Netzwerkverbindung zu Amazon RDS for Oracle-Quellen konfigurieren

Auf dieser Seite wird beschrieben, wie Sie die Netzwerkverbindung zu Amazon RDS for Oracle-Quellen für heterogene Oracle-zu-Cloud SQL for PostgreSQL-Migrationen mit Database Migration Service konfigurieren.

Es gibt drei verschiedene Methoden, mit denen Sie die erforderliche Netzwerkverbindung für Migrationen aus Amazon RDS for Oracle-Quellen konfigurieren können:

Weitere Informationen zur Netzwerkverbindung der Quelldatenbank finden Sie unter Übersicht über Methoden für Quellnetzwerke.

Verbindung über IP-Zulassungsliste konfigurieren

So verwenden Sie die Verbindungsmethode „Öffentliche IP-Zulassungsliste“:

  1. Führen Sie in der AWS Management Console die folgenden Schritte aus:
    1. Ihre Amazon RDS-Quelldatenbank muss für öffentliche IP-Verbindungen konfiguriert sein.
    2. Ermitteln Sie den Endpunktnamen und die Portnummer. Sie müssen diese Werte eingeben, wenn Sie das Verbindungsprofil erstellen.

    Weitere Informationen zum Vorbereiten Ihrer Amazon RDS für Oracle-Instanz finden Sie in der Amazon RDS-Dokumentation unter Mit Ihrer Oracle-DB-Instanz verbinden.

  2. Erstellen Sie eine Sicherheitsgruppe, die Traffic von Database Migration Service zu Ihrer Amazon RDS-VPC zulässt. Weitere Informationen finden Sie unter Zugriff auf Ihre DB-Instanz in Ihrer VPC durch Erstellen einer Sicherheitsgruppe ermöglichen.

    Achten Sie darauf, dass Sie alle öffentlichen IP-Adressen von Database Migration Service für die Region zulassen, in der Sie den Migrationsjob erstellen.

  3. Wenn Sie später das Quellverbindungsprofil erstellen, gehen Sie so vor:
    1. Verwenden Sie im Abschnitt Verbindungsdetails definieren den Endpunktnamen Ihrer Instanz für die IP-Adresse der Quelldatenbank.
    2. Wählen Sie im Abschnitt Verbindungsmethode definieren die Option IP-Zulassungsliste aus.

Verbindung über einen Weiterleitungs-SSH-Tunnel konfigurieren

So stellen Sie über einen Secure Shell-Tunnel (SSH) eine Verbindung zu Ihrer Quelldatenbank her:

  1. Starten Sie eine Amazon EC2-Instanz, die als dedizierter Weiterleitungs-SSH-Tunnel dient. Konfigurieren Sie sie in derselben Amazon VPC, in der sich Ihre Amazon RDS for Oracle-Quelldatenbank befindet.

    Weitere Informationen finden Sie in der Amazon-Dokumentation unter Erste Schritte mit Amazon EC2.

  2. Stellen Sie eine Verbindung zu Ihrer EC2-Instanz her und richten Sie den SSH-Tunnel ein. Gehen Sie so vor:
    1. Erstellen Sie ein separates, dediziertes Nutzerkonto für Database Migration Service, um eine Verbindung herzustellen: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Beschränken Sie den Shell-Zugriff für das Database Migration Service-Konto, um die Sicherheit zu erhöhen: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

    3. Entscheiden Sie, welche Authentifizierungsmethode Database Migration Service beim Herstellen einer Verbindung zum Tunnel verwenden soll.

      Sie können ein einfaches Passwort verwenden oder SSH-Schlüssel im PEM-Format generieren, die Sie später in Database Migration Service hochladen können, wenn Sie das Quellverbindungsprofil erstellen.

      • Wenn Sie ein Passwort verwenden möchten, müssen Sie nichts zusätzlich konfigurieren. Merken Sie sich das Passwort, das Sie für das TUNNEL_ACCOUNT_USERNAME-Konto erstellt haben.
      • Wenn Sie die schlüsselbasierte Authentifizierung verwenden möchten, müssen Sie ein Paar aus einem privaten und einem öffentlichen Schlüssel generieren. Sie können beispielsweise das ssh-keygen-Tool verwenden:
        1. Schlüsselpaar generieren: 
              ssh-keygen -m PEM -f YOUR_KEY_NAME
        2. Kopieren Sie den öffentlichen Schlüssel (YOUR_KEY_NAME.pub) in das Verzeichnis ~/.ssh/ auf Ihrem Tunnelserver.
        3. Speichern Sie den privaten Schlüssel. Sie müssen es später in den Database Migration Service hochladen, wenn Sie das Quellverbindungsprofil erstellen.
    4. Bearbeiten Sie die Datei /etc/ssh/sshd_config, um den Forward-SSH-Tunnel entsprechend den Anforderungen Ihrer Organisation zu konfigurieren. Wir empfehlen die folgenden Einstellungen: 
      # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
    5. Führen Sie den Befehl ssh aus, um den Tunnel zu starten.

