独自に作成することも、特定の移行ジョブのコンテキストで作成することも可能です。どちらの場合でも、すべての接続プロファイルは [接続プロファイル] ページで確認と変更を行うことができ、さまざまな移行ジョブで再利用できます。
ソース接続プロファイルを独自に作成すると、ソースのアクセス情報を持っているユーザーと移行ジョブを作成したユーザーが異なる場合に役立ちます。また、複数の移行ジョブでソース接続プロファイル定義を再利用することもできます。複数の移行で同じプロファイルを使用する場合は、作成するレプリカの数を考慮して、ソース データベースの max_replication_slots パラメータを更新する必要があります。
ソース接続プロファイルを作成する手順は次のとおりです。
- コンソールで [接続プロファイル] ページに移動します。 Google Cloud
- [プロファイルを作成] をクリックします。
- [接続プロファイルを作成] ページで、ソースへの接続に必要な次の情報を入力します。
- [プロファイル ロール] リストから [ソース] を選択します。
[データベース エンジン] リストから、移行元データベース エンジンを選択します。
- 接続プロファイル名 を入力します。これは、接続プロファイルのリストと、移行ジョブの作成時に既存の接続 プロファイルが選択された場合に使用されます。
- 自動生成された接続プロファイル ID を保持します。
ホスト名 または IP アドレス を入力します。
ソース データベースが Google Cloud でホストされている場合、またはリバース SSH トンネルを使用して宛先データベースをソース データベースに接続する場合は、 ソース データベースのプライベート(内部)IP アドレスを指定します。このアドレスは Cloud SQL の移行先からアクセスできます。詳細については、VPC ピアリングを使用して接続を構成するをご覧ください。
- ホストへのアクセスに使用するポート を入力します。デフォルトの PostgreSQL ポートは 5432 です。
- ソース データベースのユーザー名とパスワードを入力します。ユーザーには次の権限が必要です。
ページの [接続プロファイル リージョン] セクションで、接続プロファイルを保存するリージョンを選択します。
省略可: パブリック ネットワーク上で (IP 許可リストを使用して)接続している場合は、ソース データベースと宛先データベース間の 接続に SSL/TLS 暗号化を使用することをおすすめします。
[接続を保護する] セクションの [暗号化タイプ] リストから、次のいずれかの SSL/TLS 構成オプションを選択できます。
- なし: Cloud SQL の宛先インスタンスは、暗号化なしでソース データベースに接続します。データベースで暗号化された接続が必要な場合は、このオプションを使用しないことをおすすめします。
- 基本: Cloud SQL の宛先インスタンスは、暗号化を使用してソース データベースに接続しますが、認証局(CA)を検証しません。
TLS 認証: Cloud SQL の宛先インスタンスがソース データベースに接続すると、インスタンスはソースを認証し、インスタンスが正しいホストに安全に接続していることを確認します。これにより、中間者(PITM)攻撃を防ぐことができます。TLS 認証の場合、 ソースはインスタンスを認証しません。
TLS 認証を使用するには、外部サーバーの証明書に署名した CA の x509 PEM エンコード証明書を指定する必要があります。
- mTLS 認証: 宛先インスタンスがソースに接続すると、インスタンスはソースを認証し、ソースはインスタンスを認証します。
mTLS 認証は、最も強力なセキュリティを提供します。ただし、 Cloud SQL の宛先インスタンスの作成時にクライアント証明書と秘密鍵を提供したくない場合は、 TLS 認証を使用することもできます。
mTLS 認証を使用するには、宛先接続プロファイルの作成時に次の 項目を指定する必要があります。
- ソース データベース サーバーの証明書に署名した CA の証明書(CA 証明書)。
- インスタンスがソース データベース サーバーに対する認証に使用する証明書(クライアント証明書)。
- クライアント証明書に関連付けられた秘密鍵(クライアント鍵)。
ページの下部にある [作成] をクリックします。
The [Connection profiles] page appears, and the newly created connection profile is displayed.