Database Migration Service verwendet Private Service Connect, um über eine private IP-Adresse eine Verbindung zu Ihrer Cloud SQL-Zielinstanz herzustellen. Mit Private Service Connect können Sie Ihre Zieldatenbank für eingehende sichere Verbindungen freigeben und steuern, wer auf die Datenbank zugreifen kann.
Die Einrichtung der Netzwerkarchitektur für Private Service Connect unterscheidet sich je nachdem, ob Sie eine PSC-fähige oder eine nicht PSC-fähige Cloud SQL-Zielinstanz verwenden.
Weitere Informationen zu Verbindungsmethoden für Ziele finden Sie unter Übersicht über Verbindungsmethoden für Zieldatenbanken.
Private Service Connect für PSC-fähige Cloud SQL-Instanzen
So verwenden Sie private Verbindungen mit PSC-fähigen Cloud SQL for PostgreSQL-Zielen:
- Wenn Sie die Zielinstanz erstellen und konfigurieren, achten Sie darauf, dass Sie sie als PSC-fähige Instanz mit einer privaten IP-Adresse erstellen. Sie können eine vorhandene Cloud SQL-Instanz nicht so ändern, dass Private Service Connect aktiviert wird.
- Wenn Sie später das
Zielverbindungsprofil erstellen, wählen Sie im Abschnitt Verbindungsmethode definieren die Option Private IP aus.
Das Feld Name des Dienstanhangs wird automatisch mit dem Dienstanhang ausgefüllt, der für Ihre Zielinstanz erstellt wurde.
Private Service Connect für Cloud SQL-Instanzen, die nicht PSC-fähig sind
Wenn Sie private IP-Verbindungen für Cloud SQL for PostgreSQL-Ziele verwenden möchten, die nicht mit aktiviertem Private Service Connect erstellt wurden, müssen Sie zusätzliche Netzwerkkomponenten für das Routing von Traffic zwischen Database Migration Service und Ihrem Ziel erstellen. Weitere Informationen finden Sie unter Private IP destination connectivity for non-PSC Cloud SQL instances.
Wenn eine Bastion-VM für Ihre Netzwerkanforderungen nicht ausreicht, konfigurieren Sie eine Instanzgruppe für die Einrichtung des Netzwerk-Producers. Weitere Informationen finden Sie unter Netzwerkverbindung in verwalteten Diensten.
Wir empfehlen, die erforderliche Einrichtung des Private Service Connect-Produzenten mit der Google Cloud CLI oder mit Terraform-Automatisierungsskripten zu erstellen. Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- PROJECT_ID mit dem Projekt, in dem Sie das Private Service Connect-Producer-Setup erstellen.
- REGION mit der Region, in der Sie das Private Service Connect-Producer-Setup erstellen.
- ZONE durch die Zone in REGION ersetzen, in der Sie alle zonalen Ressourcen (z. B. die Bastion-VM) erstellen.
- BASTION durch die zu erstellende Bastion-VM.
- DB_SUBNETWORK durch das Subnetzwerk, an das der Traffic weitergeleitet wird. Das Subnetzwerk muss Zugriff auf die Cloud SQL-Instanz haben.
- DB_SUBNETWORK_GATEWAY mit dem IPv4-Gateway des Subnetzwerks.
- CLOUD_SQL_INSTANCE_CONNECTION_NAME
mit dem Namen der Cloud SQL-Instanzverbindung (im Format
project:region:name). - PORT durch den Port, den der Bastion-Host verwendet, um die zugrunde liegende Datenbank verfügbar zu machen.
- CLOUD_SQL_INSTANCE_PRIVATE_IP mit der privaten IP-Adresse der Ziel-Cloud SQL-Instanz.
gcloud
Im folgenden Bash-Script wird die Google Cloud CLI verwendet, um die Einrichtung des Private Service Connect-Producers für die Zieldatenbank zu erstellen. Einige Standardeinstellungen müssen möglicherweise angepasst werden, z. B. die CIDR-Bereiche des Private Service Connect-Subnetzes.
