Auf dieser Seite wird beschrieben, wie Sie die Netzwerkverbindung zu cloudverwalteten Oracle-Datenbankangeboten für heterogene Oracle-zu-Cloud SQL for PostgreSQL-Migrationen mit dem Database Migration Service konfigurieren.
Oracle-Datenbanken sind als verwalteter Dienst von vielen verschiedenen Cloud-Anbietern verfügbar. Database Migration Service bietet keinen gezielten Support für bestimmte Cloudanbieter (außer Amazon RDS für Oracle-Quellen). Sie können jedoch von jedem verwalteten Oracle-Datenbankdienst migrieren, sofern Sie die erforderliche Netzwerkverbindung herstellen können.
Für verwaltete Oracle-Datenbankdienste gibt es drei verschiedene Methoden:
- Zulassungsliste für öffentliche IP-Adressen
- Weiterleitungs-SSH-Tunnel
- Erfordert Cloud VPN oder Cloud Interconnect: Private IP-Verbindung mit Virtual Private Cloud-Peering
Weitere Informationen zur Netzwerkkonnektivität der Quelldatenbank finden Sie unter Übersicht über Netzwerkmethoden für Quelldatenbanken.
Verbindung mit IP-Zulassungsliste konfigurieren
So verwenden Sie die Verbindungsmethode „Öffentliche IP-Zulassungsliste“:
- Achten Sie darauf, dass Ihre Quelldatenbank eine IP-Adresse hat, die über das öffentliche Internet erreichbar ist. Sie müssen die IP-Adresse nicht für die Verbindung verwenden. Wenn Sie einen DNS-Eintrag mit der IP-Adresse verknüpft haben, können Sie diesen stattdessen verwenden.
- Erstellen Sie auf dem Quelldatenbankserver eine eingehende Firewallregel, damit Verbindungen vom Database Migration Service akzeptiert werden. Verwenden Sie die folgende Konfiguration:
- Verwenden Sie als Regeltyp
port
. - Fügen Sie für den zulässigen IP-Adressbereich alle öffentlichen IP-Adressen von Database Migration Service für die Region hinzu, in der Sie den Migrationsjob erstellen.
- Legen Sie
TCP
als Protokoll fest. - Legen Sie die Portnummer fest, die mit der Regel verknüpft ist, auf den Port, auf dem Ihre Quelldatenbank auf eingehende Verbindungen wartet. Dies ist dieselbe Portnummer, die Sie in das Quellverbindungsprofil eingeben müssen.
Der Oracle-Server verwendet standardmäßig den Port
1521
.
Die Schritte zum Konfigurieren von Firewallregeln unterscheiden sich je nach verwendeter Serversoftware. Weitere Informationen finden Sie in der Dokumentation Ihres Firewallprodukts.
- Verwenden Sie als Regeltyp
- Wählen Sie später, wenn Sie das Quellverbindungsprofil erstellen, im Abschnitt Verbindungsmethode definieren die Option IP-Zulassungsliste aus.
Verbindung über einen Weiterleitungs-SSH-Tunnel konfigurieren
So stellen Sie eine Verbindung mit Ihrer Quelldatenbank über einen Secure Shell-Tunnel (SSH) her:
- Erstellen Sie eine virtuelle Maschine (VM), die den Tunnel zwischen Database Migration Service und Ihrer Quelldatenbank öffnen kann. Der Tunnelserver kann ein beliebiger Unix-/Linux-Host mit folgenden Funktionen sein:
- Kann über SSH vom öffentlichen Internet aus erreicht werden.
- Zugriff auf die private IP-Adresse Ihrer Quelldatenbank haben.
Erstellen Sie auf dem SSH-Server ein Nutzerkonto, mit dem der Database Migration Service eine Verbindung zum SSH-Tunnel herstellen kann.
