Panoramica
Per utilizzare Database Migration Service per eseguire la migrazione dei dati dal database di origine a quello di destinazione, devi stabilire la connettività tra i database.
Connettività dell'origine
Database Migration Service supporta i metodi di connettività di rete della lista consentita di IP, del tunnel SSH di forwarding e del peering VPC.
Utilizza le informazioni riportate nella tabella seguente per decidere quale metodo è più adatto al tuo carico di lavoro specifico.
| Metodo di networking | Descrizione | Vantaggi | Svantaggi |
|---|---|---|---|
| Lista consentita di IP | Funziona configurando il server del database di origine in modo da consentire le connessioni in entrata dagli indirizzi IP pubblici di Database Migration Service. |
|
|
| Tunnel SSH di forwarding |
Stabilisci una connessione criptata su reti pubbliche tra Database Migration Service e l'origine tramite un tunnel SSH di forwarding. Scopri di più sui tunnel SSH. |
|
|
| Peering VPC | Funziona creando una configurazione di connettività privata. Database Migration Service utilizza questa configurazione per comunicare con l'origine dati su una rete privata. Questa comunicazione avviene tramite una connessione in peering VPC (Virtual Private Cloud). |
|
|
Connettività di destinazione
Utilizza Private Service Connect per stabilire una connettività privata con il database di destinazione Cloud SQL.
Configurare la connettività utilizzando le liste consentite IP
Affinché Database Migration Service possa trasferire i dati da un database di origine a uno di destinazione, deve prima connettersi a questo database.
Un modo per configurare questa connettività è tramite le liste consentite IP. La connettività IP pubblico è più appropriata quando il database di origine è esterno a Google Cloud e ha un indirizzo IPv4 e una porta TCP accessibili dall'esterno.
Se il database di origine è esterno a Google Cloud, aggiungi gli indirizzi IP pubblici di Database Migration Service come regola firewall in entrata sulla rete di origine. In termini generici (le impostazioni di rete specifiche potrebbero essere diverse), svolgi i seguenti passaggi:
Apri le regole del firewall di rete della macchina del database di origine.
Crea una regola in entrata.
Imposta l'indirizzo IP del database di origine sugli indirizzi IP di Database Migration Service.
Imposta il protocollo su
TCP.Imposta la porta associata al protocollo
TCPsu1521.Salva la regola del firewall ed esci.
Utilizzare un tunnel SSH
Passaggio 1: scegli un host in corrispondenza del quale terminare il tunnel
Il primo passaggio per configurare un tunnel SSH per il tuo database consiste nella scelta dell'host da utilizzare come elemento finale del tunnel. Il tunnel può terminare sull'host del database stesso o su un host separato (server del tunnel).
Utilizzare il server di database
La terminazione del tunnel sul database offre il vantaggio della semplicità. Poiché si utilizza un host in meno, non sono necessari sistemi aggiuntivi e si evitano i costi associati. Lo svantaggio è costituito dal fatto che il server di database potrebbe trovarsi su una rete protetta non accessibile direttamente da internet.
Utilizzare un server del tunnel
La terminazione del tunnel su un server separato offre la possibilità di mantenere il server di database inaccessibile da internet. Se il server del tunnel viene compromesso, può essere rimosso in un singolo passaggio dal server di database. Ti consigliamo di rimuovere tutto il software e tutti gli utenti non essenziali dal server del tunnel e di monitorarlo attentamente con strumenti come un sistema di rilevamento delle intrusioni (IDS).
Il server del tunnel può essere costituito da un host Unix/Linux che sia:
- Accessibile da internet tramite SSH.
- Può accedere al database.
Passaggio 2: crea una lista consentita di indirizzi IP
Il secondo passaggio per configurare un tunnel SSH per il tuo database consiste nell'autorizzare il traffico di rete a raggiungere il server del tunnel o l'host del database tramite SSH, solitamente sulla porta TCP 22.
Consenti il traffico di rete da ciascuno degli indirizzi IP per la regione in cui vengono create le risorse di Database Migration Service.
Passaggio 3: utilizza il tunnel SSH
Fornisci i dettagli del tunnel nella configurazione del profilo di connessione. Per ulteriori informazioni, vedi Creare un profilo di connessione.
Per autenticare la sessione del tunnel SSH, Database Migration Service richiede la password per l'account del tunnel o una chiave privata univoca. Per utilizzare una chiave privata univoca, puoi utilizzare gli strumenti a riga di comando OpenSSL per generare una coppia di chiavi composta da una chiave privata e una chiave pubblica.
La chiave privata viene archiviata in modo sicuro da Database Migration Service nell'ambito della configurazione del profilo di connessione. Devi aggiungere la chiave pubblica manualmente al file ~/.ssh/authorized_hosts dell'bastion host.
Configurare la connettività privata al database di origine
La connettività privata è una connessione tra la tua rete VPC e la rete privata di Database Migration Service, che consente a Database Migration Service di comunicare con le risorse interne utilizzando indirizzi IP interni. L'utilizzo della connettività privata stabilisce una connessione dedicata sulla rete di Database Migration Service, il che significa che nessun altro cliente può condividerla.
Se il database di origine è esterno a Google Cloud, la connettività privata consente a Database Migration Service di comunicare con il database tramite VPN o Interconnect.
Una volta creata una configurazione di connettività privata, una singola configurazione può gestire tutte le migrazioni in un progetto all'interno di una singola regione.
A livello generale, l'impostazione della connettività privata richiede:
- Un Virtual Private Cloud (VPC) esistente
- Un intervallo IP disponibile con un blocco CIDR minimo di /29
Se il progetto utilizza un VPC condiviso, devi anche attivare le API Database Migration Service e Google Compute Engine, nonché concedere le autorizzazioni all'account di servizio di Database Migration Service nel progetto host.
Scopri di più su come creare una configurazione di connettività privata per il database di origine.
Configura la connettività privata al database di destinazione
Database Migration Service utilizza Private Service Connect per connettersi in modo privato all'istanza Cloud SQL di destinazione. Puoi esporre la porta TCP del database alle connessioni sicure in entrata, mantenendo il controllo su chi può accedere al database, configurando un allegato del servizio nel progetto.
Scopri di più su come creare una configurazione di connettività privata per il database di destinazione.