Configure a conetividade de rede para origens Oracle geridas

Esta página descreve como configurar a conetividade de rede para ofertas de bases de dados Oracle geridas na nuvem para migrações heterogéneas do Oracle para o Cloud SQL para PostgreSQL com o serviço de migração de bases de dados.

As bases de dados Oracle estão disponíveis como um serviço gerido de vários fornecedores de nuvem diferentes. O Database Migration Service não oferece apoio técnico direcionado para fornecedores de nuvem específicos (exceto para origens do Amazon RDS for Oracle), mas pode migrar a partir de qualquer serviço de base de dados Oracle gerido, desde que consiga estabelecer a conetividade de rede necessária.

Existem três métodos diferentes que pode usar para serviços de base de dados Oracle geridos:

Para saber mais sobre a conetividade de rede da base de dados de origem, consulte o artigo Vista geral dos métodos de rede de origem.

Configure a conetividade da lista de autorizações de IPs

Para usar o método de conetividade da lista de autorizações de IPs públicos, siga estes passos:

  1. Certifique-se de que a base de dados de origem tem um endereço IP acessível a partir da Internet pública. Não precisa de usar o endereço IP para estabelecer ligação. Se tiver um registo DNS associado ao IP, pode usá-lo em alternativa.
  2. Crie uma regra de firewall de entrada no servidor da base de dados de origem para aceitar ligações do serviço de migração de bases de dados. Use a seguinte configuração:
    1. Para o tipo de regra, use port.
    2. Para o intervalo de endereços IP permitidos, adicione todos os endereços IP públicos do serviço de migração de bases de dados para a região onde cria a tarefa de migração.
    3. Defina o protocolo como TCP.
    4. Defina o número da porta associado à regra para a porta onde a base de dados de origem está a ouvir ligações recebidas. Este é o mesmo número de porta que tem de introduzir no perfil de associação de origem.

      Por predefinição, o servidor Oracle usa a porta 1521.

    Os passos para configurar regras de firewall diferem consoante o software de servidor que usa. Para mais informações, consulte a documentação do seu produto de firewall.

  3. Numa fase posterior, quando criar o perfil de associação de origem, na secção Definir método de conetividade, selecione Lista de autorizações de IPs.

Configure a conetividade através de um túnel SSH de encaminhamento

Para estabelecer ligação à base de dados de origem com um túnel Secure Shell (SSH), siga estes passos:

  1. Crie uma máquina virtual (VM) que possa abrir o túnel entre o serviço de migração de bases de dados e a sua base de dados de origem. O servidor de túnel pode ser qualquer anfitrião Unix/Linux que:
    • Pode aceder-se a partir da Internet pública através de SSH.
    • Pode aceder ao endereço IP privado da sua base de dados de origem.

  2. No servidor SSH, crie uma conta de utilizador que o serviço de migração de bases de dados possa usar para estabelecer ligação ao túnel SSH.

    Por exemplo, num sistema Ubuntu, pode usar os seguintes comandos:

    1. Crie uma conta de utilizador: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restrinja o acesso à shell para a conta de utilizador para melhorar a segurança: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Decida que método de autenticação quer que o serviço de migração de bases de dados use quando estabelecer ligação ao túnel.

    Pode usar uma palavra-passe ou gerar chaves SSH no formato PEM que pode carregar posteriormente para o Database Migration Service quando criar o perfil de ligação de origem.

    • Se quiser usar uma palavra-passe, não tem de configurar nada adicional. Lembre-se da palavra-passe que criou para a conta TUNNEL_ACCOUNT_USERNAME.
    • Se quiser usar a autenticação baseada em chaves, tem de gerar um par de chaves públicas/privadas. Por exemplo, pode usar o utilitário ssh-keygen:
      1. Gere o par de chaves: 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Copie a chave pública (YOUR_KEY_NAME.pub) para o diretório ~/.ssh/ no servidor de túnel.
      3. Guarde a chave privada. Tem de carregá-lo mais tarde para o serviço de migração de bases de dados quando criar o perfil de ligação de origem.
  4. Edite o ficheiro /etc/ssh/sshd_config para configurar o túnel forward-SSH de acordo com os requisitos da sua organização. Recomendamos que use as seguintes definições: 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Execute o comando ssh para iniciar o túnel.

