Configurer la connectivité réseau aux sources Amazon RDS pour Oracle

bookmark_border Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette page explique comment configurer la connectivité réseau vers Amazon RDS pour les sources Oracle pour les migrations hétérogènes Oracle vers Cloud SQL pour PostgreSQL avec Database Migration Service.

Vous pouvez utiliser trois méthodes différentes pour configurer la connectivité réseau nécessaire aux migrations à partir de sources Amazon RDS pour Oracle:

• Liste d'autorisation d'adresses IP publiques
• Tunnel SSH de transfert
• Nécessite Cloud VPN ou Cloud Interconnect: Connectivité IP privée avec mise en relation de cloud privé virtuel

Pour en savoir plus sur la connectivité réseau de la base de données source, consultez la section Présentation des méthodes de mise en réseau de la source.

Configurer la connectivité de la liste d'autorisation d'adresses IP

Pour utiliser la méthode de connectivité de liste d'autorisation d'adresses IP publiques, procédez comme suit:

1. Dans la console AWS Management Console, procédez comme suit :
   1. Assurez-vous que votre base de données Amazon RDS source est configurée pour les connexions IP publiques.
   2. Identifiez le nom du point de terminaison et le numéro de port. Vous devez saisir ces valeurs lorsque vous créez le profil de connexion.

   Pour en savoir plus sur la préparation de votre instance Amazon RDS pour Oracle, consultez la section Se connecter à votre instance de base de données Oracle dans la documentation Amazon RDS.

2. Créez un groupe de sécurité qui autorise le trafic de Database Migration Service vers votre VPC Amazon RDS. Consultez la section Fournir un accès à votre instance de base de données dans votre VPC en créant un groupe de sécurité.

   Assurez-vous d'autoriser toutes les adresses IP publiques de Database Migration Service pour la région dans laquelle vous créez le job de migration.

3. À un stade ultérieur, lorsque vous créez le profil de connexion source, procédez comme suit :
   1. Dans la section Définir les détails de connexion, utilisez le nom du point de terminaison de votre instance pour l'adresse IP de la base de données source.
   2. Dans la section Définir la méthode de connectivité, sélectionnez Liste d'autorisation d'adresses IP.

Configurer la connectivité via un tunnel SSH de transfert

Pour vous connecter à votre base de données source via un tunnel Secure Shell (SSH), procédez comme suit:

1. Lancez une instance Amazon EC2 pour qu'elle serve de tunnel SSH de transfert dédié. Assurez-vous de le configurer dans le même VPC Amazon que votre Amazon RDS pour Oracle source.

   Pour en savoir plus, consultez la page Premiers pas avec Amazon EC2 dans la documentation Amazon.

2. Connectez-vous à votre instance EC2 et configurez le tunnel SSH. Procédez comme suit :
   1. Créez un compte utilisateur distinct et dédié pour que Database Migration Service puisse se connecter en tant que:

      adduser TUNNEL_ACCOUNT_USERNAME

   2. Limitez l'accès à l'interface système pour le compte de service de migration de bases de données afin de renforcer la sécurité:

      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

   3. Déterminez la méthode d'authentification que vous souhaitez que Database Migration Service utilise lors de la connexion au tunnel.

      Vous pouvez utiliser un mot de passe simple ou générer des clés SSH au format PEM que vous pourrez ensuite importer dans Database Migration Service lorsque vous créerez le profil de connexion source.

      • Si vous souhaitez utiliser un mot de passe, vous n'avez rien d'autre à configurer. N'oubliez pas le mot de passe que vous avez créé pour le compte TUNNEL_ACCOUNT_USERNAME.
      • Si vous souhaitez utiliser l'authentification par clé, vous devez générer une paire de clés privée/publique. Par exemple, vous pouvez utiliser l'utilitaire ssh-keygen :
        1. Générez la paire de clés:

               ssh-keygen -m PEM -f YOUR_KEY_NAME
               

        2. Copiez la clé publique (YOUR_KEY_NAME.pub) dans le répertoire ~/.ssh/ de votre serveur de tunnel.
        3. Enregistrez la clé privée. Vous devrez l'importer ultérieurement dans Database Migration Service lorsque vous créerez le profil de connexion source.
   4. Modifiez le fichier /etc/ssh/sshd_config pour configurer le tunnel SSH avant en fonction des exigences de votre organisation. Nous vous recommandons d'utiliser les paramètres suivants:

      # Only allow the Database Migration Service user to connect.
      AllowUsers TUNNEL_ACCOUNT_USERNAME
      
      # Send keep-alive packets every 60 seconds to ensure that
      # the tunnel doesn't close during the migration
      ServerAliveInterval=60
      
