來源資料庫連線的網路方法

如要將來源資料庫伺服器的資料移至目的地 AlloyDB for PostgreSQL 叢集，資料庫遷移服務必須連線至來源執行個體。該連線可透過公用網際網路建立，或透過專案虛擬私有雲 (VPC) 中的一系列私人連線建立。

本頁面概要說明各種可用的來源資料庫連線方法，並提供建議，協助您為移轉作業選擇合適的解決方案：

• 方法比較提供可用來源連線方法的比較表。

• IP 許可清單：說明來源資料庫公開 IP 的網路連線。

• 轉送 SSH 通道：提供專用安全殼層 (SSH) 通道的總覽。

• 私人連線說明如何建立與來源資料庫私人 IP 的連線。

熟悉各種連線方法及其需求後，即可使用 決策樹狀圖，為您的情境選擇合適的解決方案。

方法比較

每種連線方式都有不同的優點和規定。 請參閱下表快速比較，然後在各方法的專屬章節中瞭解更多詳細資料。

網路方法	優點	缺點
IP 允許清單	設定最簡單的連線方式。 如果無法透過 Google Cloud中的私人網路連線至來源資料庫，這項功能就非常實用。	您必須將來源資料庫伺服器的 IPv4 位址公開至網際網路。因此需要採取額外的安全措施。 舉例來說，建議您使用 TLS 憑證和防火牆規則，確保連線安全。 設定防火牆規則時，可能需要 IT 部門的協助。 資料庫移轉服務不支援使用 Oracle Real Application Clusters (RAC) 環境中的單一用戶端存取名稱 (SCAN) 功能，直接連線至資料庫。如要瞭解如何透過公開 IP 許可清單連線至這類環境，請參閱「 排解 Oracle SCAN 錯誤」。
轉送 SSH 通道	與透過 IP 許可清單連線的公開 IP 相比，安全性更高。 初始連線是透過公開網際網路的安全殼層 (SSH) 連接埠建立。連線啟用後，所有流量都會透過安全的私人連線傳輸。 如果無法透過 Google Cloud中的私有網路連線至來源資料庫，但您不想直接將來源資料庫伺服器公開至網際網路，這時就非常適合使用這項功能。	使用中繼伺服器 (轉送安全殼層通道機器) 進行連線可能會導致額外延遲。 您必須設定及維護轉送 SSH 主機伺服器。 伺服器在遷移期間必須保持連線。
透過虛擬私有雲對等互連建立私有連線	系統會連線至來源資料庫的私人 IP 位址。 如果來源的私人 IP 位址可從 Google Cloud 虛擬私有雲網路連線，這個連線方法最適合使用。	如果是 Google Cloud 虛擬私有雲外部的來源，您可能需要使用其他網路元件，例如 Cloud VPN 或反向 Proxy VM。 如要使用虛擬私有雲對等互連，您必須 啟用私人服務存取權的虛擬私有雲。

來源資料庫連線的 IP 許可清單

使用 IP 許可清單連線方法時，資料庫移轉服務會嘗試與來源資料庫伺服器的公開 IP 位址建立連線。

IP 許可清單連線規定

如要使用這個連線方式，您必須確保下列事項：

• 您必須向公開網際網路公開來源的 IP 位址 (直接公開，或透過網域名稱伺服器 (DNS) 公開公認的主機名稱)。

• 資料庫移轉服務不支援使用 Oracle Real Application Clusters (RAC) 環境中的單一用戶端存取名稱 (SCAN) 功能，直接連線至資料庫。如要瞭解如何透過公開 IP 許可清單連線，解決這類環境的潛在問題，請參閱「 排解 Oracle SCAN 錯誤」。

• 您需要允許 資料庫移轉服務公開 IP 位址傳入的連線。

• 選用：根據預設，IP 許可清單連線會使用未加密的連線。建議您使用 TLS 憑證確保連線安全。資料庫遷移服務支援不同類型的 TLS，您可以根據來源資料庫支援的類型，選擇最合適的解決方案。詳情請參閱「 使用 SSL/TLS 憑證加密網路連線」。

