Mengonfigurasi konektivitas menggunakan tunnel SSH terbalik

MySQL | PostgreSQL | PostgreSQL ke AlloyDB

Ringkasan

Anda dapat membuat konektivitas dari database tujuan ke database sumber melalui tunnel SSH terbalik yang aman. Metode ini memerlukan VM bastion host di project Google Cloud , serta mesin (misalnya, laptop di jaringan) yang memiliki konektivitas ke database sumber.

Database Migration Service untuk PostgreSQL mengumpulkan informasi yang diperlukan saat pembuatan migrasi, dan membuat skrip secara otomatis untuk menyiapkan semuanya.

Lihat diagram berikut: Diagram tunnel SSH terbalik

Menyiapkan tunnel SSH terbalik

Langkah-langkah berikut dilakukan dalam alur Database Migration Service untuk membuat tugas migrasi, guna menyiapkan tunnel SSH terbalik antara database sumber dan instance Cloud SQL. Setelah memberikan beberapa parameter, Anda menjalankan serangkaian perintah gcloud di komputer yang memiliki konektivitas ke database sumber dan ke Google Cloud.

Pilih instance VM yang digunakan untuk membuat konektivitas antara database sumber dan instance Cloud SQL. Biasanya, ini adalah VM yang berjalan di VPC tempat aplikasi yang mengakses database Cloud SQL baru berjalan. Instance VM berfungsi sebagai server bastion tunnel SSH.
Anda dapat menggunakan instance VM Compute Engine yang ada untuk tujuan ini.
1. Pilih instance VM Compute Engine dari daftar.
2. Berikan port kosong yang dapat digunakan tunnel SSH.
Catatan: Agar tunnel SSH terbalik berfungsi, tetapkan parameter `GatewayPorts` ke `yes` dalam file /etc/ssh/sshd_config di server target. Setelah memperbarui file, mulai ulang layanan sshd menggunakan perintah sudo systemctl restart sshd.service.

Jika Anda tidak ingin mengubah konfigurasi VM yang ada, buat VM baru.
Atau, Anda dapat membuat VM baru pada langkah ini. Pilih CREATE A COMPUTE ENGINE VM INSTANCE dan skrip yang dihasilkan mencakup petunjuk untuk membuatnya.
1. Berikan nama untuk instance VM.
2. Pilih jenis mesin untuk VM.
3. Tentukan subnet untuk VM
Catatan: Instance VM Compute Engine yang dibuat oleh skrip tidak dikelola oleh Database Migration Service. Jika dibuat, organisasi Anda akan ditagih untuk instance berdasarkan harga standar, dan bertanggung jawab atas pengelolaannya, termasuk menghapus instance jika tidak lagi diperlukan.
Klik LIHAT SKRIP untuk melihat skrip yang dihasilkan.
Secara default, skrip akan menghasilkan alamat IP publik untuk server VM Compute Engine. Jika Anda ingin alamat IP bersifat pribadi, lakukan hal berikut:
- Ubah perintah gcloud compute instances create dengan menambahkan flag --no-address.
- Ubah perintah gcloud compute ssh dengan menambahkan flag --internal-ip.
Selain itu, jika Anda ingin membuat VM host bastion di subnet yang berada di VPC bersama, ubah perintah export SUBNET_NAME dari skrip yang dihasilkan agar mengarah ke /projects/project_name/regions/region_name/subnetworks/subnetwork_name.

Contoh:

export SUBNET_NAME=projects/myproject/regions/myregion/subnetworks/mysubnetwork

project_name adalah nama project tempat VPC bersama ditempatkan. Project memiliki region dan subnetwork. region_name dan subnetwork_name adalah nama wilayah dan subnetwork yang terkait dengan project VPC.
Pastikan bagian koneksi replikasi file pg_hba.conf atau definisi grup keamanan AWS RDS pada database sumber telah diupdate untuk menerima koneksi dari rentang alamat IP VPC Cloud SQL.
Jalankan skrip di mesin yang memiliki akses ke database sumber dan VM Compute Engine. Skrip akan melakukan operasi berikut:
- Mengonfigurasi VM Compute Engine sebagai server bastion tunnel SSH.
- Membuat koneksi SSH yang aman antara database sumber dan VPC.
- Jika Anda membuat VM Compute Engine baru, setelah berhasil menjalankan skrip, salin IP server VM dari output skrip dan masukkan di kolom teks yang disediakan. Instance Cloud SQL akan diperbarui sesuai kebutuhan saat Anda menguji atau memulai tugas migrasi nanti.
Klik KONFIGURASIKAN & LANJUTKAN.
Verifikasi tugas migrasi Anda untuk mengonfirmasi bahwa tugas tersebut telah memigrasikan data dengan benar dari instance database sumber ke instance database Cloud SQL tujuan.
Jika sumber Anda berada dalam VPN (misalnya, di AWS, atau VPN lokal Anda sendiri), lanjutkan ke bagian tentang menghubungkan VPC melalui VPN untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi VPN sumber dan VPN Google Cloud agar dapat bekerja sama.
Setelah tugas migrasi dikonfigurasi, konektivitas diverifikasi, dan VPN dikonfigurasi dengan berhasil jika diperlukan, Anda dapat menjalankan tugas.

Mengonfigurasi konektivitas menggunakan tunnel SSH terbalik Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Ringkasan

Menyiapkan tunnel SSH terbalik

Mengonfigurasi konektivitas menggunakan tunnel SSH terbalik