#!/bin/bash
# Create the VPC network for the Database Migration Service Private Service Connect.
gcloud compute networks create dms-psc-vpc \
--project=PROJECT_ID \
--subnet-mode=custom
# Create a subnet for the Database Migration Service Private Service Connect.
gcloud compute networks subnets create dms-psc-REGION \
--project=PROJECT_ID \
--range=10.0.0.0/16 --network=dms-psc-vpc \
--region=REGION
# Create a router required for the bastion to be able to install external
# packages (for example, Dante SOCKS server):
gcloud compute routers create ex-router-REGION \
--network dms-psc-vpc \
--project=PROJECT_ID \
--region=REGION
gcloud compute routers nats create ex-nat-REGION \
--router=ex-router-REGION \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--enable-logging \
--project=PROJECT_ID \
--region=REGION
# Create the bastion VM.
gcloud compute instances create BASTION \
--project=PROJECT_ID \
--zone=ZONE \
--image-family=debian-11 \
--image-project=debian-cloud \
--network-interface subnet=dms-psc-REGION,no-address \
--network-interface subnet=DB_SUBNETWORK,no-address \
--metadata=startup-script='#!/bin/bash
# Route the private IP address using the gateway of the database subnetwork.
# Find the gateway for the relevant subnetwork on the VPC network page
# in the Google Cloud console. Click VPC networks and select the database VPC
# to see the details.
ip route add CLOUD_SQL_INSTANCE_PRIVATE_IP via DB_SUBNETWORK_GATEWAY
# Install Dante SOCKS server.
apt-get install -y dante-server
# Create the Dante configuration file.
touch /etc/danted.conf
# Create a proxy.log file.
touch proxy.log
# Add the following configuration for Dante:
cat > /etc/danted.conf << EOF
logoutput: /proxy.log
user.privileged: proxy
user.unprivileged: nobody
internal: 0.0.0.0 port = PORT
external: ens5
clientmethod: none
socksmethod: none
client pass {
from: 0.0.0.0/0
to: 0.0.0.0/0
log: connect error disconnect
}
client block {
from: 0.0.0.0/0
to: 0.0.0.0/0
log: connect error
}
socks pass {
from: 0.0.0.0/0
to: CLOUD_SQL_INSTANCE_PRIVATE_IP/32
protocol: tcp
log: connect error disconnect
}
socks block {
from: 0.0.0.0/0
to: 0.0.0.0/0
log: connect error
}
EOF
# Start the Dante server.
systemctl restart danted
tail -f proxy.log'
# Create the target instance from the created bastion VM.
gcloud compute target-instances create bastion-ti-REGION \
--instance=BASTION \
--project=PROJECT_ID \
--instance-zone=ZONE \
--network=dms-psc-vpc
# Create a forwarding rule for the backend service.
gcloud compute forwarding-rules create dms-psc-forwarder-REGION \
--project=PROJECT_ID \
--region=REGION \
--load-balancing-scheme=internal \
--network=dms-psc-vpc \
--subnet=dms-psc-REGION \
--ip-protocol=TCP \
--ports=all \
--target-instance=bastion-ti-REGION \
--target-instance-zone=ZONE
# Create a TCP NAT subnet.
gcloud compute networks subnets create dms-psc-nat-REGION-tcp \
--network=dms-psc-vpc \
--project=PROJECT_ID \
--region=REGION \
--range=10.1.0.0/16 \
--purpose=private-service-connect
# Create a service attachment.
gcloud compute service-attachments create dms-psc-svc-att-REGION \
--project=PROJECT_ID \
--region=REGION \
--producer-forwarding-rule=dms-psc-forwarder-REGION \
--connection-preference=ACCEPT_MANUAL \
--nat-subnets=dms-psc-nat-REGION-tcp
# Create a firewall rule allowing the Private Service Connect NAT subnet.
# access the Private Service Connect subnet
gcloud compute \
--project=PROJECT_ID firewall-rules create dms-allow-psc-tcp \
--direction=INGRESS \
--priority=1000 \
--network=dms-psc-vpc \
--action=ALLOW \
--rules=all \
--source-ranges=10.1.0.0/16 \
--enable-logging
# Print out the created service attachment.
gcloud compute service-attachments describe dms-psc-svc-att-REGION \
--project=PROJECT_ID \
--region=REGION
Terraform
Im folgenden Bash-Script wird die Google Cloud CLI verwendet, um die Einrichtung des Private Service Connect-Producers für die Zieldatenbank zu erstellen. Einige Standardeinstellungen müssen möglicherweise angepasst werden, z. B. die CIDR-Bereiche des Private Service Connect-Subnetzes.
