist.

Beispiel:

export SUBNET_NAME=projects/myproject/regions/myregion/subnetworks/mysubnetwork

project_name ist der Name des Projekts, in dem sich die freigegebene VPC befindet. Ein Projekt hat Regionen und Subnetzwerke. region_name und subnetwork_name sind die Namen der Region und des Subnetzwerks, die dem VPC-Projekt zugeordnet sind.
Achten Sie darauf, dass der Abschnitt für Replikationsverbindungen der Datei pg_hba.conf oder die Sicherheitsgruppendefinitionen in AWS RDS in der Quelldatenbank aktualisiert wurden, sodass Verbindungen aus dem IP-Adressbereich der Cloud SQL-VPC akzeptiert werden.
Führen Sie das Skript auf einem Computer aus, der Zugriff auf die Quelldatenbank und die Compute Engine-VM hat. Das Skript führt die folgenden Vorgänge aus:
- Konfiguriert die Compute Engine-VM als SSH-Tunnel-Bastionserver.
- Stellt eine sichere SSH-Verbindung zwischen der Quelldatenbank und der VPC her.
- Wenn Sie eine neue Compute Engine-VM erstellen, kopieren Sie nach erfolgreicher Ausführung des Skripts die IP-Adresse des VM-Servers aus der Skriptausgabe und geben Sie sie in das bereitgestellte Textfeld ein. Die Cloud SQL-Instanz wird bei Bedarf aktualisiert, wenn Sie den Migrationsjob später testen oder starten.
Klicken Sie auf Konfigurieren und fortfahren.
Prüfen Sie den Migrationsjob, um zu bestätigen, dass Daten korrekt aus der Quelldatenbankinstanz in die Cloud SQL-Zieldatenbankinstanz migriert wurden.
Wenn sich Ihre Quelle in einem VPN befindet (z. B. in AWS oder Ihrem eigenen lokalen VPN), lesen Sie den Abschnitt VPCs über VPNs verbinden, um weitere Informationen zur Konfiguration des Quell-VPN und des Google Cloud-VPN zu erhalten.
Nachdem Ihr Migrationsjob konfiguriert, die Verbindung geprüft und VPNs bei Bedarf erfolgreich konfiguriert wurden, können Sie den Job ausführen.

Verbindung über umgekehrten SSH-Tunnel konfigurieren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Übersicht

Umgekehrten SSH-Tunnel einrichten

Verbindung über umgekehrten SSH-Tunnel konfigurieren