管理対象の Oracle ソースへのネットワーク接続を構成する

このページでは、Database Migration Service を使用して異種 Oracle から Cloud SQL for PostgreSQL への移行を行うために、クラウド マネージド Oracle データベース サービスへのネットワーク接続を構成する方法について説明します。

Oracle データベースは、さまざまなクラウド プロバイダからマネージド サービスとして提供されています。Database Migration Service は、特定のクラウド プロバイダに対するターゲット サポートを提供していませんが （Amazon RDS for Oracle ソースを除く）、必要なネットワーク接続を確立できる限り、任意のマネージド Oracle データベース サービスから移行できます。

マネージド Oracle データベース サービスには、次の 3 つの方法があります。

• パブリック IP 許可リスト
• フォワード SSH トンネル
• Cloud VPN または Cloud Interconnect が必要: Virtual Private Cloud ピアリングによるプライベート IP 接続

ソース データベースのネットワーク接続の詳細については、 ソース ネットワーキング方法の概要をご覧ください。

IP 許可リストの接続を構成する

パブリック IP 許可リスト接続方法を使用する手順は次のとおりです。

1. 移行元データベースに、パブリック インターネットからアクセスできる IP アドレスがあることを確認します。接続に IP アドレスを使用する必要はありません。IP に関連付けられた DNS レコードがある場合は、代わりにそのレコードを使用できます。
2. Database Migration Service からの接続を受け入れるように、移行元データベース サーバーに受信ファイアウォール ルールを作成します。次の構成を使用します。
   1. ルールタイプには port を使用します。
   2. 許可された IP アドレス範囲には、移行ジョブを作成するリージョンの Database Migration Service のパブリック IP アドレスをすべて追加します。
   3. プロトコルを TCP に設定します。
   4. ルールに関連付けるポート番号を、移行元データベースが受信接続をリッスンしているポートに設定します。これは、移行元の接続プロファイルに入力する必要があるポート番号と同じです。

      Oracle サーバーはデフォルトで 1521 ポートを使用します。

   ファイアウォール ルールの構成手順は、使用するサーバー ソフトウェアによって異なります。詳細については、ファイアウォール製品のドキュメントをご覧ください。

3. 後で 移行元接続プロファイルを作成するときに、[接続方法の定義] セクションで [IP 許可リスト] を選択します。

フォワード SSH トンネル経由の接続を構成する

Secure Shell（SSH）トンネルを使用してソース データベースに接続する手順は次のとおりです。

1. Database Migration Service とソース データベース間のトンネルを開くことができる仮想マシン（VM）を作成します。トンネル サーバーには、次の条件を満たす Unix/Linux ホストを指定できます。
   • SSH 経由で公共のインターネットからアクセスできる。
   • ソース データベースのプライベート IP アドレスにアクセスできる。

2. SSH サーバーで、Database Migration Service が SSH トンネルへの接続に使用できるユーザー アカウントを作成します。

   たとえば、Ubuntu システムでは次のコマンドを使用できます。

   1. ユーザー アカウントを作成します。

      adduser TUNNEL_ACCOUNT_USERNAME

   2. ユーザー アカウントのシェル アクセスを制限して、セキュリティを強化します。

      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

3. トンネルに接続するときに Database Migration Service で使用する認証方法を決定します。

   パスワードを使用するか、PEM 形式の SSH 認証鍵を生成して、移行元接続プロファイルの作成時に Database Migration Service にアップロードできます。

   • パスワードを使用する場合は、追加の構成は必要ありません。TUNNEL_ACCOUNT_USERNAME アカウント用に作成したパスワードを覚えておいてください。
   • 鍵ベースの認証を使用する場合は、秘密鍵と公開鍵のペアを生成する必要があります。たとえば、ssh-keygen ユーティリティを使用できます。
     1. 鍵ペアを生成します。

        ssh-keygen -m PEM -f YOUR_KEY_NAME

     2. 公開鍵（YOUR_KEY_NAME.pub）をトンネル サーバーの ~/.ssh/ ディレクトリにコピーします。
     3. 秘密鍵を保存します。このファイルは、移行元接続プロファイルを作成するときに、後で Database Migration Service にアップロードする必要があります。
4. 組織の要件に合わせて転送 SSH トンネルを構成するように /etc/ssh/sshd_config ファイルを編集します。次の設定を使用することをおすすめします。

