Netzwerkmethoden

Übersicht

Wenn Sie den Database Migration Service zum Migrieren von Daten aus der Quelldatenbank in die Zieldatenbank verwenden möchten, müssen Sie eine Verbindung zwischen den Datenbanken herstellen.

Quellkonnektivität

Database Migration Service unterstützt die Netzwerkverbindungsmethoden „IP-Zulassungsliste“, „Weiterleitungs-SSH-Tunnel“ und „VPC-Peering“.

Anhand der Informationen in der folgenden Tabelle können Sie entscheiden, welche Methode für Ihre jeweilige Arbeitslast am besten geeignet ist.

Netzwerkmethode Beschreibung Vorteile Nachteile
IP-Zulassungsliste

Bei dieser Methode wird der Quelldatenbankserver so konfiguriert, dass eingehende Verbindungen von den öffentlichen IP-Adressen von Database Migration Service zugelassen werden.
  • Einfach zu konfigurieren
  • Die Quelldatenbank ist über eine öffentliche IP-Adresse zugänglich.
  • Die Verbindung ist standardmäßig nicht verschlüsselt. SSL muss in der Quelldatenbank aktiviert werden, um die Verbindung zu verschlüsseln.
  • Die Konfiguration der Firewall erfordert möglicherweise Unterstützung von der IT-Abteilung.
Weiterleitungs-SSH-Tunnel

Stellen Sie über einen Weiterleitungs-SSH-Tunnel eine verschlüsselte Verbindung über öffentliche Netzwerke zwischen Database Migration Service und der Quelle her.

Weitere Informationen zu SSH-Tunneln.
  • Sicher
  • Eingeschränkte Bandbreite
  • Sie müssen den Bastion Host einrichten und pflegen.
VPC-Peering Dafür müssen Sie eine private Verbindungskonfiguration erstellen. Database Migration Service verwendet diese Konfiguration, um über ein privates Netzwerk mit der Datenquelle zu kommunizieren. Diese Kommunikation erfolgt über eine VPC-Peering-Verbindung (Virtual Private Cloud).
  • Sicherer, privater Kanal
  • Einfach zu konfigurieren
  • Erfordert eine private Netzwerkverbindung (VPN, Interconnect usw.) zwischen der Datenbank und Google Cloud.

Zielverbindung

Verwenden Sie Private Service Connect, um eine private Verbindung zu Ihrer Cloud SQL-Zielnetzwerkdatenbank herzustellen.

Verbindung mithilfe von IP-Zulassungslisten konfigurieren

Damit der Database Migration Service Daten aus einer Quelldatenbank in ein Ziel übertragen kann, muss der Database Migration Service zuerst eine Verbindung zu dieser Datenbank herstellen.

Eine Möglichkeit, diese Verbindung zu konfigurieren, ist über IP-Zulassungslisten. Eine öffentliche IP-Verbindung ist am besten geeignet, wenn sich die Quelldatenbank außerhalb von Google Cloud befindet und eine extern zugängliche IPv4-Adresse und einen TCP-Port hat.

Wenn sich Ihre Quelldatenbank außerhalb von Google Cloudbefindet, fügen Sie die öffentlichen IP-Adressen des Database Migration Service als Firewallregel für eingehenden Traffic im Quellnetzwerk hinzu. Gehen Sie so allgemein so vor (Ihre spezifischen Netzwerkeinstellungen können abweichen):

  1. Öffnen Sie die Netzwerk-Firewallregeln Ihres Quelldatenbankcomputers.

  2. Erstellen Sie eine Regel für eingehenden Traffic.

  3. Legen Sie die IP-Adresse der Quelldatenbank auf die IP-Adressen des Database Migration Service fest.

  4. Legen Sie TCP als Protokoll fest.

  5. Legen Sie den mit dem TCP-Protokoll verknüpften Port auf 1521 fest.

  6. Speichern Sie die Firewallregel und beenden Sie sie.

SSH-Tunnel verwenden

Schritt 1: Host auswählen, auf dem der Tunnel beendet werden soll

Der erste Schritt zum Einrichten des Zugriffs über den SSH-Tunnel für Ihre Datenbank besteht in der Auswahl des Hosts, auf dem der Tunnel beendet wird. Der Tunnel kann entweder auf dem Datenbankhost selbst oder auf einem separaten Host (dem Tunnelserver) beendet werden.

