管理対象の Oracle ソースへのネットワーク接続を構成する

このページでは、Database Migration Service を使用して異種の Oracle から Cloud SQL for PostgreSQL への移行を行うために、クラウド管理の Oracle データベース サービスへのネットワーク接続を構成する方法について説明します。

Oracle データベースは、さまざまなクラウド プロバイダからマネージド サービスとして利用できます。Database Migration Service は、特定のクラウド プロバイダ（ Oracle ソース用の Amazon RDS を除く）を対象としたサポートを提供していませんが、必要なネットワーク接続を確立できる限り、任意のマネージド Oracle データベース サービスから移行できます。

マネージド Oracle データベース サービスには、次の 3 つの方法があります。

• パブリック IP 許可リスト
• フォワード SSH トンネル
• Cloud VPN または Cloud Interconnect が必要です。 Virtual Private Cloud ピアリングを使用したプライベート IP 接続

ソース データベースのネットワーク接続の詳細については、 ソース ネットワーキング方法の概要をご覧ください。

IP 許可リスト接続を構成する

パブリック IP 許可リスト接続方法を使用する手順は次のとおりです。

1. 移行元データベースに、パブリック インターネットからアクセスできる IP アドレスがあることを確認します。接続に IP アドレスを使用する必要はありません。IP に関連付けられた DNS レコードがある場合は、代わりにそのレコードを使用できます。
2. ソース データベース サーバーで受信ファイアウォール ルールを作成し、Database Migration Service からの接続を受け入れます。次の構成を使用します。
   1. ルールタイプには port を使用します。
   2. 許可された IP アドレス範囲に、移行ジョブを作成するリージョンのすべての Database Migration Service パブリック IP アドレスを追加します。
   3. プロトコルを TCP に設定します。
   4. ルールに関連付けられたポート番号を、移行元データベースが受信接続をリッスンしているポートに設定します。これは、ソース接続プロファイルに入力する必要があるポート番号と同じです。

      Oracle サーバーはデフォルトで 1521 ポートを使用します。

   ファイアウォール ルールの構成手順は、使用するサーバー ソフトウェアによって異なります。詳細については、ファイアウォール プロダクトのドキュメントをご覧ください。

3. 後で ソース接続プロファイルを作成するときに、[接続方法の定義] セクションで [IP 許可リスト] を選択します。

フォワード SSH トンネル経由の接続を構成する

Secure Shell（SSH）トンネルを使用してソース データベースに接続する手順は次のとおりです。

1. Database Migration Service とソース データベース間のトンネルを開くことができる仮想マシン（VM）を作成します。トンネル サーバーには、次の条件を満たす Unix/Linux ホストを指定できます。
   • SSH 経由で公共のインターネットからアクセスできる。
   • ソース データベースのプライベート IP アドレスにアクセスできます。

2. SSH サーバーで、Database Migration Service が SSH トンネルへの接続に使用できるユーザー アカウントを作成します。

   たとえば、Ubuntu システムでは、次のコマンドを使用できます。

   1. ユーザー アカウントを作成します。

      adduser TUNNEL_ACCOUNT_USERNAME

   2. セキュリティを強化するために、ユーザー アカウントのシェル アクセスを制限します。

      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

3. トンネルへの接続時に Database Migration Service で使用する認証方法を決定します。

   パスワードを使用するか、PEM 形式の SSH 認証鍵を生成します。この認証鍵は、後でソース接続プロファイルを作成するときに Database Migration Service にアップロードできます。

   • パスワードを使用する場合は、追加の構成は必要ありません。TUNNEL_ACCOUNT_USERNAME アカウントに作成したパスワードを覚えておいてください。
   • 鍵ベースの認証を使用する場合は、秘密鍵と公開鍵のペアを生成する必要があります。たとえば、ssh-keygen ユーティリティを使用できます。
     1. 鍵ペアを生成します。

        ssh-keygen -m PEM -f YOUR_KEY_NAME

     2. 公開鍵（YOUR_KEY_NAME.pub）をトンネル サーバーの ~/.ssh/ ディレクトリにコピーします。
     3. 秘密鍵を保存します。後で、移行元の接続プロファイルを作成するときに Database Migration Service にアップロードする必要があります。
4. /etc/ssh/sshd_config ファイルを編集して、組織の要件に合わせて転送 SSH トンネルを構成します。次の設定を使用することをおすすめします。

