Configurar a conectividade de rede para as origens do Amazon RDS para Oracle

Esta página descreve como configurar a conectividade de rede com fontes do Amazon RDS para Oracle para migrações heterogêneas do Oracle para o AlloyDB para PostgreSQL com o Database Migration Service.

Há três métodos diferentes que podem ser usados para configurar a conectividade de rede necessária para migrações de fontes do Amazon RDS para Oracle:

Para saber mais sobre a conectividade de rede do banco de dados de origem, consulte Visão geral dos métodos de rede de origem.

Configurar a conectividade da lista de permissões de IP

Para usar o método de conectividade da lista de permissões de IP público, siga estas etapas:

  1. No AWS Management Console, siga estas etapas:
    1. Verifique se o banco de dados de origem do Amazon RDS está configurado para conexões de IP público.
    2. Identifique o nome do endpoint e o número da porta. É preciso inserir esses valores ao criar o perfil de conexão.

    Para mais informações sobre como preparar sua instância do Amazon RDS para Oracle, consulte Como se conectar à instância de banco de dados Oracle na documentação do Amazon RDS.

  2. Crie um grupo de segurança que permita o tráfego do Database Migration Service para sua VPC do Amazon RDS. Consulte Fornecer acesso à instância de banco de dados na VPC criando um grupo de segurança.

    Permita todos os endereços IP públicos do Database Migration Service na região em que você cria o job de migração.

  3. Em uma etapa posterior, quando você criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão, use o nome do endpoint da instância para o IP do banco de dados de origem.
    2. Na seção Definir método de conectividade, selecione Lista de permissões de IP.

Configurar a conectividade por um túnel SSH com encaminhamento

Para se conectar ao banco de dados de origem com um túnel Secure Shell (SSH), siga estas etapas:

  1. Inicie uma instância do Amazon EC2 para servir como um túnel SSH de encaminhamento dedicado. Configure na mesma Amazon VPC em que você tem a origem do Amazon RDS para Oracle.

    Para mais informações, consulte Começar a usar o Amazon EC2 na documentação da Amazon.

  2. Conecte-se à instância do EC2 e configure o túnel SSH. Siga estas etapas:
    1. Crie uma conta de usuário separada e dedicada para que o Database Migration Service se conecte como: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restrinja o acesso ao shell da conta do Database Migration Service para aumentar a segurança: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

    3. Decida qual método de autenticação você quer que o Database Migration Service use ao se conectar ao túnel.

      Você pode usar uma senha ou gerar chaves SSH no formato PEM, que podem ser enviadas para o Database Migration Service ao criar o perfil de conexão de origem.

      • Se você quiser usar uma senha, não será necessário configurar nada adicional. Lembre-se da senha que você criou para a conta TUNNEL_ACCOUNT_USERNAME.
      • Se você quiser usar a autenticação baseada em chaves, gere um par de chaves pública e privada. Por exemplo, use o utilitário ssh-keygen:
        1. Gere o par de chaves: 
              ssh-keygen -m PEM -f YOUR_KEY_NAME
        2. Copie a chave pública (YOUR_KEY_NAME.pub) para o diretório ~/.ssh/ no servidor de túnel.
        3. Salve a chave privada. Você precisará fazer upload dele mais tarde no Database Migration Service ao criar o perfil de conexão de origem.
    4. Edite o arquivo /etc/ssh/sshd_config para configurar o túnel de encaminhamento SSH de acordo com os requisitos da sua organização. Recomendamos usar as seguintes configurações: 
      # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
    5. Execute o comando ssh para iniciar o túnel.

      Antes de usar os dados do comando abaixo, faça estas substituições:

      • TUNNEL_SERVER_SSH_PORT com o número da porta em que o servidor está escutando conexões SSH.
      • SOURCE_DATABASE_PRIVATE_IP pelo endereço IP particular do banco de dados de origem. O servidor SSH precisa conseguir acessar esse IP.
      • SOURCE_DATABASE_PORT com o número da porta em que o banco de dados de origem está detectando conexões. O número da porta padrão para conexões TCP no Oracle é 1433.
      • USERNAME com o nome da conta de usuário que vai executar o túnel. Essa é uma conta separada de TUNNEL_ACCOUNT_USERNAME.
      • TUNNEL_SERVER_PUBLIC_IP com o IP público do servidor de túnel SSH. 
      ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  3. Em uma etapa posterior, quando você criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão, use o nome do endpoint da instância para o IP do banco de dados de origem.
    2. Na seção Definir método de conectividade, selecione Túnel SSH de encaminhamento.
    3. Forneça o endereço IP público ou o nome do host do seu servidor SSH.
    4. Forneça a porta designada para as conexões SSH no servidor de túnel.
    5. Insira o nome de usuário criado para o Database Migration Service se conectar (ou seja, o valor de TUNNEL_ACCOUNT_USERNAME).
    6. No menu suspenso Método de autenticação, selecione o método que você quer usar com o TUNNEL_ACCOUNT_USERNAME:
      • Se quiser usar a senha do usuário, selecione Senha e digite a senha TUNNEL_ACCOUNT_USERNAME no formulário.
      • Se você configurou o servidor SSH para usar a autenticação baseada em chaves, selecione Par de chaves privada/pública e faça upload da chave privada gerada com o comando ssh-keygen.

Configurar a conectividade privada com o peering de VPC

Para usar a conectividade particular com fontes do Amazon RDS para Oracle, é necessário ter uma Cloud VPN ou um Cloud Interconnect configurado na mesma rede VPC em que você pretende criar a configuração de conectividade particular para o Database Migration Service. Se não for possível criar a configuração de conectividade particular na rede VPC em que você tem o Cloud VPN ou o Cloud Interconnect, também será necessário uma máquina virtual (VM) de proxy reverso no Compute Engine para estabelecer a conexão.

Se não for possível usar o Cloud VPN ou o Cloud Interconnect, recomendamos que você use os métodos de conectividade túnel SSH de encaminhamento ou lista de permissões de IP.

Para usar a conectividade particular com peering de VPC e Cloud VPN, siga estas etapas:

  1. Configure a conectividade direta com a Cloud VPN para sua instância do Amazon RDS para PostgreSQL.

    Para mais informações, consulte Criar conexões de VPN de alta disponibilidade entre o Google Cloud e a AWS na documentação do Cloud VPN.

  2. Opcional: se não for possível criar a configuração de conectividade particular na mesma rede VPC em que você tem a Cloud VPN, crie uma máquina virtual (VM) de proxy reverso no Compute Engine para encaminhar as conexões entre as VPCs.
  3. No Database Migration Service, crie uma configuração de conectividade privada para fazer peering com a rede VPC em que você tem a Cloud VPN.
  4. Em uma etapa posterior, quando você criar o perfil de conexão de origem, faça o seguinte:
    1. Na seção Definir detalhes da conexão, insira o IP privado da instância de origem do Amazon RDS.
    2. Na seção Definir método de conectividade, selecione Conectividade particular (peering de VPC).
    3. No menu suspenso, selecione a configuração de conectividade particular criada na etapa anterior.