Auf einem Ubuntu-System können Sie beispielsweise die folgenden Befehle verwenden:
- So erstellen Sie ein Nutzerkonto:
adduser
TUNNEL_ACCOUNT_USERNAME - Beschränken Sie den Shell-Zugriff für das Nutzerkonto, um die Sicherheit zu erhöhen:
usermod -s /usr/sbin/nologin
TUNNEL_ACCOUNT_USERNAME
- So erstellen Sie ein Nutzerkonto:
Legen Sie fest, welche Authentifizierungsmethode der Database Migration Service beim Herstellen einer Verbindung zum Tunnel verwenden soll.
Sie können ein Passwort verwenden oder SSH-Schlüssel im Format
PEM
generieren, die Sie später beim Erstellen des Quellverbindungsprofils in Database Migration Service hochladen können.- Wenn Sie ein Passwort verwenden möchten, müssen Sie nichts weiter konfigurieren. Denken Sie daran, welches Passwort Sie für das TUNNEL_ACCOUNT_USERNAME-Konto erstellt haben.
- Wenn Sie die schlüsselbasierte Authentifizierung verwenden möchten, müssen Sie ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel generieren. Sie können beispielsweise das Dienstprogramm
ssh-keygen
verwenden:- Generieren Sie das Schlüsselpaar:
ssh-keygen -m PEM -f
YOUR_KEY_NAME - Kopieren Sie den öffentlichen Schlüssel (
YOUR_KEY_NAME.pub
) in das Verzeichnis~/.ssh/
auf Ihrem Tunnelserver. - Speichern Sie den privaten Schlüssel. Sie müssen es später in den Database Migration Service hochladen, wenn Sie das Quellverbindungsprofil erstellen.
- Generieren Sie das Schlüsselpaar:
- Bearbeiten Sie die Datei
/etc/ssh/sshd_config
, um den Forward-SSH-Tunnel an die Anforderungen Ihrer Organisation anzupassen. Wir empfehlen die folgenden Einstellungen:# Only allow the Database Migration Service user to connect. AllowUsers
TUNNEL_ACCOUNT_USERNAME # Send keep-alive packets every 60 seconds to ensure that # the tunnel doesn't close during the migration ServerAliveInterval=60 # Optional: Force key-based authentication PasswordAuthentication no # Enables Database Migration Service to connect from a different host PermitTunnel yes GatewayPorts yes - Führen Sie den Befehl
ssh
aus, um den Tunnel zu starten.Bevor Sie einen der unten aufgeführten Befehle verwenden, nehmen Sie die folgenden Ersetzungen vor:
TUNNEL_SERVER_SSH_PORT durch die Portnummer, unter der Ihr Server auf SSH-Verbindungen wartet.SOURCE_DATABASE_PRIVATE_IP durch die private IP-Adresse Ihrer Quelldatenbank. Der SSH-Server muss diese IP-Adresse erreichen können.SOURCE_DATABASE_PORT mit der Portnummer, auf der Ihre Quelldatenbank auf Verbindungen wartet. Die Standard-Portnummer für TCP-Verbindungen unter Oracle ist1433
.USERNAME durch den Namen des Nutzerkontos, unter dem der Tunnel ausgeführt wird. Das ist ein separates Konto von TUNNEL_ACCOUNT_USERNAME.TUNNEL_SERVER_PUBLIC_IP mit der öffentlichen IP-Adresse Ihres SSH-Tunnelservers.
ssh -N -L \
TUNNEL_SERVER_SSH_PORT :SOURCE_DATABASE_PRIVATE_IP :SOURCE_DATABASE_PORT \USERNAME @TUNNEL_SERVER_PUBLIC_IP - Erstellen Sie eine Firewallregel für eingehenden Traffic auf Ihrem SSH-Tunnel, um Verbindungen von öffentlichen IP-Adressen von Database Migration Service für die Region zuzulassen, in der Sie den Migrationsjob erstellen.
- Führen Sie später, wenn Sie das
Quellverbindungsprofil erstellen, die folgenden Schritte aus:
- Geben Sie im Abschnitt Verbindungsdetails definieren die private IP-Adresse Ihrer Oracle-Quell-Instanz ein.
