Présentation
Pour utiliser Database Migration Service pour migrer des données de la base de données source vers la base de données de destination, vous devez établir une connectivité entre les bases de données.
Connectivité source
Database Migration Service est compatible avec les listes d'autorisation d'adresses IP, les tunnels SSH de transfert et les méthodes de connectivité réseau d'appairage VPC.
Utilisez les informations du tableau suivant pour déterminer la méthode qui vous convient le mieux pour votre charge de travail spécifique.
| Méthode de mise en réseau | Description | Avantages | Inconvénients |
|---|---|---|---|
| Liste d'autorisation d'adresses IP | Elle consiste à configurer le serveur de base de données source pour qu'il autorise les connexions entrantes provenant des adresses IP publiques de Database Migration Service. |
|
|
| Tunnel SSH de transfert |
Établissez une connexion chiffrée via des réseaux publics entre Database Migration Service et la source, via un tunnel SSH de transfert. En savoir plus sur les tunnels SSH. |
|
|
| Appairage de VPC | Fonctionne en créant une configuration de connectivité privée. Database Migration Service utilise cette configuration pour communiquer avec la source de données via un réseau privé. Cette communication se fait via une connexion d'appairage de cloud privé virtuel (VPC). |
|
|
Connectivité de destination
Utilisez Private Service Connect pour établir une connectivité privée avec votre base de données de destination Cloud SQL.
Configurer la connectivité à l'aide des listes d'autorisation d'adresses IP
Pour que Database Migration Service puisse transférer des données d'une base de données source vers une destination, il doit d'abord se connecter à cette base de données.
Pour configurer cette connectivité, vous pouvez utiliser des listes d'autorisations d'adresses IP. La connectivité IP publique est plus appropriée lorsque la base de données source est externe à Google Cloud et qu'elle dispose d'une adresse IPv4 et d'un port TCP accessibles en externe.
Si votre base de données source est externe à Google Cloud, ajoutez les adresses IP publiques de Database Migration Service dans une règle de pare-feu entrante sur le réseau source. En termes génériques (vos paramètres réseau spécifiques peuvent être différents), procédez comme suit :
Ouvrez les règles de pare-feu réseau de votre machine de base de données source.
Créez une règle entrante.
Définissez l'adresse IP de la base de données source sur les adresses IP de Database Migration Service.
Définissez le protocole sur
TCP.Définissez le port associé au protocole
TCPsur1521.Enregistrez la règle de pare-feu, puis quittez l'outil.
Utiliser un tunnel SSH
Étape 1 : Choisir l'hôte sur lequel mettre fin au tunnel
La première étape de la configuration de l'accès au tunnel SSH pour votre base de données consiste à choisir l'hôte qui sera utilisé pour mettre fin au tunnel. Le tunnel peut être arrêté sur l'hôte de la base de données lui-même ou sur un hôte distinct (le serveur de tunnel).
Utiliser le serveur de base de données
La suppression du tunnel sur la base de données présente l'avantage d'être simple. Comme il y a moins d'hôtes impliqués, il n'y a pas de machines supplémentaires ni leurs coûts associés. L'inconvénient est que votre serveur de base de données peut se trouver sur un réseau protégé sans accès direct via Internet.
Utiliser un serveur de tunnel
Le fait de terminer le tunnel sur un serveur distinct présente l'avantage de rendre votre serveur de base de données inaccessible depuis Internet. Si le serveur de tunnel est compromis, il est éloigné du serveur de base de données. Nous vous recommandons de supprimer tous les logiciels et utilisateurs non essentiels du serveur de tunnel et de le surveiller de près à l'aide d'outils tels qu'un système de détection des intrusions (IDS).
Le serveur du tunnel peut être un hôte Unix/Linux qui :
- Est accessible sur Internet via SSH.
- peut accéder à la base de données ;
Étape 2 : Créer une liste d'autorisation d'adresses IP
La deuxième étape de la configuration de l'accès du tunnel SSH pour votre base de données consiste à autoriser le trafic réseau à atteindre le serveur du tunnel ou l'hôte de la base de données via SSH, généralement sur le port TCP 22.
Autorisez le trafic réseau de chacune des adresses IP de la région où les ressources Database Migration Service sont créées.
Étape 3 : Utiliser le tunnel SSH
Indiquez les détails du tunnel dans la configuration du profil de connexion. Pour en savoir plus, consultez la section Créer un profil de connexion.
Pour authentifier la session du tunnel SSH, Database Migration Service nécessite le mot de passe du compte de tunnel ou une clé privée unique. Pour utiliser une clé privée unique, vous pouvez utiliser les outils de ligne de commande OpenSSL pour générer une paire de clés, composée d'une clé privée et d'une clé publique.
La clé privée est stockée de manière sécurisée par Database Migration Service dans le cadre de la configuration de son profil de connexion. Vous devez ajouter manuellement la clé publique au fichier ~/.ssh/authorized_hosts de l'hôte bastion.
Configurer la connectivité privée à la base de données source
La connectivité privée est une connexion entre votre réseau VPC et le réseau privé de Database Migration Service. Elle permet à Database Migration Service de communiquer avec des ressources internes à l'aide d'adresses IP internes. L'utilisation d'une connectivité privée établit une connexion dédiée sur le réseau Database Migration Service, ce qui signifie que vous ne partagez cette connexion avec aucun autre client.
Si votre base de données source est externe à Google Cloud, la connectivité privée permet à Database Migration Service de communiquer avec votre base de données via VPN ou Interconnect.
Une fois une configuration de connectivité privée créée, une seule configuration peut gérer toutes les migrations d'un projet dans une même région.
En règle générale, l'établissement d'une connectivité privée nécessite les éléments suivants :
- Un cloud privé virtuel (VPC) existant
- Une plage d'adresses IP disponible avec un bloc CIDR minimal de /29
Si votre projet utilise un VPC partagé, vous devez également activer les API Database Migration Service et Google Compute Engine, ainsi que les autorisations du compte de service de Database Migration Service sur le projet hôte.
Découvrez comment créer une configuration de connectivité privée pour votre base de données source.
Configurer la connectivité privée à la base de données de destination
Database Migration Service utilise Private Service Connect pour se connecter de manière privée à votre instance Cloud SQL de destination. Vous pouvez exposer le port TCP de la base de données aux connexions entrantes sécurisées, tout en contrôlant qui peut accéder à la base de données en configurant une pièce jointe de service dans votre projet.
Découvrez comment créer une configuration de connectivité privée pour votre base de données de destination.