Mengonfigurasi konektivitas jaringan ke sumber Oracle terkelola

Halaman ini menjelaskan cara mengonfigurasi konektivitas jaringan ke penawaran database Oracle yang dikelola cloud untuk migrasi Oracle yang heterogen ke Cloud SQL untuk PostgreSQL dengan Database Migration Service.

Database Oracle tersedia sebagai layanan terkelola dari berbagai penyedia cloud. Database Migration Service tidak menawarkan dukungan yang ditargetkan untuk penyedia cloud tertentu (kecuali untuk Amazon RDS untuk sumber Oracle), tetapi Anda dapat bermigrasi dari layanan database Oracle terkelola selama Anda dapat membuat konektivitas jaringan yang diperlukan.

Ada tiga metode berbeda yang dapat Anda gunakan untuk layanan database Oracle terkelola:

Untuk mempelajari konektivitas jaringan database sumber lebih lanjut, lihat Ringkasan metode jaringan sumber.

Mengonfigurasi konektivitas daftar IP yang diizinkan

Untuk menggunakan metode konektivitas daftar IP yang diizinkan publik, ikuti langkah-langkah berikut:

  1. Pastikan database sumber Anda memiliki alamat IP yang dapat dijangkau dari internet publik. Anda tidak perlu menggunakan alamat IP untuk terhubung. Jika memiliki data DNS yang terkait dengan IP, Anda dapat menggunakannya.
  2. Buat aturan firewall masuk di server database sumber untuk menerima koneksi dari Database Migration Service. Gunakan konfigurasi berikut:
    1. Untuk jenis aturan, gunakan port.
    2. Untuk rentang alamat IP yang diizinkan, tambahkan semua alamat IP publik Database Migration Service untuk region tempat Anda membuat tugas migrasi.
    3. Tetapkan protokol ke TCP.
    4. Tetapkan nomor port yang terkait dengan aturan ke port tempat database sumber Anda memproses koneksi masuk. Ini adalah nomor port yang sama dengan yang perlu Anda masukkan di profil koneksi sumber.

      Server Oracle secara default menggunakan port 1521.

    Langkah-langkah untuk mengonfigurasi aturan firewall berbeda-beda, bergantung pada software server yang Anda gunakan. Untuk informasi selengkapnya, lihat dokumentasi produk firewall Anda.

  3. Pada tahap berikutnya, saat Anda membuat profil koneksi sumber, di bagian Define connectivity method, pilih IP allowlist.

Mengonfigurasi konektivitas melalui tunnel SSH penerusan

Untuk terhubung ke database sumber dengan tunnel Secure Shell (SSH), ikuti langkah-langkah berikut:

  1. Buat Virtual Machine (VM) yang dapat membuka tunnel antara Database Migration Service dan database sumber Anda. Server tunnel dapat berupa host Unix/Linux apa pun yang:
    • Dapat diakses dari internet publik melalui SSH.
    • Dapat mengakses alamat IP pribadi database sumber Anda.

  2. Di server SSH, buat akun pengguna yang dapat digunakan Layanan Migrasi Database untuk terhubung ke tunnel SSH.

    Misalnya, pada sistem Ubuntu, Anda dapat menggunakan perintah berikut:

    1. Membuat akun pengguna: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Batasi akses shell untuk akun pengguna guna meningkatkan keamanan: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Tentukan metode autentikasi yang ingin Anda gunakan oleh Database Migration Service saat terhubung ke tunnel.

    Anda dapat menggunakan sandi, atau membuat kunci SSH dalam format PEM yang nantinya dapat Anda upload ke Database Migration Service saat membuat profil koneksi sumber.

    • Jika ingin menggunakan sandi, Anda tidak perlu mengonfigurasi apa pun tambahan. Ingat sandi yang Anda buat untuk akun TUNNEL_ACCOUNT_USERNAME.
    • Jika ingin menggunakan autentikasi berbasis kunci, Anda harus membuat pasangan kunci pribadi-publik. Misalnya, Anda dapat menggunakan utilitas ssh-keygen:
      1. Buat pasangan kunci: 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Salin kunci publik (YOUR_KEY_NAME.pub) ke direktori ~/.ssh/ di server tunnel Anda.
      3. Simpan kunci pribadi. Anda harus menguploadnya nanti ke Database Migration Service saat membuat profil koneksi sumber.
  4. Edit file /etc/ssh/sshd_config untuk mengonfigurasi tunnel forward-SSH agar sesuai dengan persyaratan organisasi Anda. Sebaiknya gunakan setelan berikut: 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Jalankan perintah ssh untuk memulai tunnel.