   # Only allow the Database Migration Service user to connect.
   AllowUsers TUNNEL_ACCOUNT_USERNAME
   
   # Send keep-alive packets every 60 seconds to ensure that
   # the tunnel doesn't close during the migration
   ServerAliveInterval=60
   
   # Optional: Force key-based authentication
   PasswordAuthentication no
   
   # Enables Database Migration Service to connect from a different host
   PermitTunnel yes
   GatewayPorts yes

5. ssh コマンドを実行してトンネルを開始します。

   後述のコマンドデータを使用する前に、次のように置き換えます。

   • TUNNEL_SERVER_SSH_PORT: サーバーが SSH 接続をリッスンしているポート番号。
   • SOURCE_DATABASE_PRIVATE_IP は、ソース データベースのプライベート IP アドレスに置き換えます。SSH サーバーがその IP に到達できる必要があります。
   • SOURCE_DATABASE_PORT: ソース データベースが接続をリッスンしているポート番号。Oracle の TCP 接続のデフォルトのポート番号は 1433 です。
   • USERNAME は、トンネルを実行するユーザー アカウントの名前に置き換えます。これは TUNNEL_ACCOUNT_USERNAME とは別のアカウントです。
   • TUNNEL_SERVER_PUBLIC_IP: SSH トンネル サーバーのパブリック IP。

   ssh -N -L \
   TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
   USERNAME@TUNNEL_SERVER_PUBLIC_IP

6. 移行ジョブを作成するリージョンの Database Migration Service パブリック IP アドレスからの接続を受け入れるように、SSH トンネルに上り（内向き）ファイアウォール ルールを作成します。
7. 後で、 ソース接続プロファイルを作成するときに、次の操作を行います。
   1. [接続の詳細を定義する] セクションに、移行元 Oracle インスタンスのプライベート IP を入力します。
   2. [接続方法の定義] セクションで、[転送 SSH トンネル] を選択します。
   3. SSH サーバーのパブリック IP アドレスまたはホスト名を指定します。
   4. トンネル サーバーで SSH 接続用に指定したポートを指定します。
   5. Database Migration Service 用に作成したユーザーのユーザー名を入力して、接続します（つまり、TUNNEL_ACCOUNT_USERNAME の値）。
   6. [認証方法] プルダウン メニューから、TUNNEL_ACCOUNT_USERNAME ユーザーで使用する認証方法を選択します。
      • ユーザー パスワードを使用する場合は、[パスワード] を選択し、フォームに TUNNEL_ACCOUNT_USERNAME パスワードを入力します。
      • 鍵ベースの認証を使用するように SSH サーバーを構成した場合は、[秘密鍵/公開鍵ペア] を選択し、秘密鍵をアップロードします。 ssh-keygen コマンドで生成した秘密鍵。

VPC ピアリングを使用してプライベート接続を構成する

クラウド マネージド Oracle ソースでプライベート接続を使用するには、Database Migration Service のプライベート接続構成を作成する VPC ネットワークと同じネットワークに Cloud VPN または Cloud Interconnect が構成されている必要があります。Cloud VPN または Cloud Interconnect がある VPC ネットワークでプライベート接続構成を作成できない場合は、接続を確立するために Compute Engine にリバース プロキシ仮想マシン（VM）も必要になります。

Cloud VPN または Cloud Interconnect を使用できない場合は、代わりに 転送 SSH トンネルまたはIP 許可リストの接続方法を使用することをおすすめします。

VPC ピアリングと Cloud VPN でプライベート接続を使用する手順は次のとおりです。

1. Cloud VPN を使用して Oracle ソースへの直接接続を設定します。

   ネットワーク アーキテクチャによっては、システムに追加の VPN ゲートウェイを設定する必要があります。詳細については、Cloud VPN のドキュメントの ピア VPN ゲートウェイに対する HA VPN ゲートウェイを作成するをご覧ください。

2. 省略可: Cloud VPN がある VPC ネットワークにプライベート接続構成を作成できない場合は、 Compute Engine にリバース プロキシ仮想マシン（VM）を作成して、VPC 間の接続を転送します。
3. Database Migration Service で、Cloud VPN がある VPC ネットワークとピアリングする プライベート接続構成を作成します。
4. 後で、 ソース接続プロファイルを作成するときに、次の操作を行います。
   1. [接続の詳細を定義する] セクションで、Oracle ソースのプライベート IP を入力します。
   2. [接続方法の定義] セクションで、[プライベート接続（VPC ピアリング）] を選択します。
   3. プルダウン メニューから、前の手順で作成したプライベート接続構成を選択します。