Métodos de red para la conectividad de la base de datos de origen

Para mover datos de tu servidor de base de datos de origen a la instancia de Cloud SQL para PostgreSQL de destino, Database Migration Service debe conectarse a tu instancia de origen. Esa conexión se puede establecer a través de Internet público o mediante una serie de conexiones privadas en la nube privada virtual (VPC) de tu proyecto.

En esta página se ofrece una descripción general de cada método de conectividad de base de datos de origen disponible, así como una sección de recomendaciones para ayudarle a elegir la solución adecuada para su migración:

  • En la comparación de métodos se muestra una tabla comparativa de los métodos de conectividad de fuentes disponibles.

  • En Lista de IPs permitidas se describe la conectividad de red a la IP pública de tu base de datos de origen.

  • Túnel directo SSH ofrece una descripción general de los túneles Secure Shell (SSH) dedicados.

  • En Conectividad privada se describe cómo puedes establecer una conexión con la IP privada de tu base de datos de origen.

Una vez que te hayas familiarizado con los diferentes métodos de conectividad y sus requisitos, puedes usar el diagrama de árbol de decisiones para elegir la solución adecuada para tu caso.

Comparación de métodos

Cada método de conectividad tiene diferentes ventajas y requisitos. Consulta la siguiente tabla para comparar las opciones de un vistazo y, después, obtén más información en las secciones dedicadas a cada método.

Método de red Ventajas Desventajas
Lista de IPs permitidas
  • Es el método de conectividad más fácil de configurar.
  • Es útil cuando no se puede acceder a la base de datos de origen a través de redes privadas en Google Cloud.
  • Requiere que expongas una dirección IPv4 del servidor de tu base de datos de origen a Internet público. Esto requiere medidas de seguridad adicionales. Por ejemplo, te recomendamos que uses certificados TLS y reglas de cortafuegos para proteger la conexión.
  • Para configurar las reglas de cortafuegos, es posible que necesites la ayuda del departamento de TI.
  • Database Migration Service no admite la conectividad directa a bases de datos mediante la función de nombre de acceso de cliente único (SCAN) en entornos de Oracle Real Application Clusters (RAC). Para ver posibles soluciones a los problemas de conectividad mediante la lista de permitidas de IPs públicas en estos entornos, consulta Solucionar errores de SCAN de Oracle.
Túnel directo SSH

  • Más seguro que conectarse a través de una IP pública con una lista de IPs permitidas.

    La conexión inicial se establece a través de puertos Secure Shell (SSH) en la red de Internet pública. Una vez que la conexión esté activa, todo el tráfico se transmitirá a través de una conexión privada y segura.

  • Es útil cuando no se puede acceder a la base de datos de origen a través de redes privadas en Google Cloud, pero no quiere exponer el servidor de la base de datos de origen directamente a Internet.
  • Usar un servidor intermedio (la máquina del túnel directo SSH) para la conectividad puede provocar una latencia adicional.
  • Debes configurar y mantener el servidor host de reenvío de SSH. El servidor debe estar online durante toda la migración.
Conectividad privada con el peering de nube privada virtual
  • La conexión se establece con la dirección IP privada de la base de datos de origen.
  • Este método de conectividad es el más adecuado para las fuentes cuya dirección IP privada se puede alcanzar desde tu red de VPC Google Cloud .

Lista de IP permitidas para la conectividad de la base de datos de origen

Cuando usas el método de conectividad de lista de IP permitidas, el servicio de migración de bases de datos intenta establecer una conexión con una dirección IP disponible públicamente de tu servidor de bases de datos de origen.

Requisitos para la conectividad de la lista de IPs permitidas

A grandes rasgos, para usar este método de conectividad, debes asegurarte de lo siguiente:

  • Debes exponer la dirección IP de tu fuente a Internet (ya sea directamente o con un nombre de host reconocido públicamente a través de un servidor de nombres de dominio [DNS]).

  • Database Migration Service no admite la conectividad directa a bases de datos mediante la función de nombre de acceso de cliente único (SCAN) en entornos de Oracle Real Application Clusters (RAC). Para ver posibles soluciones a los problemas de conectividad mediante la lista de permitidas de IPs públicas en estos entornos, consulta Solucionar errores de SCAN de Oracle.

  • Debes permitir las conexiones entrantes desde las direcciones IP públicas del servicio de migración de bases de datos.

  • Opcional: La conectividad de la lista de IPs permitidas usa conexiones sin cifrar de forma predeterminada. Te recomendamos que uses certificados TLS para proteger tu conexión. Database Migration Service admite diferentes tipos de TLS para que puedas elegir la mejor solución en función de lo que admita tu base de datos de origen. Para obtener más información, consulta el artículo Usar certificados SSL/TLS para cifrar conexiones de red.