Datenbankserver verwenden

Der Abschluss des Tunnels in der Datenbank hat den Vorteil der Einfachheit. Da ein Host weniger beteiligt ist, fallen keine zusätzlichen Maschinen und damit verbundene Kosten an. Der Nachteil ist, dass sich Ihr Datenbankserver möglicherweise in einem geschützten Netzwerk befindet, das keinen direkten Zugriff über das Internet hat.

Tunnelserver verwenden

Das Beenden des Tunnels auf einem separaten Server hat den Vorteil, dass Ihr Datenbankserver nicht über das Internet zugänglich ist. Wenn der Tunnelserver manipuliert wurde, kann er schnell vom Datenbankserver entfernt werden. Wir empfehlen, nicht unbedingt benötigte Software und Nutzer vom Tunnelserver zu entfernen und mithilfe von Tools wie einem Intrusion Detection System (IDS) genau zu überwachen.

Der Tunnelserver kann ein beliebiger Unix/Linux-Host mit folgenden Funktionen sein:

  1. Kann vom Internet aus über SSH erreicht werden.
  2. Kann auf die Datenbank zugreifen.

Schritt 2: Zulassungsliste für IP-Adressen erstellen

Der zweite Schritt zur Einrichtung des SSH-Tunnelzugangs für Ihre Datenbank besteht darin, dass der Netzwerktraffic den Tunnelserver oder den Datenbankhost über SSH erreichen kann, was in der Regel über TCP-Port 22 geschieht.

Erlauben Sie Netzwerktraffic von jeder der IP-Adressen für die Region, in der Database Migration Service-Ressourcen erstellt werden.

Schritt 3: SSH-Tunnel verwenden

Geben Sie die Tunneldetails in der Konfiguration des Verbindungsprofils an. Weitere Informationen finden Sie unter Verbindungsprofil erstellen.

Zum Authentifizieren der SSH-Tunnelsitzung benötigt der Database Migration Service entweder das Passwort für das Tunnelkonto oder einen eindeutigen privaten Schlüssel. Um einen eindeutigen privaten Schlüssel zu verwenden, können Sie mit OpenSSL-Befehlszeilentools ein Schlüsselpaar generieren, das aus einem privaten und einem öffentlichen Schlüssel besteht.

Der private Schlüssel wird von Database Migration Service als Teil der Konfiguration des Verbindungsprofils sicher gespeichert. Sie müssen den öffentlichen Schlüssel manuell der Datei ~/.ssh/authorized_hosts des Bastion Hosts hinzufügen.

Private Verbindung zur Quelldatenbank einrichten

Private Verbindungen sind Verbindungen zwischen Ihrem VPC-Netzwerk und dem privaten Netzwerk von Database Migration Service. Dadurch kann Database Migration Service über interne IP-Adressen mit Ressourcen kommunizieren. Die Verwendung privater Verbindungen stellt eine dedizierte Verbindung zum Netzwerk von Database Migration Service her, das heißt, keine anderen Kunden können sie nutzen.

Wenn sich Ihre Quelldatenbank außerhalb von Google Cloudbefindet, ermöglicht die private Konnektivität dem Database Migration Service die Kommunikation mit Ihrer Datenbank über VPN oder Interconnect.

Nachdem eine Konfiguration für private Verbindungen erstellt wurde, kann eine einzelne Konfiguration für alle Migrationen in einem Projekt innerhalb einer einzelnen Region verwendet werden.

Zum Einrichten privater Verbindungen ist grundsätzlich Folgendes erforderlich:

  • Eine vorhandene Virtual Private Cloud (VPC)
  • Ein verfügbarer IP-Bereich mit einem Mindest-CIDR-Block von /29

Wenn Ihr Projekt eine freigegebene VPC verwendet, müssen Sie auch die Database Migration Service und Google Compute Engine APIs aktivieren und dem Dienstkonto von Database Migration Service im Hostprojekt Berechtigungen erteilen.

Weitere Informationen zum Erstellen einer Konfiguration für private Verbindungen für Ihre Quelldatenbank

Private Verbindung zur Zieldatenbank einrichten

Der Database Migration Service verwendet Private Service Connect, um eine private Verbindung zu Ihrer Ziel-Cloud SQL-Instanz herzustellen. Sie können den TCP-Port der Datenbank für eingehende sichere Verbindungen freigeben und gleichzeitig steuern, wer auf die Datenbank zugreifen kann, indem Sie in Ihrem Projekt eine Dienstanhängedatei einrichten.

Weitere Informationen zum Erstellen einer Konfiguration für private Verbindungen für Ihre Zieldatenbank