Configura la conectividad de red a las fuentes de Oracle administradas

En esta página, se describe cómo configurar la conectividad de red a las ofertas de bases de datos de Oracle administradas en la nube para migraciones heterogéneas de Oracle a Cloud SQL para PostgreSQL con Database Migration Service.

Las bases de datos de Oracle están disponibles como un servicio administrado de muchos proveedores de servicios en la nube diferentes. Database Migration Service no ofrece asistencia específica para ningún proveedor de servicios en la nube en particular (excepto para las fuentes de Amazon RDS para Oracle), pero puedes migrar desde cualquier servicio de base de datos de Oracle administrado siempre que puedas establecer la conectividad de red necesaria.

Puedes usar tres métodos diferentes para los servicios de bases de datos Oracle administradas:

Para obtener más información sobre la conectividad de red de la base de datos de origen, consulta la descripción general de los métodos de redes de origen.

Configura la conectividad de la lista de IPs permitidas

Para usar el método de conectividad de la lista de IPs permitidas públicas, sigue estos pasos:

  1. Asegúrate de que tu base de datos de origen tenga una dirección IP a la que se pueda acceder desde Internet público. No es necesario que uses la dirección IP para conectarte. Si tienes un registro DNS asociado a la IP, puedes usarlo.
  2. Crea una regla de firewall de entrada en el servidor de base de datos de origen para aceptar conexiones de Database Migration Service. Usa la siguiente configuración:
    1. Para el tipo de regla, usa port.
    2. Para el rango de direcciones IP permitidas, agrega todas las direcciones IP públicas de Database Migration Service para la región en la que crees el trabajo de migración.
    3. Configura el protocolo en TCP.
    4. Establece el número de puerto asociado con la regla en el puerto en el que tu base de datos fuente escucha las conexiones entrantes. Este es el mismo número de puerto que debes ingresar en el perfil de conexión de origen.

      De forma predeterminada, el servidor de Oracle usa el puerto 1521.

    Los pasos para configurar las reglas del firewall varían según el software del servidor que uses. Para obtener más información, consulta la documentación de tu producto de firewall.

  3. En una etapa posterior, cuando crees el perfil de conexión de origen, en la sección Define connectivity method, selecciona IP allowlist.

Configura la conectividad a través de un túnel SSH de reenvío

Para conectarte a tu base de datos de origen con un túnel de Secure Shell (SSH), sigue estos pasos:

  1. Crea una máquina virtual (VM) que pueda abrir el túnel entre Database Migration Service y tu base de datos de origen. El servidor de túnel puede ser cualquier host de Unix o Linux que cumpla con los siguientes requisitos:
    • Se puede acceder desde Internet pública a través de SSH.
    • Puede acceder a la dirección IP privada de tu base de datos de origen.

  2. En el servidor SSH, crea una cuenta de usuario que Database Migration Service pueda usar para conectarse al túnel SSH.

    Por ejemplo, en un sistema Ubuntu, puedes usar los siguientes comandos:

    1. Crea una cuenta de usuario: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restringe el acceso a la shell para la cuenta de usuario y, así, mejorar la seguridad: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Decide qué método de autenticación quieres que use Database Migration Service cuando se conecte al túnel.

    Puedes usar una contraseña o generar claves SSH en formato PEM que puedes subir más tarde a Database Migration Service cuando crees el perfil de conexión de origen.

    • Si quieres usar una contraseña, no necesitas configurar nada adicional. Recuerda la contraseña que creaste para la cuenta de TUNNEL_ACCOUNT_USERNAME.
    • Si deseas usar la autenticación basada en claves, debes generar un par de claves pública y privada. Por ejemplo, puedes usar la utilidad ssh-keygen:
      1. Genera el par de claves: 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Copia la clave pública (YOUR_KEY_NAME.pub) en el directorio ~/.ssh/ de tu servidor de túnel.
      3. Guarda la clave privada. Deberás subirlo más adelante a Database Migration Service cuando crees el perfil de conexión de origen.
  4. Edita el archivo /etc/ssh/sshd_config para configurar el túnel SSH de reenvío de modo que coincida con los requisitos de tu organización. Te recomendamos que uses los siguientes parámetros de configuración: 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Ejecuta el comando ssh para iniciar el túnel.

    Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

    • TUNNEL_SERVER_SSH_PORT con el número de puerto en el que tu servidor escucha las conexiones SSH.
    • SOURCE_DATABASE_PRIVATE_IP por la dirección IP privada de tu base de datos de origen El servidor SSH debe poder acceder a esa IP.
    • SOURCE_DATABASE_PORT con el número de puerto en el que tu base de datos de origen escucha las conexiones. El número de puerto predeterminado para las conexiones TCP en Oracle es 1433.
    • USERNAME con el nombre de la cuenta de usuario que ejecutará el túnel. Esta es una cuenta independiente de TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP con la IP pública de tu servidor de túnel SSH 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Crea una regla de firewall entrante en tu túnel SSH para aceptar conexiones desde las direcciones IP públicas de Database Migration Service para la región en la que creas el trabajo de migración.
  7. En una etapa posterior, cuando crees el perfil de conexión fuente, haz lo siguiente:
    1. En la sección Define connection details, ingresa la IP privada de tu instancia de Oracle de origen.
    2. En la sección Define connectivity method, selecciona Forward-SSH tunnel.
    3. Proporciona la dirección IP pública o el nombre de host de tu servidor SSH.
    4. Proporciona el puerto que designaste para las conexiones SSH en el servidor de túnel.
    5. Ingresa el nombre de usuario que creaste para que Database Migration Service se conecte como (es decir, el valor de TUNNEL_ACCOUNT_USERNAME).
    6. En el menú desplegable Authentication method, selecciona el método de autenticación que deseas usar con el usuario de TUNNEL_ACCOUNT_USERNAME:
      • Si deseas usar la contraseña del usuario, selecciona Contraseña y, luego, ingresa la contraseña TUNNEL_ACCOUNT_USERNAME en el formulario.
      • Si configuraste tu servidor SSH para que use la autenticación basada en claves, selecciona Par de claves pública/privada y sube la clave privada que generaste con el comando ssh-keygen.

Configura la conectividad privada con el intercambio de tráfico entre VPC

Para usar la conectividad privada con fuentes de Oracle administradas en la nube, debes tener configurado Cloud VPN o Cloud Interconnect en la misma red de VPC en la que deseas crear la configuración de conectividad privada para Database Migration Service. Si no puedes crear la configuración de conectividad privada en la red de VPC en la que tienes tu Cloud VPN o Cloud Interconnect, también necesitarás una máquina virtual (VM) de proxy inverso en Compute Engine para establecer la conexión.

Si no puedes usar Cloud VPN o Cloud Interconnect, te recomendamos que uses los métodos de conectividad de túnel de reenvío de SSH o lista de IPs permitidas.

Para usar la conectividad privada con el intercambio de tráfico entre VPC y Cloud VPN, sigue estos pasos:

  1. Configura la conectividad directa con Cloud VPN a tu fuente de Oracle.

    Según la arquitectura de tu red, es posible que debas configurar puertas de enlace de VPN adicionales en tu sistema. Para obtener más información, consulta Crea una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico en la documentación de Cloud VPN.

  2. Opcional: Si no puedes crear la configuración de conectividad privada en la misma red de VPC en la que tienes la Cloud VPN, crea una máquina virtual (VM) de proxy inverso en Compute Engine para retransmitir las conexiones entre las VPC.
  3. En Database Migration Service, crea una configuración de conectividad privada para intercambiar tráfico con la red de VPC en la que tienes tu Cloud VPN.
  4. En una etapa posterior, cuando crees el perfil de conexión fuente, haz lo siguiente:
    1. En la sección Define connection details, ingresa la IP privada de tu fuente de Oracle.
    2. En la sección Define connectivity method, selecciona Private connectivity (VPC peering).
    3. En el menú desplegable, selecciona la configuración de conectividad privada que creaste en el paso anterior.