您可以单独创建连接配置文件,也可以在创建特定迁移作业时创建连接配置文件。无论采用哪种方式,您都可以在“连接配置文件”页面上查看和修改所有连接配置文件,并且可以在多个迁移作业中重复使用这些配置文件。
如果拥有来源访问权限的人员与创建迁移作业的人员不是同一人,则单独创建来源连接配置文件会很有用。您还可以在多个迁移作业中重复使用来源连接配置文件定义。如果您在多个迁移中使用同一配置文件,则需要在源数据库中更新 max_replication_slots 参数,以考虑您要创建的副本数量。
如需创建来源连接配置文件,请按以下步骤操作:
- 前往连接配置文件 页面,在 Google Cloud 控制台中。
- 点击创建配置文件 。
- 在创建连接配置文件 页面上,提供连接到来源所需的以下信息:
- 从配置文件角色 列表中,选择来源 。
从数据库引擎 列表中,选择您的源数据库引擎。
- 输入连接配置文件名称 。此名称在连接配置文件列表中以及迁移作业创建过程中选择现有连接配置文件时使用。
- 保留自动生成的连接配置文件 ID 。
输入主机名 或 IP 地址 。
如果源数据库托管在 Google Cloud 或使用反向 SSH 隧道将目标数据库连接到源数据库, 则指定源数据库的专用(内部)IP 地址。Cloud SQL 目标可以访问此地址。如需了解详情,请参阅使用 VPC 对等互连配置连接。
对于其他连接方法(例如 IP 许可名单),请提供公共 IP 地址。
- 输入用于访问主机的端口 。默认 PostgreSQL 端口为 5432。
- 输入源数据库的用户名和密码。用户必须拥有这些权限。
在该页面的连接配置文件区域 部分,选择您要在其中保存连接配置文件的区域。
可选:如果连接是通过公共网络 (使用 IP 许可名单)建立的,则我们建议您对源数据库和目标数据库之间的连接使用 SSL/TLS 加密。
在保护连接安全 部分的加密类型 列表中,您可以选择以下 SSL/TLS 配置选项之一:
- 无:Cloud SQL 目标实例在不加密的情况下连接到源数据库。如果您的数据库需要加密连接,我们建议您不要使用此选项。
- 基本:Cloud SQL 目标实例在加密的情况下连接到源数据库,但不验证证书授权机构 (CA)。
TLS 身份验证:当 Cloud SQL 目标实例连接到源数据库时,该实例会对源数据库进行身份验证,从而确保实例安全地连接到正确的主机。这样可以防止中间人 (PITM) 攻击。对于 TLS 身份验证, 来源不会对实例进行身份验证。
如需使用 TLS 身份验证,您必须提供签署外部服务器证书的 CA 的 x509 PEM 编码证书。
- mTLS 身份验证:当目标实例连接到来源时,该实例会对来源进行身份验证,并且来源会对该实例进行身份验证。
mTLS 身份验证提供最高级别的安全防护。但是, 如果您不想在创建 Cloud SQL 目标实例时提供客户端证书和私钥,则仍可以使用 TLS 身份验证。
如需使用 mTLS 身份验证,您必须在创建目标连接配置文件时提供以下内容:
- 签署源数据库服务器证书的 CA 的证书(CA 证书)。
- 实例用来对源数据库服务器进行身份验证的证书(客户端证书)。
- 与客户端证书关联的私钥(客户端密钥)。
点击该页面底部的创建 。
随即会显示连接 配置文件 页面,并且会显示新创建的连接配置文件。