Puoi eseguire la migrazione dei dati su reti private stabilendo la connettività tra gli indirizzi IP privati dei database di origine e di destinazione. Per configurare gli indirizzi IP privati per il database di destinazione, puoi utilizzare l'accesso privato ai servizi o Private Service Connect.
Ogni metodo di connessione offre vantaggi e compromessi distinti. Assicurati di scegliere l'approccio più adatto al tuo scenario. Per saperne di più sull'accesso privato ai servizi e su Private Service Connect in AlloyDB per PostgreSQL, consulta la panoramica degli IP privati nella documentazione di AlloyDB per PostgreSQL.
Configurare la connettività utilizzando il peering VPC
Il peering VPC funziona configurando i VPC in modo che comunichino tra loro. Se l'origine si trova nello stesso Google Cloud progetto in AlloyDB o Compute Engine, la destinazione può comunicare direttamente con l'origine. Se l'origine è accessibile con la VPN, configura la rete di origine e Cloud VPN in modo che comunichino tra loro tramite la VPN. Per saperne di più, consulta Connessione di VPC tramite VPN.L'incatenamento di VPC non è supportato. Se l'origine si trova in un progetto Google Cloud diverso, consulta la panoramica del VPC condiviso per scoprire come connettere le risorse di più progetti a una rete VPC comune per il peering VPC.
Il firewall del server del database di origine deve essere configurato in modo da consentire l'intero intervallo IP interno allocato per la connessione privata ai servizi della rete VPC che verrà utilizzata dall'istanza di destinazione AlloyDB.
Per trovare l'intervallo IP interno nella console:
Vai alla pagina Reti VPC nella Google Cloud console.
Seleziona la rete VPC che vuoi utilizzare.
Seleziona la scheda CONNESSIONE PRIVATA AI SERVIZI.
pg_hba.conf o le definizioni dei gruppi di sicurezza in AWS RDS sul database di origine siano aggiornate in modo da accettare connessioni dall'intervallo di indirizzi IP del VPC di AlloyDB.
Il peering VPC utilizza l'accesso privato ai servizi,
che deve essere configurato una volta per ogni progetto che utilizza il peering VPC. Dopo aver
stabilito private services access, testa il tuo
job di migrazione per verificare la connettività.
Configurare l'accesso privato ai servizi per Database Migration Service
Se utilizzi un IP privato per una delle istanze di Database Migration Service, devi configurare l'accesso privato ai servizi una sola volta per ogni progetto Google Cloud che ha o deve connettersi a un'istanza di Database Migration Service.
Per stabilire l'accesso privato ai servizi è necessario il
compute.networkAdmin. Dopo aver stabilito l'accesso privato ai servizi per la tua rete, non hai più bisogno del ruolo IAM compute.networkAdmin per configurare un'istanza in modo che utilizzi un IP privato.
L'accesso privato ai servizi richiede prima l'allocazione di un intervallo di indirizzi IP interni, quindi la creazione di una connessione privata e infine l'esportazione di una route personalizzata.
Un intervallo allocato è un blocco CIDR riservato che non può essere utilizzato nella rete VPC locale. Quando crei una connessione privata, devi specificare un'allocazione. La connessione privata collega la rete VPC alla rete VPC sottostante ("producer di servizi").
Quando crei una connessione privata, la rete VPC e la rete del producer di servizi scambiano solo le route di subnet. Devi esportare le route personalizzate della rete VPC in modo che la rete del fornitore di servizi possa importarle e instradare correttamente il traffico alla tua rete on-premise.
Una configurazione di peering stabilisce l'intenzione di connettersi a un'altra rete VPC. La tua rete e l'altra rete non sono connesse finché ognuna non ha una configurazione di peering per l'altra. Dopo che l'altra rete ha una configurazione corrispondente per il peering con la tua rete, lo stato del peering diventa ATTIVO in entrambe le reti e queste vengono connesse. Se non esiste una configurazione di peering corrispondente nell'altra rete, lo stato del peering rimane INATTIVO, il che indica che la tua rete non è connessa all'altra.
Una volta connesse, le due reti scambiano sempre le route di subnet. Se una rete in peering è stata configurata per esportarle, puoi facoltativamente importare route personalizzate sia statiche che dinamiche.
La procedura di configurazione dell'accesso privato ai servizi è composta da due parti:
- Allocazione di un intervallo di indirizzi IP. L'intervallo comprende tutte le istanze.
- Creazione di una connessione privata dalla rete VPC alla rete del producer di servizi.
Allocare un intervallo di indirizzi IP
Console
- Vai alla pagina Reti VPC nella Google Cloud console.
- Seleziona la rete VPC che vuoi utilizzare.
- Seleziona la scheda Connessione privata ai servizi.
- Seleziona la scheda Intervalli IP allocati per i servizi.
- Fai clic su Alloca intervallo IP.
