Configurar la conectividad de red a fuentes de Amazon RDS para Oracle

En esta página se describe cómo configurar la conectividad de red a las fuentes de Oracle de Amazon RDS para migraciones heterogéneas de Oracle a Cloud SQL para PostgreSQL con Database Migration Service.

Hay tres métodos diferentes que puedes usar para configurar la conectividad de red necesaria para las migraciones desde fuentes de Amazon RDS para Oracle:

Para obtener más información sobre la conectividad de red de la base de datos de origen, consulta el artículo Descripción general de los métodos de redes de origen.

Configurar la conectividad de la lista de IPs permitidas

Para usar el método de conectividad de lista de IPs públicas permitidas, sigue estos pasos:

  1. En la consola de administración de AWS, sigue estos pasos:
    1. Asegúrate de que tu base de datos de Amazon RDS de origen esté configurada para conexiones de IP públicas.
    2. Identifica el nombre del endpoint y el número de puerto. Debe introducir estos valores al crear el perfil de conexión.

    Para obtener más información sobre cómo preparar tu instancia de Amazon RDS para Oracle, consulta el artículo Connecting to your Oracle DB instance (Conectarse a una instancia de base de datos de Oracle) en la documentación de Amazon RDS.

  2. Crea un grupo de seguridad que permita el tráfico del servicio de migración de bases de datos a tu VPC de Amazon RDS. Consulta Proporcionar acceso a tu instancia de base de datos en tu VPC creando un grupo de seguridad.

    Asegúrate de permitir todas las direcciones IP públicas del servicio de migración de bases de datos de la región en la que crees la tarea de migración.

  3. Más adelante, cuando cree el perfil de conexión de origen, haga lo siguiente:
    1. En la sección Define connection details (Definir detalles de la conexión), usa el nombre del endpoint de tu instancia para la IP de la base de datos de origen.
    2. En la sección Definir método de conectividad, selecciona Lista de permitidas de IPs.

Configurar la conectividad a través de un túnel directo SSH

Para conectarte a tu base de datos de origen con un túnel Secure Shell (SSH), sigue estos pasos:

  1. Inicia una instancia de Amazon EC2 para que actúe como túnel directo SSH dedicado. Asegúrate de configurarlo en la misma VPC de Amazon en la que tengas tu origen de Amazon RDS para Oracle.

    Para obtener más información, consulta el artículo Empezar a usar Amazon EC2 de la documentación de Amazon.

  2. Conéctate a tu instancia EC2 y configura el túnel SSH. Sigue estos pasos:
    1. Crea una cuenta de usuario independiente y específica para que Database Migration Service se conecte como: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restringe el acceso a la shell de la cuenta de servicio de Database Migration Service para mejorar la seguridad: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

    3. Decide qué método de autenticación quieres que use Database Migration Service al conectarse al túnel.

      Puedes usar una contraseña sencilla o generar claves SSH en formato PEM que podrás subir al servicio de migración de bases de datos cuando crees el perfil de conexión de origen.

      • Si quieres usar una contraseña, no tienes que configurar nada más. Recuerda la contraseña que has creado para la cuenta de TUNNEL_ACCOUNT_USERNAME.
      • Si quieres usar la autenticación basada en claves, debes generar un par de claves privada y pública. Por ejemplo, puedes usar la utilidad ssh-keygen:
        1. Genera el par de claves: 
              ssh-keygen -m PEM -f YOUR_KEY_NAME
        2. Copia la clave pública (YOUR_KEY_NAME.pub) en el directorio ~/.ssh/ de tu servidor de túnel.
        3. Guarda la clave privada. Deberá subirlo más adelante al servicio de migración de bases de datos cuando cree el perfil de conexión de origen.
    4. Edita el archivo /etc/ssh/sshd_config para configurar el túnel directo SSH de acuerdo con los requisitos de tu organización. Te recomendamos que utilices los siguientes ajustes: 
      # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
    5. Ejecuta el comando ssh para iniciar el túnel.