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • TUNNEL_SERVER_SSH_PORT dengan nomor port tempat server Anda memproses koneksi SSH.
    • SOURCE_DATABASE_PRIVATE_IP dengan alamat IP pribadi database sumber Anda. Server SSH harus dapat menjangkau IP tersebut.
    • SOURCE_DATABASE_PORT dengan nomor port tempat database sumber Anda memproses koneksi. Nomor port default untuk koneksi TCP di Oracle adalah 1433.
    • USERNAME dengan nama akun pengguna yang akan menjalankan tunnel. Akun ini terpisah dari TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP dengan IP publik server tunnel SSH Anda. 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Buat aturan firewall masuk di tunnel SSH untuk menerima koneksi dari alamat IP publik Layanan Migrasi Database untuk region tempat Anda membuat tugas migrasi.
  7. Pada tahap selanjutnya, saat Anda membuat profil koneksi sumber, lakukan hal berikut:
    1. Di bagian Define connection details, masukkan IP pribadi instance Oracle sumber Anda.
    2. Di bagian Define connectivity method, pilih Forward-SSH tunnel.
    3. Berikan alamat IP publik atau nama host server SSH Anda.
    4. Berikan port yang Anda tetapkan untuk koneksi SSH di server tunnel.
    5. Masukkan nama pengguna untuk pengguna yang Anda buat agar Database Migration Service dapat terhubung (yaitu, nilai TUNNEL_ACCOUNT_USERNAME).
    6. Dari menu drop-down Authentication method, pilih metode autentikasi yang ingin Anda gunakan dengan pengguna TUNNEL_ACCOUNT_USERNAME:
      • Jika Anda ingin menggunakan sandi pengguna, pilih Sandi dan masukkan sandi TUNNEL_ACCOUNT_USERNAME dalam formulir.
      • Jika Anda mengonfigurasi server SSH untuk menggunakan autentikasi berbasis kunci, pilih Pasangan kunci pribadi/Publik dan upload kunci pribadi yang Anda buat dengan perintah ssh-keygen.

Mengonfigurasi konektivitas pribadi dengan peering VPC

Untuk menggunakan konektivitas pribadi dengan sumber Oracle yang dikelola cloud, Anda harus mengonfigurasi Cloud VPN atau Cloud Interconnect di jaringan VPC yang sama tempat Anda ingin membuat konfigurasi konektivitas pribadi untuk Database Migration Service. Jika tidak dapat membuat konfigurasi konektivitas pribadi di jaringan VPC tempat Anda memiliki Cloud VPN atau Cloud Interconnect, Anda juga memerlukan Virtual Machine (VM) reverse proxy di Compute Engine untuk membuat koneksi.

Jika Anda tidak dapat menggunakan Cloud VPN atau Cloud Interconnect, sebaiknya gunakan metode konektivitas forward-SSH tunnel atau IP allowlist.

Untuk menggunakan konektivitas pribadi dengan peering VPC dan Cloud VPN, ikuti langkah-langkah berikut:

  1. Siapkan konektivitas langsung dengan Cloud VPN ke sumber Oracle Anda.

    Bergantung pada arsitektur jaringan, Anda mungkin perlu menyiapkan gateway VPN tambahan di sistem. Untuk mengetahui informasi selengkapnya, lihat Membuat gateway VPN dengan ketersediaan tinggi (HA) ke gateway VPN peer dalam dokumentasi Cloud VPN.

  2. Opsional: Jika Anda tidak dapat membuat konfigurasi konektivitas pribadi di jaringan VPC yang sama dengan tempat Anda memiliki Cloud VPN, buat Virtual Machine (VM) reverse proxy di Compute Engine untuk meneruskan koneksi antar-VPC.
  3. Di Database Migration Service, buat konfigurasi konektivitas pribadi untuk melakukan peering dengan jaringan VPC tempat Anda memiliki Cloud VPN.
  4. Pada tahap selanjutnya, saat Anda membuat profil koneksi sumber, lakukan hal berikut:
    1. Di bagian Define connection details, masukkan IP pribadi sumber Oracle Anda.
    2. Di bagian Define connectivity method, pilih Private connectivity (VPC peering).
    3. Dari menu drop-down, pilih konfigurasi konektivitas pribadi yang Anda buat di langkah sebelumnya.