プライベート IP 接続を構成する

移行元データベースと移行先データベースのプライベート IP アドレス間の接続を確立することで、プライベート ネットワーク経由でデータを移行できます。 移行先データベースのプライベート IP アドレスを構成するには、VPC ピアリングでプライベート サービス アクセスを使用するか、Private Service Connect を使用します。

各接続方法にはそれぞれ異なる利点とトレードオフがあります。シナリオに最適なアプローチを選択してください。Cloud SQL のプライベート サービス アクセスと Private Service Connect の詳細については、Cloud SQL ドキュメントのプライベート IP の概要をご覧ください。

VPC ピアリングを使用して接続を構成する

VPC チェイニングはサポートされていません。移行元が別の Google Cloud プロジェクトにある場合は、共有 VPC の概要で、複数のプロジェクトのリソースを共通の VPC ネットワークに接続して VPC ピアリングを行う方法をご覧ください。

ソース データベース サーバーのファイアウォールは、Cloud SQL の宛先インスタンスが使用する VPC ネットワークのプライベート サービス接続に割り振られた内部 IP 範囲全体を許可するように構成する必要があります。

コンソールで内部 IP 範囲 を確認するには:

1. [VPC ネットワーク] ページをコンソールで Google Cloud 開きます。

2. 使用する VPC ネットワークを選択します。

3. [プライベート サービス アクセス] > [Allocated IP ranges for services] を選択します。

4. servicenetworking-googleapis-com によって作成された接続に関連付けられている内部 IP 範囲 を見つけます。

VPC ピアリングではプライベート サービス アクセスを使用します。 これは、VPC ピアリングを使用するプロジェクトごとに 1 回構成する必要があります。private services access を確立したら、移行ジョブをテストして接続を確認します。

Database Migration Service のプライベート サービス アクセスを構成する

Database Migration Service インスタンスのいずれかにプライベート IP を使用している場合、Database Migration Service インスタンスに接続しなければならない、または接続する必要があるすべての Google Cloud プロジェクトで、プライベート サービス アクセスを 1 回だけ構成します。

プライベート サービス アクセスを確立するには、 compute.networkAdmin の IAM 役割が必要です。ネットワークでプライベート サービス アクセスを確立した後は、compute.networkAdmin IAM ロールがなくても、プライベート IP を使用するようにインスタンスを構成できます。

プライベート サービス アクセスでは、まず内部 IP アドレス範囲を割り振り、プライベート接続を作成してから、カスタムルートをエクスポートする必要があります。

割り当て範囲は、ローカル VPC ネットワークでは使用できない予約済みの CIDR ブロックです。プライベート接続を作成するときは、割り当てを指定します。プライベート接続は、VPC ネットワークを基盤となる（「サービス プロデューサー」）VPC ネットワークにリンクします。

プライベート接続を作成すると、VPC ネットワークとサービス プロデューサー ネットワークはサブネット ルートのみを交換します。サービス プロバイダのネットワークがルートをインポートし、オンプレミス ネットワークにトラフィックを正しく転送できるように、VPC ネットワークのカスタムルートをエクスポートする必要があります。

ピアリングを構成すると、別の VPC ネットワークに接続する意思が示されます。 ピアリングされるそれぞれのネットワークが相手側とのピアリングを構成するまでは、両者は接続されません。相手側のネットワークでこちら側のネットワークとピアリングするための構成が行われると、双方のネットワークでピアリング状態が ACTIVE に変わり、接続が確立されます。相手側のネットワークで同じピアリング構成が行われていない場合、ピアリング状態は INACTIVE のままになります。これは、2 つのネットワークが接続されていないことを示します。

接続された 2 つのネットワークは常にサブネット ルートを交換します。ピアリング先のネットワークが静的と動的のカスタムルートをエクスポートするように構成されていれば、そのネットワークから必要に応じて両方のカスタムルートをインポートできます。

プライベート サービス アクセスの構成プロセスは、2 つの部分で構成されています。

• IP アドレス範囲を割り振る。この範囲には、すべてのインスタンスが含まれます。
• VPC ネットワークから サービス プロデューサー ネットワークへのプライベート接続を作成する。

IP アドレス範囲を割り振る

gcloud compute addresses create google-managed-services-my-vpc-network \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=16 \
    --network=my-vpc-network \
    --project=my-project

プライベート接続の作成

カスタムルートをエクスポートする

既存の VPC ネットワーク ピアリング接続を更新して、ピア VPC ネットワークとの間でのカスタムルートのエクスポートまたはインポートに関する設定を変更します。

カスタムルートをインポートできるのは、ピア ネットワークがカスタムルートをエクスポートしている場合のみです。ピア ネットワークでは、カスタムルートをインポートする場合にのみカスタムルートを受け取ります。

gcloud compute networks peerings update [PEERING-NAME] \
    --network=[MY-LOCAL-NETWORK] \
    [--[no-]import-custom-routes] \
    [--[no-]export-custom-routes]

roles/servicenetworking.serviceAgent ロールを付与する

  gcloud beta services identity create \
    --service=servicenetworking.googleapis.com \
    --project=project-id

  gcloud projects add-iam-policy-binding project-id \
    --member="service-account-prefix@service-networking.iam.gserviceaccount.com" \
    --role="roles/servicenetworking.serviceAgent"

Private Service Connect インターフェースを使用して接続を構成する

同種移行の場合、Cloud SQL は Private Service Connect インターフェースを使用して、プライベート ネットワーク経由で接続を確立できます。この接続方法は、既存のインスタンスに 移行する場合にのみ使用できます。

Private Service Connect インターフェースを使用するには、次の操作を行います。

1. Private Service Connect が有効な Cloud SQL インスタンスを作成します。 Cloud SQL ドキュメントの Private Service Connect 対応インスタンスを作成する をご覧ください。

2. インスタンスのアウトバウンド接続用に Private Service Connect を構成します。このプロセスの概要は次のとおりです。

   2.1. 移行元データベースのプライベート IP アドレスに到達できる VPC ネットワークにネットワーク アタッチメントを作成します。ネットワーク アタッチメント用に予約されたサブネット範囲は、RFC 1918 範囲内にある必要があります。

   2.2. ネットワーク アタッチメントを移行先 Cloud SQL for MySQL インスタンスに割り当てます。

   プロセス全体については、Cloud SQL ドキュメントの アウトバウンド接続を構成する をご覧ください。

3. 移行ジョブを作成する際に、接続方法として [PSC インターフェース] を選択します。