      Antes de usar los datos de los comandos que se indican a continuación, sustituye lo siguiente:

      • TUNNEL_SERVER_SSH_PORT con el número de puerto en el que tu servidor está escuchando las conexiones SSH.
      • SOURCE_DATABASE_PRIVATE_IP con la dirección IP privada de tu base de datos de origen. El servidor SSH debe poder acceder a esa IP.
      • SOURCE_DATABASE_PORT con el número de puerto en el que tu base de datos de origen está escuchando las conexiones. El número de puerto predeterminado para las conexiones TCP en Oracle es 1433.
      • USERNAME con el nombre de la cuenta de usuario que ejecutará el túnel. Esta es una cuenta independiente de TUNNEL_ACCOUNT_USERNAME.
      • TUNNEL_SERVER_PUBLIC_IP con la IP pública de tu servidor de túnel SSH. 
      ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  3. Más adelante, cuando cree el perfil de conexión de origen, haga lo siguiente:
    1. En la sección Define connection details (Definir detalles de la conexión), usa el nombre del endpoint de tu instancia para la IP de la base de datos de origen.
    2. En la sección Definir método de conectividad, selecciona Túnel directo SSH.
    3. Proporciona la dirección IP pública o el nombre de host de tu servidor SSH.
    4. Proporciona el puerto que has designado para las conexiones SSH en el servidor del túnel.
    5. Introduce el nombre de usuario que has creado para que Database Migration Service se conecte (es decir, el valor de TUNNEL_ACCOUNT_USERNAME).
    6. En el menú desplegable Método de autenticación, seleccione el método de autenticación que quiera usar con TUNNEL_ACCOUNT_USERNAME:
      • Si quieres usar la contraseña del usuario, selecciona Contraseña y escribe la contraseña de TUNNEL_ACCOUNT_USERNAME en el formulario.
      • Si has configurado tu servidor SSH para que use la autenticación basada en claves, selecciona Par de claves privada/pública y sube la clave privada que has generado con el comando ssh-keygen.

Configurar la conectividad privada con el emparejamiento de VPCs

Para usar la conectividad privada con fuentes de Amazon RDS para Oracle, debes tener configurado Cloud VPN o Cloud Interconnect en la misma red de VPC en la que quieras crear la configuración de conectividad privada para el servicio de migración de bases de datos. Si no puedes crear la configuración de conectividad privada en la red VPC en la que tienes Cloud VPN o Cloud Interconnect, también necesitas una máquina virtual de proxy inverso en Compute Engine para establecer la conexión.

Si no puedes usar Cloud VPN ni Cloud Interconnect, te recomendamos que utilices los métodos de conectividad de túnel SSH reenviado o de lista de permitidos de IPs.

Para usar la conectividad privada con el emparejamiento de VPC y Cloud VPN, sigue estos pasos:

  1. Configura la conectividad directa con Cloud VPN a tu instancia de Amazon RDS para PostgreSQL.

    Para obtener más información, consulta el artículo Crear conexiones de VPN de alta disponibilidad entre Google Cloud y AWS en la documentación de Cloud VPN.

  2. Opcional: Si no puedes crear la configuración de conectividad privada en la misma red de VPC en la que tienes la VPN de Cloud, crea una máquina virtual de proxy inverso en Compute Engine para reenviar las conexiones entre las VPCs.
  3. En Database Migration Service, crea una configuración de conectividad privada para emparejarte con la red VPC en la que tienes tu Cloud VPN.
  4. Más adelante, cuando cree el perfil de conexión de origen, haga lo siguiente:
    1. En la sección Define connection details (Definir detalles de la conexión), introduce la IP privada de tu instancia de Amazon RDS de origen.
    2. En la sección Definir método de conectividad, selecciona Conectividad privada (emparejamiento de VPC).
    3. En el menú desplegable, selecciona la configuración de conectividad privada que has creado en el paso anterior.