- Wählen Sie im Abschnitt Verbindungsmethode festlegen die Option Weiterleitungs-SSH-Tunnel aus.
- Geben Sie die öffentliche IP-Adresse oder den Hostnamen Ihres SSH-Servers an.
- Geben Sie den Port an, den Sie für die SSH-Verbindungen auf dem Tunnelserver festgelegt haben.
- Geben Sie den Nutzernamen für den Nutzer ein, der für den Database Migration Service erstellt wurde, um eine Verbindung herzustellen (d. h. den Wert von TUNNEL_ACCOUNT_USERNAME).
- Wählen Sie im Drop-down-Menü Authentifizierungsmethode die Authentifizierungsmethode aus, die Sie für den Nutzer TUNNEL_ACCOUNT_USERNAME verwenden möchten:
- Wenn Sie das Nutzerpasswort verwenden möchten, wählen Sie Passwort aus und geben Sie das TUNNEL_ACCOUNT_USERNAME-Passwort in das Formular ein.
- Wenn Sie Ihren SSH-Server für die schlüsselbasierte Authentifizierung konfiguriert haben, wählen Sie Privater/öffentlicher Schlüsselpaar aus und laden Sie den privaten Schlüssel hoch, den Sie mit dem Befehl
ssh-keygen
generiert haben.
Private Verbindung mit VPC-Peering konfigurieren
Wenn Sie eine private Verbindung mit cloudverwalteten Oracle-Quellen verwenden möchten, muss in demselben VPC-Netzwerk, in dem Sie die Konfiguration für die private Verbindung für den Database Migration Service erstellen möchten, ein Cloud VPN oder Cloud Interconnect konfiguriert sein. Wenn Sie die Konfiguration der privaten Konnektivität nicht im VPC-Netzwerk erstellen können, in dem sich Ihr Cloud VPN oder Cloud Interconnect befindet, benötigen Sie außerdem eine Reverse-Proxy-VM (virtuelle Maschine) in der Compute Engine, um die Verbindung herzustellen.
Wenn Sie Cloud VPN oder Cloud Interconnect nicht verwenden können, empfehlen wir stattdessen die Verbindungsmethoden SSH-Tunnel weiterleiten oder IP-Zulassungsliste.
So verwenden Sie eine private Verbindung mit VPC-Peering und Cloud VPN:
-
Richten Sie eine direkte Verbindung mit Cloud VPN zu Ihrer Oracle-Quelle ein.
Je nach Netzwerkarchitektur müssen Sie möglicherweise zusätzliche VPN-Gateways in Ihrem System einrichten. Weitere Informationen finden Sie in der Cloud VPN-Dokumentation unter Gateway zwischen HA VPN und Peer-VPN erstellen.
- Optional: Wenn Sie die Konfiguration für die private Konnektivität nicht im selben VPC-Netzwerk erstellen können, in dem sich das Cloud-VPN befindet, erstellen Sie eine Reverse-Proxy-VM (virtuelle Maschine) in der Compute Engine, um die Verbindungen zwischen den VPCs weiterzuleiten.
- Erstellen Sie im Database Migration Service eine Konfiguration für die private Konnektivität, um eine Peering-Verbindung zum VPC-Netzwerk herzustellen, in dem sich Ihr Cloud-VPN befindet.
- Führen Sie später, wenn Sie das
Quellverbindungsprofil erstellen, die folgenden Schritte aus:
- Geben Sie im Abschnitt Verbindungsdetails definieren die private IP-Adresse Ihrer Oracle-Quelle ein.
- Wählen Sie im Abschnitt Verbindungsmethode festlegen die Option Private Verbindung (VPC-Peering) aus.
- Wählen Sie im Drop-down-Menü die Konfiguration für die private Verbindung aus, die Sie im vorherigen Schritt erstellt haben.