您可以單獨建立連線設定檔,也可以在建立特定遷移工作時建立。無論採用哪種方式,您都可以在「連線設定檔」頁面查看及修改所有連線設定檔,並在多項遷移工作中重複使用。
如果擁有來源存取資訊的人員與建立遷移工作的人員不同,單獨建立來源連線設定檔就很有用。您也可以在多項遷移工作中重複使用來源連線設定檔定義。如果使用相同設定檔進行多項遷移作業,您必須更新來源資料庫中的 max_replication_slots 參數,以考量要建立的副本數量。
如要建立來源連線設定檔,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「連線設定檔」頁面。
- 按一下 Create profile。
- 在「建立連線設定檔」頁面中,提供連線至來源所需的下列資訊:
- 在「設定檔角色」清單中,選取「來源」。
從「資料庫引擎」清單中,選取來源資料庫引擎。
- 輸入連線設定檔名稱。這項資訊會顯示在連線設定檔清單中,以及在建立遷移工作時選取現有連線設定檔時。
- 保留系統自動產生的連線設定檔 ID。
輸入主機名稱或 IP 位址。
如果來源資料庫是託管在 Google Cloud ,或是使用反向 SSH 通道將目的地資料庫連線至來源資料庫,請指定來源資料庫的私人 (內部) IP 位址。Cloud SQL 目的地可存取這個位址。詳情請參閱「使用虛擬私有雲對等互連設定連線」。
如為其他連線方式 (例如 IP 許可清單),請提供公開 IP 位址。
- 輸入用來存取主機的通訊埠。PostgreSQL 預設通訊埠為 5432。
- 輸入來源資料庫的使用者名稱和密碼。使用者必須具備這些權限。
在頁面的「連線設定檔區域」部分,選取要儲存連線設定檔的區域。
選用:如果連線是透過公用網路建立 (使用 IP 許可清單),建議您使用 SSL/TLS 加密,確保來源和目的地資料庫之間的連線安全無虞。
在「保護連線安全」部分中,從「加密類型」清單中,選取下列其中一個 SSL/TLS 設定選項:
- 無:Cloud SQL 目的地執行個體會連線至來源資料庫,且不進行加密。如果資料庫需要加密連線,建議不要使用這個選項。
- 基本:Cloud SQL 目的地執行個體會連線至來源資料庫並加密,但不會驗證憑證授權單位 (CA)。
TLS 驗證:Cloud SQL 目的地執行個體連線至來源資料庫時,會驗證來源,確保執行個體安全連線至正確的主機。這可防止中間人攻擊。如果是 TLS 驗證,來源不會驗證執行個體。
如要使用 TLS 驗證,您必須提供簽署外部伺服器憑證的 CA 憑證,採用 x509 PEM 編碼。
- mTLS 驗證:當目的地執行個體連線至來源時,執行個體會驗證來源,來源也會驗證執行個體。
mTLS 驗證可提供最強大的安全保障。不過,如果您不想在建立 Cloud SQL 目的地執行個體時提供用戶端憑證和私密金鑰,仍可使用 TLS 驗證。
如要使用 mTLS 驗證,您必須在建立目的地連線設定檔時提供下列項目:
- 簽署來源資料庫伺服器憑證的 CA 憑證。
- 執行個體用來驗證來源資料庫伺服器的憑證 (用戶端憑證)。
- 與用戶端憑證相關聯的私密金鑰 (用戶端金鑰)。
按一下頁面底部的 [建立]。
「連線設定檔」頁面隨即顯示,並列出新建立的連線設定檔。