In Nome dell'intervallo allocato, specifica
google-managed-services-VPC_NETWORK_NAME, doveVPC_NETWORK_NAMEè il nome della rete VPC a cui ti stai connettendo (ad esempio,google-managed-services-default). La Descrizione è facoltativa.Fai clic su ALLOCA per creare l'intervallo allocato.
gcloud
Esegui una delle seguenti operazioni:
Per specificare un intervallo di indirizzi e una lunghezza del prefisso (subnet mask), utilizza i flag
addresseseprefix-length. Ad esempio, per allocare il blocco CIDR192.168.0.0/16specifica192.168.0.0per l'indirizzo e16per la lunghezza del prefisso.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]Per specificare solo una lunghezza del prefisso (subnet mask), utilizza il flag
prefix-length. Se ometti l'intervallo di indirizzi, Google Cloud viene selezionato automaticamente un intervallo di indirizzi inutilizzato nella rete VPC. L'esempio seguente seleziona un intervallo di indirizzi IP inutilizzato con una lunghezza del prefisso di16bit.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]
Sostituisci [VPC_NETWORK_NAME] con il nome della rete VPC, ad esempio my-vpc-network.
L'esempio seguente alloca un intervallo IP che consente alle risorse nella rete VPC my-vpc-network di connettersi alle istanze di Database Migration Service utilizzando un IP privato.
gcloud compute addresses create google-managed-services-my-vpc-network \
--global \
--purpose=VPC_PEERING \
--prefix-length=16 \
--network=my-vpc-network \
--project=my-project
Creare una connessione privata
Console
- Vai alla pagina Reti VPC nella Google Cloud console.
- Seleziona la rete VPC che vuoi utilizzare.
- Seleziona la scheda Connessione privata ai servizi.
- Seleziona la scheda Connessioni private ai servizi.
- Fai clic su Crea connessione per creare una connessione privata tra la rete e un producer di servizi.
- In Allocazione assegnata, seleziona uno o più intervalli allocati esistenti che non vengono utilizzati da altri producer di servizi, quindi fai clic su Ok.
- Fai clic su CONNETTI per creare la connessione.
gcloud
Crea una connessione privata.
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=google-managed-services-[VPC_NETWORK_NAME] \ --network=[VPC_NETWORK_NAME] \ --project=[PROJECT_ID]Sostituisci
[VPC_NETWORK_NAME]con il nome della rete VPC e[PROJECT_ID]con l'ID del progetto che contiene la rete VPC.Il comando avvia un'operazione a lunga esecuzione e restituisce un nome di operazione.
Verifica se l'operazione è andata a buon fine.
gcloud services vpc-peerings operations describe \ --name=[OPERATION_NAME]Sostituisci
[OPERATION_NAME]con il nome dell'operazione restituito nel passaggio precedente.
Puoi specificare più di un intervallo allocato quando crei una connessione privata. Ad esempio, se un intervallo è esaurito, puoi assegnare intervalli allocati aggiuntivi. Il servizio utilizza gli indirizzi IP di tutti gli intervalli forniti nell'ordine specificato.
Esportare route personalizzate
Aggiorna una connessione peering di rete VPC esistente per modificare se la rete VPC esporta o importa route personalizzate da o verso la rete VPC in peering.
La rete importa route personalizzate solo se anche la rete in peering le esporta e la rete in peering riceve route personalizzate solo se le importa.
Console
- Vai alla pagina Peering di rete VPC nella Google Cloud console.
Vai alla pagina Peering di rete VPC - Seleziona la connessione peering da aggiornare.
- Fai clic su MODIFICA.
- Aggiorna le impostazioni delle route personalizzate selezionando o deselezionando Importa route personalizzate o Esporta route personalizzate.
- Fai clic su SALVA.
gcloud
Aggiorna la connessione peering per modificare le impostazioni di importazione o esportazione per le route personalizzate.
gcloud compute networks peerings update [PEERING-NAME] \
--network=[MY-LOCAL-NETWORK] \
[--[no-]import-custom-routes] \
[--[no-]export-custom-routes]
Concedere il ruolo roles/servicenetworking.serviceAgent
gcloud beta services identity create \
--service=servicenetworking.googleapis.com \
--project=project-id
gcloud projects add-iam-policy-binding project-id \
--member="service-account-prefix@service-networking.iam.gserviceaccount.com" \
--role="roles/servicenetworking.serviceAgent"
Configurare la connettività utilizzando le interfacce Private Service Connect
Per le migrazioni omogenee di AlloyDB per PostgreSQL, AlloyDB per PostgreSQL può utilizzare le interfacce Private Service Connect per stabilire una connessione su reti private. Questo metodo di connettività è disponibile solo quando esegui la migrazione a un'istanza esistente.
Per utilizzare le interfacce Private Service Connect:
Crea un cluster AlloyDB per PostgreSQL abilitato per Private Service Connect e un'istanza primaria in quel cluster. Consulta Abilitare Private Service Connect nella documentazione di AlloyDB per PostgreSQL.
Configura Private Service Connect per la connettività in uscita sull'istanza. Consulta Configurare la connettività in uscita nella documentazione di AlloyDB per PostgreSQL.
Assicurati che la rete VPC in cui crei il collegamento di rete sia la rete in cui puoi raggiungere l'indirizzo IP privato del database di origine.