    Antes de usar qualquer um dos dados de comando abaixo, faça as seguintes substituições:

    • TUNNEL_SERVER_SSH_PORT com o número da porta onde o seu servidor está a escutar ligações SSH.
    • SOURCE_DATABASE_PRIVATE_IP com o endereço IP privado da base de dados de origem. O servidor SSH tem de conseguir alcançar esse IP.
    • SOURCE_DATABASE_PORT com o número da porta onde a base de dados de origem está a ouvir ligações. O número da porta predefinido para ligações TCP no Oracle é 1433.
    • USERNAME com o nome da conta de utilizador que vai executar o túnel. Esta é uma conta separada da conta de TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP com o IP público do seu servidor de túnel SSH. 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Crie uma regra de firewall de entrada no seu túnel SSH para aceitar ligações dos endereços IP públicos do serviço de migração de bases de dados para a região onde cria a tarefa de migração.
  7. Numa fase posterior, quando criar o perfil de associação de origem, faça o seguinte:
    1. Na secção Defina os detalhes da ligação, introduza o IP privado da sua instância Oracle de origem.
    2. Na secção Definir método de conetividade, selecione Túnel SSH de encaminhamento.
    3. Indique o endereço IP público ou o nome de anfitrião do seu servidor SSH.
    4. Indique a porta que designou para as ligações SSH no servidor de túnel.
    5. Introduza o nome de utilizador do utilizador que criou para o serviço de migração de bases de dados para estabelecer ligação como (ou seja, o valor de TUNNEL_ACCOUNT_USERNAME).
    6. No menu pendente Método de autenticação, selecione o método de autenticação que quer usar com o utilizador TUNNEL_ACCOUNT_USERNAME:
      • Se quiser usar a palavra-passe do utilizador, selecione Palavra-passe e introduza a palavra-passe TUNNEL_ACCOUNT_USERNAME no formulário.
      • Se configurou o seu servidor SSH para usar a autenticação baseada em chaves, selecione Par de chaves privadas/públicas e carregue a chave privada que gerou com o comando ssh-keygen.

Configure a conetividade privada com o intercâmbio da VPC

Para usar a conetividade privada com origens Oracle geridas na nuvem, tem de ter uma Cloud VPN ou um Cloud Interconnect configurado na mesma rede VPC onde pretende criar a configuração de conetividade privada para o Database Migration Service. Se não conseguir criar a configuração de conetividade privada na rede da VPC onde tem o Cloud VPN ou o Cloud Interconnect, também precisa de uma máquina virtual (VM) de proxy inverso no Compute Engine para estabelecer a ligação.

Se não puder usar a Cloud VPN ou o Cloud Interconnect, recomendamos que use os métodos de conetividade de encaminhamento de túnel SSH ou de lista de autorizações de IPs.

Para usar a conetividade privada com o peering de VPC e a Cloud VPN, siga estes passos:

  1. Configure a conetividade direta com o Cloud VPN à sua origem do Oracle.

    Consoante a arquitetura da sua rede, pode ter de configurar gateways de VPN adicionais no seu sistema. Para mais informações, consulte o artigo Crie um gateway de VPN de alta disponibilidade para um gateway de VPN de intercâmbio na documentação da Cloud VPN.

  2. Opcional: se não conseguir criar a configuração de conetividade privada na mesma rede da VPC onde tem a Cloud VPN, crie uma máquina virtual (VM) de proxy inverso no Compute Engine para encaminhar as ligações entre VPCs.
  3. No Database Migration Service, crie uma configuração de conetividade privada para estabelecer intercâmbio com a rede da VPC onde tem a Cloud VPN.
  4. Numa fase posterior, quando criar o perfil de associação de origem, faça o seguinte:
    1. Na secção Defina os detalhes da ligação, introduza o IP privado da sua origem Oracle.
    2. Na secção Definir método de conetividade, selecione Conetividade privada (interligação de VPCs).
    3. No menu pendente, selecione a configuração de conetividade privada que criou no passo anterior.