      # Optional: Force key-based authentication
      PasswordAuthentication no
      
      # Enables Database Migration Service to connect from a different host
      PermitTunnel yes
      GatewayPorts yes

   5. Exécutez la commande ssh pour démarrer le tunnel.

      Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants:

      • TUNNEL_SERVER_SSH_PORT par le numéro de port sur lequel votre serveur écoute les connexions SSH.
      • SOURCE_DATABASE_PRIVATE_IP par l'adresse IP privée de votre base de données source. Le serveur SSH doit pouvoir atteindre cette adresse IP.
      • SOURCE_DATABASE_PORT avec le numéro de port sur lequel votre base de données source écoute les connexions. Le numéro de port par défaut pour les connexions TCP sur Oracle est 1433.
      • USERNAME avec le nom du compte utilisateur qui exécutera le tunnel. Il s'agit d'un compte distinct de TUNNEL_ACCOUNT_USERNAME.
      • TUNNEL_SERVER_PUBLIC_IP par l'adresse IP publique de votre serveur de tunnel SSH.

      ssh -N -L \
      TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
      USERNAME@TUNNEL_SERVER_PUBLIC_IP

3. À un stade ultérieur, lorsque vous créez le profil de connexion source, procédez comme suit :
   1. Dans la section Définir les détails de connexion, utilisez le nom du point de terminaison de votre instance pour l'adresse IP de la base de données source.
   2. Dans la section Définir la méthode de connectivité, sélectionnez Tunnel SSH de transfert.
   3. Indiquez l'adresse IP publique ou le nom d'hôte de votre serveur SSH.
   4. Indiquez le port que vous avez désigné pour les connexions SSH sur le serveur du tunnel.
   5. Saisissez le nom d'utilisateur de l'utilisateur que vous avez créé pour Database Migration Service pour vous connecter (c'est-à-dire la valeur de TUNNEL_ACCOUNT_USERNAME).
   6. Dans le menu déroulant Authentication method (Méthode d'authentification), sélectionnez la méthode d'authentification que vous souhaitez utiliser avec TUNNEL_ACCOUNT_USERNAME :
      • Si vous souhaitez utiliser le mot de passe utilisateur, sélectionnez Mot de passe, puis saisissez le mot de passe TUNNEL_ACCOUNT_USERNAME dans le formulaire.
      • Si vous avez configuré votre serveur SSH pour utiliser l'authentification par clé, sélectionnez Paire de clés privée/publique, puis importez la clé privée que vous avez générée avec la commande ssh-keygen.

Configurer une connectivité privée avec l'appairage VPC

Pour utiliser la connectivité privée avec Amazon RDS pour les sources Oracle, vous devez configurer un Cloud VPN ou Cloud Interconnect dans le même réseau VPC que celui dans lequel vous souhaitez créer la configuration de connectivité privée pour Database Migration Service. Si vous ne parvenez pas à créer la configuration de connectivité privée dans le réseau VPC où se trouve votre Cloud VPN ou Cloud Interconnect, vous avez également besoin d'une machine virtuelle (VM) de proxy inverse sur Compute Engine pour établir la connexion.

Si vous ne pouvez pas utiliser Cloud VPN ou Cloud Interconnect, nous vous recommandons d'utiliser plutôt les méthodes de connectivité tunnel SSH de transfert ou liste d'autorisation d'adresses IP.

Pour utiliser une connectivité privée avec l'appairage VPC et Cloud VPN, procédez comme suit:

1. Configurez une connectivité directe avec Cloud VPN vers votre instance Amazon RDS pour PostgreSQL.

   Pour en savoir plus, consultez la section Créer des connexions VPN haute disponibilité entre Google Cloud et AWS dans la documentation Cloud VPN.

2. Facultatif: Si vous ne pouvez pas créer la configuration de connectivité privée dans le même réseau VPC que le Cloud VPN, créez une VM proxy inverse sur Compute Engine pour transférer les connexions entre les VPC.
3. Dans Database Migration Service, créez une configuration de connectivité privée pour appairer avec le réseau VPC sur lequel se trouve votre VPN Cloud.
4. À un stade ultérieur, lorsque vous créez le profil de connexion source, procédez comme suit :
   1. Dans la section Définir les détails de connexion, saisissez l'adresse IP privée de votre instance Amazon RDS source.
   2. Dans la section Définir la méthode de connectivité, sélectionnez Connectivité privée (appairage de VPC).
   3. Dans le menu déroulant, sélectionnez la configuration de connectivité privée que vous avez créée à l'étape précédente.