設定 IP 許可清單連線

設定公開 IP 連線時，步驟會因來源資料庫類型而異。如需詳細資訊，請參閱：

• 為自行代管的來源設定 IP 許可清單連線

• 為 Amazon Web Services 中的來源設定 IP 許可清單連線

轉送安全殼層通道，用於連線至來源資料庫

這種連線方式結合了公用和私人網路連線。 連線本身是透過安全殼層 (SSH) 連接埠，連至通道主機伺服器的公開 IP 位址。連線啟用後，所有流量都會透過安全通道傳輸至來源資料庫的私人 IP 位址。

轉送 SSH 通道的相關規定

如要建立連線，您需要在通道伺服器上將 SSH 連接埠公開至網際網路。建立連線後，所有流量都會透過私人通道連線傳輸。

您可以在代管來源資料庫的同一部伺服器上終止通道，但建議使用專屬通道伺服器。這樣一來，您就不會直接向公用網際網路公開來源資料庫。通道伺服器可以是任何可透過 SSH 從網際網路連線，且可存取來源資料庫的 Unix 或 Linux 主機。

在某些連線情境中，我們建議您使用 透過虛擬私有雲對等互連的私有連線網路方法，而非轉送 SSH 通道：

• 對於位於 Google Cloud內部的自架來源，資料庫移轉服務可透過私人連線設定，存取來源資料庫的私人 IP。您不需要設定個別的 SSH 伺服器來建立連線。

設定轉送安全殼層通道連線

透過轉送安全殼層通道設定連線時，需要根據來源資料庫類型採取不同步驟。如需詳細資訊，請參閱：

• 為自行代管的來源設定透過轉送安全殼層通道的連線

• 為 Amazon Web Services 中的來源設定 IP 許可清單連線

透過虛擬私有雲對等互連建立私人連線

這個方法可讓您透過虛擬私有雲 (VPC) 中的私人 IP 位址連線至來源。使用這個方法時，您不需要向公開網際網路公開任何介面，但來源資料庫 IP 位址或主機名稱必須可從 Google Cloud 虛擬私有雲連線。

視來源資料庫而定，您可能需要設定額外的網路元件 (例如 Cloud VPN 或反向 Proxy VM)：

私人 IP 連線的必要條件

如果來源的私人 IP 位址可從您的 Google Cloud 虛擬私有雲網路連線，就最適合使用這種連線方法。如果來源是位於 Google Cloud的自行代管來源，您可以透過資料庫移轉服務中的 私人連線設定，建立直接對等互連連線。如果是其他類型的來源，您可能需要額外的網路元件，例如 Cloud VPN 或 反向 Proxy VM (或兩者)。

如要啟用私人 IP 連線，您必須符合下列條件：

• 您必須 啟用私人服務存取權，才能使用虛擬私有雲網路。

  這是與資料庫移轉服務和來源資料庫伺服器對等互連的網路。您必須有足夠的空間，才能為這兩個元件分配 IP 範圍。

• Amazon RDS for Oracle：您必須在同一個虛擬私有雲網路中設定 Cloud VPN 或 Cloud Interconnect，才能為資料庫遷移服務建立私人連線設定。如果無法在同一個虛擬私有雲網路中建立私有連線設定，您需要 在 Compute Engine 上設定反向 Proxy 虛擬機器 (VM)。

透過虛擬私有雲對等互連設定私人 IP 連線

如要透過虛擬私有雲對等互連使用私人 IP 連線，來源資料庫的私人 IP 必須可從虛擬私有雲連線。視網路架構而定，您可能需要使用其他元件，例如反向 Proxy VM 或 Cloud VPN。

如要進一步瞭解如何為不同資料庫來源設定私人 IP 連線，請參閱：

• 如果是自行代管的來源：請參閱 透過虛擬私有雲對等互連，為自行代管的來源設定私人 IP 連線。

• Amazon RDS for Oracle：您需要 Cloud VPN 或 Cloud Interconnect，才能建立與來源資料庫私人 IP 的連線。請參閱： 使用虛擬私有雲對等互連，為 Amazon RDS 來源設定私人 IP 連線。

來源網路連線決策樹狀圖

熟悉所有支援的來源連線方式及其需求後，即可按照圖表中的問題，為您的情境選擇合適的連線方式。

後續步驟

• 瞭解目的地資料庫連線。請參閱「 目的地資料庫連線的網路方法」。

• 如需完整的遷移逐步導覽，請參閱 Oracle 至 PostgreSQL 適用的 AlloyDB 遷移指南。