   # Only allow the Database Migration Service user to connect.
   AllowUsers TUNNEL_ACCOUNT_USERNAME
   
   # Send keep-alive packets every 60 seconds to ensure that
   # the tunnel doesn't close during the migration
   ServerAliveInterval=60
   
   # Optional: Force key-based authentication
   PasswordAuthentication no
   
   # Enables Database Migration Service to connect from a different host
   PermitTunnel yes
   GatewayPorts yes

5. ssh コマンドを実行してトンネルを開始します。

   後述のコマンドデータを使用する前に、次のように置き換えます。

   • TUNNEL_SERVER_SSH_PORT は、サーバーが SSH 接続をリッスンしているポート番号に置き換えます。
   • SOURCE_DATABASE_PRIVATE_IP は、ソース データベースのプライベート IP アドレスに置き換えます。SSH サーバーは、その IP に到達できる必要があります。
   • SOURCE_DATABASE_PORT は、移行元データベースが接続をリッスンしているポート番号に置き換えます。Oracle の TCP 接続のデフォルト ポート番号は 1433 です。
   • USERNAME は、トンネルを実行するユーザー アカウントの名前に置き換えます。これは TUNNEL_ACCOUNT_USERNAME とは別のアカウントです。
   • TUNNEL_SERVER_PUBLIC_IP は、SSH トンネル サーバーの公開 IP に置き換えます。

   ssh -N -L \
   TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
   USERNAME@TUNNEL_SERVER_PUBLIC_IP

6. 移行ジョブを作成するリージョンの Database Migration Service のパブリック IP アドレスからの接続を受け入れるように、SSH トンネルにインバウンド ファイアウォール ルールを作成します。
7. 後で ソース接続プロファイルを作成するときに、次の操作を行います。
   1. [接続の詳細を定義する] セクションで、ソース Oracle インスタンスのプライベート IP を入力します。
   2. [接続方法の定義] セクションで、[Forward-SSH tunnel] を選択します。
   3. SSH サーバーの公開 IP アドレスまたはホスト名を指定します。
   4. トンネル サーバーで SSH 接続に指定したポートを指定します。
   5. Database Migration Service が接続するユーザーとして作成したユーザーのユーザー名（TUNNEL_ACCOUNT_USERNAME の値）を入力します。
   6. [認証方法] プルダウン メニューから、TUNNEL_ACCOUNT_USERNAME ユーザーで使用する認証方法を選択します。
      • ユーザー パスワードを使用する場合は、[パスワード] を選択し、フォームに TUNNEL_ACCOUNT_USERNAME パスワードを入力します。
      • 鍵ベースの認証を使用するように SSH サーバーを構成した場合は、[Private/Public key pair] を選択し、 ssh-keygen コマンドで生成した秘密鍵をアップロードします。

VPC ピアリングによるプライベート接続を構成する

クラウド管理の Oracle ソースでプライベート接続を使用するには、Database Migration Service のプライベート接続構成を作成する VPC ネットワークに Cloud VPN または Cloud Interconnect を構成する必要があります。Cloud VPN または Cloud Interconnect がある VPC ネットワークにプライベート接続構成を作成できない場合は、Compute Engine にリバース プロキシ仮想マシン（VM）も必要です。

Cloud VPN または Cloud Interconnect を使用できない場合は、代わりに 転送 SSH トンネルまたは IP 許可リストの接続方法を使用することをおすすめします。

VPC ピアリングと Cloud VPN でプライベート接続を使用する手順は次のとおりです。

1. Oracle ソースへの Cloud VPN による直接接続を設定します。

   ネットワーク アーキテクチャによっては、システムに追加の VPN ゲートウェイを設定する必要があります。詳細については、Cloud VPN のドキュメントの ピア VPN ゲートウェイへの HA VPN ゲートウェイを作成するをご覧ください。

2. 省略可: Cloud VPN がある VPC ネットワークと同じ VPC ネットワークにプライベート接続構成を作成できない場合は、 Compute Engine でリバース プロキシ仮想マシン（VM）を作成して、VPC 間の接続を転送します。
3. Database Migration Service で、 プライベート接続構成を作成して、Cloud VPN がある VPC ネットワークとピアリングします。
4. 後で ソース接続プロファイルを作成するときに、次の操作を行います。
   1. [接続の詳細を定義する] セクションで、Oracle ソースのプライベート IP を入力します。
   2. [接続方法の定義] セクションで、[プライベート接続（VPC ピアリング）] を選択します。
   3. プルダウン メニューから、前の手順で作成したプライベート接続構成を選択します。