variables.tf:
variable "project_id" {
type = string
description = <<DESC
The Google Cloud project in which the setup is created. This should be the same project as
the one that the Cloud SQL instance belongs to.
DESC
}
variable "region" {
type = string
description = "The Google Cloud region in which you create the Private Service Connect
regional resources."
}
variable "zone" {
type = string
description = <<DESC
The Google Cloud zone in which you create the Private Service Connect zonal resources
(should be in the same region as the one specified in the "region" variable).
DESC
}
variable "cloud_sql_instance_name" {
type = string
description = "The Cloud SQL instance name."
}
variable "port" {
type = string
description = "The port that the bastion will use to expose the underlying database."
default = "5432"
}
variable "cloud_sql_instance_network" {
type = string
description = <<DESC
The VPC to which the Cloud SQL instance is peered. This is where the bastion will
forward connections to (the destination database needs to be accessible in this VPC).
DESC
}
main.tf:
/* To execute the call:
terraform apply
-var="project_id=PROJECT_ID"
-var="region=REGION"
-var="zone=ZONE"
-var="cloud_sql_instance_name=CLOUD_SQL_INSTANCE_NAME"
-var="port=PORT"
-var="cloud_sql_instance_network=CLOUD_SQL_INSTANCE_NETWORK" */
locals {
cloud_sql_instance_connection_name = "${var.project_id}:${var.region}:${var.cloud_sql_instance_name}"
}
# Needed for getting the private IP address of the Cloud SQL instance.
data "google_sql_database_instance" "csql_instance" {
name = var.cloud_sql_instance_name
project = var.project_id
}
# Needed for getting the IPv4 gateway of the subnetwork for the database.
data "google_compute_subnetwork" "db_network_subnet" {
name = var.cloud_sql_instance_network
project = var.project_id
region = var.region
}
resource "google_compute_network" "psc_sp_network" {
name = "dms-psc-network"
project = var.project_id
auto_create_subnetworks = false
}
resource "google_compute_subnetwork" "psc_sp_subnetwork" {
name = "dms-psc-subnet"
region = var.region
project = var.project_id
network = google_compute_network.psc_sp_network.id
# CIDR range can be lower.
ip_cidr_range = "10.0.0.0/16"
}
resource "google_compute_subnetwork" "psc_sp_nat" {
provider = google-beta
name = "dms-psc-nat"
region = var.region
project = var.project_id
network = google_compute_network.psc_sp_network.id
purpose = "PRIVATE_SERVICE_CONNECT"
# CIDR range can be lower.
ip_cidr_range = "10.1.0.0/16"
}
resource "google_compute_service_attachment" "psc_sp_service_attachment" {
provider = google-beta
name = "dms-psc-svc-att"
region = var.region
project = var.project_id
enable_proxy_protocol = false
connection_preference = "ACCEPT_MANUAL"
nat_subnets = [google_compute_subnetwork.psc_sp_nat.id]
target_service = google_compute_forwarding_rule.psc_sp_target_direct_rule.id
}
resource "google_compute_forwarding_rule" "psc_sp_target_direct_rule" {
name = "dms-psc-fr"
region = var.region
project = var.project_id
network = google_compute_network.psc_sp_network.id
subnetwork = google_compute_subnetwork.psc_sp_subnetwork.id
load_balancing_scheme = "INTERNAL"
ip_protocol = "TCP"
all_ports = true
target = google_compute_target_instance.psc_sp_target.id
}
resource "google_compute_target_instance" "psc_sp_target" {
provider = google-beta
name = "dms-psc-fr-target"
zone = var.zone
instance = google_compute_instance.psc_sp_bastion.id
network = google_compute_network.psc_sp_network.id
}
resource "google_compute_instance" "psc_sp_bastion" {
name = "dms-psc-cloud-sql-bastion"
project = var.project_id
machine_type = "e2-medium"
zone = var.zone
can_ip_forward = true
boot_disk {
initialize_params {
image = "debian-cloud/debian-11"