Configurar la conectividad de la lista de IPs permitidas

Para configurar la conectividad de IP pública, debes seguir unos pasos u otros en función del tipo de base de datos de origen. Para obtener más información, consulta estos artículos:

Túnel directo SSH para la conectividad de la base de datos de origen

Este método de conectividad es una combinación de conectividad de red pública y privada. La conexión se establece a través de los puertos Secure Shell (SSH) a la dirección IP pública del servidor host del túnel. Una vez que la conexión está activa, todo el tráfico se transmite a través de un túnel seguro a la dirección IP privada de la base de datos de origen.

Diagrama de red que muestra una configuración de conectividad de alto nivel a través de un servidor de túnel SSH dedicado.
Imagen 2. Ejemplo de red de migración: conectividad de origen a través de un túnel SSH. (haz clic para ampliar)
Diagrama de red que muestra una configuración de conectividad de alto nivel a través de un servidor de túnel SSH dedicado.

Requisitos de los túneles directos SSH

Para crear la conexión, debes exponer los puertos SSH a Internet en tu servidor de túnel. Cuando se establece la conectividad, todo el tráfico se enruta a través de la conexión de túnel privada.

Puedes finalizar el túnel en el mismo servidor en el que alojas tu base de datos de origen, pero te recomendamos que utilices un servidor de túnel dedicado. De esta forma, no expones tu base de datos de origen directamente a Internet. El servidor del túnel puede ser cualquier host Unix o Linux al que se pueda acceder desde Internet mediante SSH y que pueda acceder a tu base de datos de origen.

En determinados casos de conectividad, te recomendamos que utilices el método de red conectividad privada con el peering de nube privada virtual en lugar de un túnel directo SSH:

  • En el caso de las fuentes autogestionadas que residen en Google Cloud, el servicio de migración de bases de datos puede acceder a la IP privada de tu base de datos de origen con la configuración de conectividad privada. No es necesario que configures un servidor SSH independiente para establecer la conexión.

Configurar la conectividad de túnel directo SSH

Para configurar la conectividad a través de un túnel directo SSH, debes seguir unos pasos u otros en función del tipo de base de datos de origen. Para obtener más información, consulta estos artículos:

Conectividad privada con el emparejamiento de VPCs

Este método te permite conectarte a tu origen a través de las direcciones IP privadas de tu nube privada virtual (VPC). No es necesario que expongas ninguna interfaz a Internet para usar este método, pero sí que se pueda acceder a la dirección IP o al nombre de host de tu base de datos de origen desde tu Google Cloud VPC.

En función de la base de datos de origen que tengas, es posible que este método de conectividad requiera que configures componentes de red adicionales (como Cloud VPN o una VM de proxy inverso):

Diagrama de red que muestra una configuración de conectividad de alto nivel a través de un servidor de túnel SSH dedicado.
Imagen 3. Ejemplo de red de migración: conectividad de origen con IP privada con intercambio de tráfico entre nubes privadas virtuales y Cloud VPN para orígenes gestionados que residen fuera de Google Cloud. (haz clic para ampliar)
Diagrama de red que muestra una configuración de conectividad de alto nivel a través de un servidor de túnel SSH dedicado.

Requisitos de conectividad de IP privada

Este método de conectividad es el más adecuado para las fuentes cuya dirección IP privada se puede alcanzar desde tu red de VPC Google Cloud . En el caso de las fuentes autogestionadas que residen en Google Cloud, puedes establecer conexiones de emparejamiento directas con una configuración de conectividad privada en Database Migration Service. Para otros tipos de fuentes, es posible que necesites componentes de red adicionales, como Cloud VPN o una VM de proxy inverso (o ambos).

Para la conectividad de IP privada, se necesita lo siguiente:

Configurar la conectividad de IP privada con el emparejamiento de VPCs

Para usar la conectividad de IP privada con el peering de nube privada virtual, se debe poder acceder a la IP privada de la base de datos de origen desde tu nube privada virtual. En función de la arquitectura de tu red, es posible que tengas que usar componentes adicionales, como una VM de proxy inverso o Cloud VPN.

Para obtener más información sobre cómo configurar la conectividad de IP privada para diferentes fuentes de datos de bases de datos, consulta los siguientes artículos:

Árbol de decisiones de conectividad de red de origen

Cuando te hayas familiarizado con todos los métodos de conectividad de origen admitidos y sus requisitos, puedes responder a las preguntas del diagrama para elegir el método de conectividad adecuado para tu caso.

Un diagrama de árbol de decisiones con preguntas orientativas para ayudarte a elegir el método de conectividad adecuado.
Imagen 4. Árbol de decisiones de conectividad de red de origen. (haz clic para ampliar)

Siguientes pasos