      Bevor Sie einen der unten aufgeführten Befehle verwenden, nehmen Sie die folgenden Ersetzungen vor:

      • TUNNEL_SERVER_SSH_PORT durch die Portnummer, über die Ihr Server auf SSH-Verbindungen wartet.
      • SOURCE_DATABASE_PRIVATE_IP durch die private IP-Adresse Ihrer Quelldatenbank. Der SSH-Server muss diese IP-Adresse erreichen können.
      • SOURCE_DATABASE_PORT mit der Portnummer, über die Ihre Quelldatenbank auf Verbindungen wartet. Die Standardportnummer für TCP-Verbindungen in Oracle ist 1433.
      • USERNAME durch den Namen des Nutzerkontos, über das der Tunnel ausgeführt wird. Dieses Konto ist von TUNNEL_ACCOUNT_USERNAME getrennt.
      • TUNNEL_SERVER_PUBLIC_IP: die öffentliche IP-Adresse Ihres SSH-Tunnel-Servers. 
      ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  3. Wenn Sie später das Quellverbindungsprofil erstellen, gehen Sie so vor:
    1. Verwenden Sie im Abschnitt Verbindungsdetails definieren den Endpunktnamen Ihrer Instanz für die IP-Adresse der Quelldatenbank.
    2. Wählen Sie im Abschnitt Verbindungsmethode festlegen die Option Weiterleitungs-SSH-Tunnel aus.
    3. Geben Sie die öffentliche IP-Adresse oder den Hostnamen Ihres SSH-Servers an.
    4. Geben Sie den Port an, den Sie für die SSH-Verbindungen auf dem Tunnelserver festgelegt haben.
    5. Geben Sie den Nutzernamen für den Nutzer ein, den Sie für Database Migration Service erstellt haben, um eine Verbindung herzustellen (d. h. den Wert von TUNNEL_ACCOUNT_USERNAME).
    6. Wählen Sie im Drop-down-Menü Authentifizierungsmethode die Authentifizierungsmethode aus, die Sie mit TUNNEL_ACCOUNT_USERNAME verwenden möchten:
      • Wenn Sie das Nutzerpasswort verwenden möchten, wählen Sie Passwort aus und geben Sie das TUNNEL_ACCOUNT_USERNAME-Passwort in das Formular ein.
      • Wenn Sie Ihren SSH-Server für die Verwendung der schlüsselbasierten Authentifizierung konfiguriert haben, wählen Sie Privates/öffentliches Schlüsselpaar aus und laden Sie den privaten Schlüssel hoch, den Sie mit dem Befehl ssh-keygen generiert haben.

Private Verbindung mit VPC-Peering konfigurieren

Wenn Sie eine private Verbindung mit Amazon RDS for Oracle-Quellen verwenden möchten, müssen Sie ein Cloud VPN oder Cloud Interconnect im selben VPC-Netzwerk konfiguriert haben, in dem Sie die Konfiguration für die private Verbindung für Database Migration Service erstellen möchten. Wenn Sie die Konfiguration für die private Verbindung nicht im VPC-Netzwerk erstellen können, in dem sich Ihr Cloud VPN oder Cloud Interconnect befindet, benötigen Sie auch eine Reverse-Proxy-VM in Compute Engine, um die Verbindung herzustellen.

Wenn Sie Cloud VPN oder Cloud Interconnect nicht verwenden können, empfehlen wir stattdessen die Weiterleitungs-SSH-Tunnel- oder IP-Zulassungsliste-Verbindungsmethoden.

So verwenden Sie private Verbindungen mit VPC-Peering und Cloud VPN:

  1. Richten Sie eine direkte Verbindung mit Cloud VPN zu Ihrer Amazon RDS for PostgreSQL-Instanz ein.

    Weitere Informationen finden Sie in der Cloud VPN-Dokumentation unter HA-VPN-Verbindungen zwischen Google Cloud und AWS erstellen.

  2. Optional: Wenn Sie die Konfiguration für die private Verbindung nicht im selben VPC-Netzwerk erstellen können, in dem sich das Cloud VPN befindet, erstellen Sie eine Reverse-Proxy-VM (virtuelle Maschine) in Compute Engine, um die Verbindungen zwischen VPCs weiterzuleiten.
  3. Erstellen Sie in Database Migration Service eine Konfiguration für private Verbindungen für das Peering mit dem VPC-Netzwerk, in dem sich Ihr Cloud VPN befindet.
  4. Wenn Sie später das Quellverbindungsprofil erstellen, gehen Sie so vor:
    1. Geben Sie im Abschnitt Verbindungsdetails definieren die private IP-Adresse Ihrer Amazon RDS-Quellinstanz ein.
    2. Wählen Sie im Abschnitt Verbindungsmethode festlegen die Option Private Verbindung (VPC-Peering) aus.
    3. Wählen Sie im Drop-down-Menü die Konfiguration für private Verbindungen aus, die Sie im vorherigen Schritt erstellt haben.