}
}
# The incoming NIC defines the default gateway which must be the Private Service Connect subnet.
network_interface {
network = google_compute_network.psc_sp_network.id
subnetwork = google_compute_subnetwork.psc_sp_subnetwork.id
}
# The outgoing NIC which is on the same network as the Cloud SQL instance.
network_interface {
network = data.google_compute_subnetwork.db_network_subnet.network
}
metadata_startup_script = <<SCRIPT
#!/bin/bash
# Route the private IP address of the database using the gateway of the database subnetwork.
# To find the gateway for the relevant subnetwork, go to the VPC network page
# in the Google Cloud console. Click VPC networks, and select the database VPC
# to see the details.
ip route add ${data.google_sql_database_instance.csql_instance.private_ip_address} \
via ${data.google_compute_subnetwork.db_network_subnet.gateway_address}
# Install Dante SOCKS server.
apt-get install -y dante-server
# Create the Dante configuration file.
touch /etc/danted.conf
# Create a proxy.log file.
touch proxy.log
# Add the following configuration for Dante:
cat > /etc/danted.conf << EOF
logoutput: /proxy.log
user.privileged: proxy
user.unprivileged: nobody
internal: 0.0.0.0 port = ${var.port}
external: ens5
clientmethod: none
socksmethod: none
client pass {
from: 0.0.0.0/0
to: 0.0.0.0/0
log: connect error disconnect
}
client block {
from: 0.0.0.0/0
to: 0.0.0.0/0
log: connect error
}
socks pass {
from: 0.0.0.0/0
to: ${data.google_sql_database_instance.csql_instance.private_ip_address}/32
protocol: tcp
log: connect error disconnect
}
socks block {
from: 0.0.0.0/0
to: 0.0.0.0/0
log: connect error
}
EOF
# Start the Dante server.
systemctl restart danted
tail -f proxy.log
SCRIPT
}
# Required firewall rules:
/* Firewall rule allowing the Private Service Connect NAT subnet to access
the Private Service Connect subnet. */
resource "google_compute_firewall" "psc_sp_in_fw" {
name = "dms-psc-ingress-nat-fw"
project = var.project_id
network = google_compute_network.psc_sp_network.id
log_config {
metadata = "INCLUDE_ALL_METADATA"
}
allow {
protocol = "all"
}
priority = 1000
direction = "INGRESS"
source_ranges = [google_compute_subnetwork.psc_sp_nat.ip_cidr_range]
}
/* The router that the bastion VM uses to install external packages
(for example, Dante SOCKS server). */
resource "google_compute_router" "psc_sp_ex_router" {
name = "dms-psc-external-router"
project = var.project_id
region = var.region
network = google_compute_network.psc_sp_network.id
}
resource "google_compute_router_nat" "psc_sp_ex_router_nat" {
name = "dms-psc-external-router-nat"
project = var.project_id
region = var.region
router = google_compute_router.psc_sp_ex_router.name
nat_ip_allocate_option = "AUTO_ONLY"
source_subnetwork_ip_ranges_to_nat = "ALL_SUBNETWORKS_ALL_IP_RANGES"
log_config {
enable = true
filter = "ERRORS_ONLY"
}
}
outputs.tf:
# The Private Service Connect service attachment.
output "service_attachment" {
value = google_compute_service_attachment.psc_sp_service_attachment.id
}
Wenn Sie später das Zielverbindungsprofil erstellen, gehen Sie so vor:
- Wählen Sie im Abschnitt Verbindungsmethode definieren die Option Private IP aus.
- Wählen Sie im Drop-down-Menü Name des Dienstanhangs die Option dms-psc-svc-att-REGION aus.