このページでは、プライベート接続構成を作成する方法について説明します。プライベート接続構成は、Database Migration Service サービス ネットワークと、ソースのプライベート IP に到達できる Virtual Private Cloud(VPC)ネットワークの間にピアリング接続を作成するのに役立つ Database Migration Service のコンストラクトです。プライベート接続構成を作成して、移行元の Oracle データベースへのプライベート接続を確立します。
始める前に
- 次の要件を満たす Virtual Private Cloud ネットワークがあることを確認します。
- VPC ネットワークに ピアリング制限がない。
-
ネットワークは、ソース データベースのプライベート IP が使用可能なネットワークと同じである必要があります。
推移的ピアリングはサポートされていません。ソースが別の VPC または Google Cloud VPC ネットワークの外部でホストされており、Database Migration Service がピアリングされている VPC ネットワークをそうしたネットワークに直接接続できない場合は、 リバース プロキシが必要です。
- VPC ネットワークには、最小 CIDR ブロックが
/29の使用可能な IP 範囲があります。Database Migration Service は、この IP 範囲を使用してサブネットを作成し、移行元データベースと通信できるようにします。
- Database Migration Service API と Compute Engine API を有効にします。
必要なロール
プライベート接続構成の作成に必要な権限を取得するには、移行プロセスに関与する次のアカウントに対して、プロジェクトに対する次の必要な IAM ロールを付与するよう管理者に依頼してください。
- 移行を実行するユーザー アカウント:
-
データベース移行管理者(
roles/datamigration.admin) -
Compute ネットワーク閲覧者(
roles/compute.networkViewer)
-
データベース移行管理者(
- Database Migration Service サービス アカウント:
-
Compute ネットワーク管理者(
roles/compute.networkAdmin)
Database Migration Service の サービス アカウントに関連付けられているメールアドレスは、プロジェクト番号に基づいており、
service-[project_number]@gcp-sa-datamigration.iam.gserviceaccount.comという形式になります。 -
Compute ネットワーク管理者(
ロールの付与の詳細については、Identity and Access Management のドキュメントの アクセスを管理するをご覧ください。
これらの事前定義ロールには、Database Migration Service でプライベート接続構成を作成するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Database Migration Service で同種の SQL Server 移行を実行するには、次の権限が必要です。
- 移行を実行するユーザー アカウント:
datamigration.*compute.networks.list
- Database Migration Service サービス アカウント:
compute.networks.listcompute.networks.create
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
構成を作成する
プライベート接続構成を作成する手順は次のとおりです。
- Google Cloud コンソールで、[プライベート接続の構成] ページに移動します。
- [Create configuration] をクリックします。
-
[Configure private connectivity] セクションで、構成の表示名を入力し、リージョンを選択します。
プロジェクトの Virtual Private Cloud ネットワークが存在するリージョンと同じリージョンを使用してください。移行ジョブと接続プロファイルを作成するリージョンと同じリージョンにする必要があります。Database Migration Service は完全にリージョン ベースのサービスです。つまり、移行に関連するすべてのエンティティ(移行元と移行先の接続プロファイル、移行ジョブ、移行先データベース、変換ワークスペース)を単一のリージョンに保存する必要があります。
- [Authorized VPC network] プルダウン メニューから、Database Migration Service にプライベート接続アクセスを許可する VPC を選択します。この VPC は、ソース SQL Server にプライベート IP が割り当てられているネットワークである必要があります。
-
[IP 範囲を割り当てる] フィールドに、最小 CIDR ブロックが
/29の IP 範囲を入力します。例:10.72.149.40/29。Database Migration Service は、選択した VPC 内のその IP 範囲に基づいてサブネットを作成します。適切な IP 範囲を取得するには、ネットワーク管理者に相談することをおすすめします。
テスト目的で、Virtual Private Cloud 限定公開サービス アクセス インターフェースを使用して IP 範囲を生成することもできます。この自動割り当ては、Database Migration Service のプライベート接続構成を対象としたものではありません。自動的に割り振られた範囲を Database Migration Service で使用する前に、その範囲を解放する必要があります。詳しくは、次のセクションを展開してください。
例: プライベート サービス アクセスを使用して IP 範囲を生成する
プライベート サービス アクセスの設定を作成するときに、VPC ネットワークに未使用の IP 範囲を生成できます。この範囲は、後で VPC 構成で解放し、Database Migration Service のプライベート接続構成に使用できます。
未使用の IP 範囲を生成するには、次の操作を行います。
- Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
- プロジェクト内のネットワークのリストから、ソース SQL Server データベースにプライベート IP が割り当てられているネットワークを選択します。
- [プライベート サービス アクセス] タブに移動し、[IP 範囲を割り振る] をクリックします。
- [内部 IP 範囲の割り振り] ウィンドウで、次のように入力します。
- [名前] フィールドの表示名。
- [自動] オプションを選択し、接頭辞に
29を入力します。 - 長さ。
結果: VPC ネットワークは、プロジェクトの限定公開サービス アクセス用に空の IP 範囲を割り当てます。
- 新しく割り振られた範囲の [内部 IP 範囲] の値を確認します。後で Database Migration Service で使用できるようにメモしておいてください。
- リストから新しい IP 範囲を選択し、[リリース] をクリックします。
- 生成された IP 範囲は、別のサブネットで自由に使用できるようになりました。Database Migration Service でプライベート接続構成を作成するときに、メモした範囲を [IP 範囲を割り当てる] フィールドに入力します。
- [作成] をクリックします。
これで、プライベート接続構成を ソース接続プロファイルで使用できるようになりました。