Métodos de Herramientas de redes

Descripción general

Para usar Database Migration Service y migrar datos de la base de datos de origen a la de destino, debes establecer conectividad entre ellas.

Conectividad de la fuente

Database Migration Service admite los métodos de conectividad de red de lista de IP permitidas, túnel SSH de reenvío e intercambio de tráfico entre VPC.

Usa la información de la siguiente tabla para decidir qué método es mejor para tu carga de trabajo específica.

Método de red Descripción Ventajas Desventajas
Lista de IP de anunciantes permitidos

Funciona configurando el servidor de base de datos de origen para permitir conexiones entrantes desde las direcciones IP públicas de Database Migration Service.
  • Fácil de configurar
  • La base de datos de origen está expuesta a una dirección IP pública.
  • La conexión no está encriptada de forma predeterminada. Se debe habilitar SSL en la base de datos de origen para encriptar la conexión.
  • Es posible que la configuración del firewall requiera asistencia del departamento de TI.
Túnel SSH de reenvío

Establece una conexión encriptada a través de redes públicas entre Database Migration Service y la fuente, mediante un túnel de SSH de reenvío.

Obtén más información sobre los túneles SSH.
  • Seguro
  • Ancho de banda limitado
  • Debes configurar y mantener el host de bastión.
Intercambio de tráfico entre VPC Funciona a través de la creación de una configuración de conectividad privada. Database Migration Service usa esta configuración para comunicarse con la fuente de datos a través de una red privada. Esta comunicación se realiza a través de una conexión de intercambio de tráfico de nube privada virtual (VPC).
  • Canal privado y seguro
  • Fácil de configurar
  • Requiere una conexión de red privada (VPN, Interconnect, etc.) entre la base de datos y Google Cloud.

Conectividad de destino

Usa Private Service Connect para establecer conectividad privada con tu base de datos de destino de Cloud SQL.

Configura la conectividad mediante listas de IP permitidas

Para que Database Migration Service transfiera datos de una base de datos de origen a una de destino, primero debe conectarse a esta base de datos.

Una forma de configurar esta conectividad es a través de las listas de IP permitidas. La conectividad de IP pública es más apropiada cuando la base de datos de origen es externa a Google Cloud y tiene un puerto TCP y una dirección IPv4 de acceso externo.

Si tu base de datos de origen es externa a Google Cloud, agrega las direcciones IP públicas de Database Migration Service como una regla de firewall entrante en la red de origen. En términos generales (la configuración de red específica puede diferir), haz lo siguiente:

  1. Abre las reglas de firewall de red de la máquina de la base de datos de origen.

  2. Crea una regla entrante.

  3. Establece la dirección IP de la base de datos de origen en las direcciones IP de Database Migration Service.

  4. Configura el protocolo en TCP.

  5. Configura el puerto asociado con el protocolo TCP como 1521.

  6. Guarda la regla de firewall y, luego, sal.

Usa un túnel SSH

Paso 1: Elige un host en el que finalizar el túnel

El primer paso para configurar el acceso al túnel SSH de tu base de datos es elegir el host que se usará para finalizar el túnel. El túnel se puede finalizar en el host de la base de datos o en un host independiente (el servidor de túnel).

Usa el servidor de la base de datos

La terminación del túnel en la base de datos tiene la ventaja de la simplicidad. Hay un host menos involucrado, por lo que no hay máquinas adicionales ni sus costos asociados. La desventaja es que tu servidor de base de datos puede estar en una red protegida que no tiene acceso directo desde Internet.

Usa un servidor de túnel

Terminar el túnel en un servidor independiente tiene la ventaja de mantener el servidor de base de datos inaccesible desde Internet. Si el servidor de túnel está comprometido, se quita un paso del servidor de base de datos. Te recomendamos que quites todo el software y los usuarios no esenciales del servidor de túnel y lo supervises de cerca con herramientas, como un sistema de detección de intrusiones (IDS).

El servidor de túnel puede ser cualquier host Unix/Linux que cumpla con los siguientes requisitos:

  1. Permita el acceso desde Internet a través de SSH.
  2. Pueda acceder a la base de datos.

Paso 2: Crea una lista de IP permitidas

El segundo paso para configurar el acceso al túnel SSH de tu base de datos es permitir que el tráfico de red llegue al servidor del túnel o al host de la base de datos a través de SSH, que generalmente se encuentra en el puerto TCP 22.

Permite el tráfico de red desde cada una de las direcciones IP de la región en la que se crean los recursos de Database Migration Service.

Paso 3: Usa el túnel SSH

Proporciona los detalles del túnel en la configuración del perfil de conexión. Para obtener más información, consulta Cómo crear un perfil de conexión.

Para autenticar la sesión del túnel SSH, Database Migration Service requiere la contraseña de la cuenta del túnel o una clave privada única. Para usar una clave privada única, puedes usar las herramientas de línea de comandos de OpenSSL para generar un par de claves, que consta de una clave privada y una clave pública.

Database Migration Service almacena la clave privada de forma segura como parte de la configuración de su perfil de conexión. Debes agregar la clave pública manualmente al archivo ~/.ssh/authorized_hosts del host de bastión.

Configura la conectividad privada a la base de datos de origen

La conectividad privada es una conexión entre tu red de VPC y la red privada de Database Migration Service, lo que permite que este servicio se comunique con recursos internos mediante direcciones IP internas. El uso de la conectividad privada establece una conexión dedicada en la red de Database Migration Service, lo que significa que ningún otro cliente puede compartirla.

Si tu base de datos de origen es externa a Google Cloud, la conectividad privada permite que Database Migration Service se comunique con tu base de datos a través de VPN o interconexión.

Después de crear una configuración de conectividad privada, una sola configuración puede servir para todas las migraciones en un proyecto dentro de una misma región.

En un nivel superior, establecer la conectividad privada requiere lo siguiente:

  • Una nube privada virtual (VPC) existente
  • Un rango de IP disponible con un bloque CIDR mínimo de /29

Si tu proyecto usa una VPC compartida, también deberás habilitar las APIs de Database Migration Service y Google Compute Engine, además de otorgar permisos a la cuenta de servicio de Database Migration Service en el proyecto host.

Obtén más información para crear una configuración de conectividad privada para tu base de datos de origen.

Configura la conectividad privada a la base de datos de destino

Database Migration Service usa Private Service Connect para conectarse de forma privada a tu instancia de Cloud SQL de destino. Puedes exponer el puerto TCP de la base de datos a conexiones seguras entrantes y, al mismo tiempo, mantener el control sobre quién puede acceder a la base de datos configurando un vinculo de servicio en tu proyecto.

Obtén más información para crear una configuración de conectividad privada para tu base de datos de destino.