Cette page a été traduite par l'API Cloud Translation.

Configurer la connectivité à l'aide d'un tunnel SSH inversé

MySQL | PostgreSQL | PostgreSQL vers AlloyDB

Présentation

Vous pouvez établir la connectivité de la base de données de destination vers la base de données source via un tunnel SSH inversé sécurisé. Cette méthode nécessite une VM hôte bastion dans le projet Google Cloud , ainsi qu'une machine (par exemple, un ordinateur portable sur le réseau) connectée à la base de données source.

Database Migration Service pour PostgreSQL collecte les informations requises au moment de la création de la migration et génère automatiquement le script de configuration.

Consultez le diagramme suivant : Schéma du tunnel SSH inversé

Configurer un tunnel SSH inversé

Les étapes suivantes sont effectuées dans le flux Database Migration Service pour créer un job de migration afin de configurer un tunnel SSH inversé entre la base de données source et l'instance Cloud SQL. Après avoir fourni certains paramètres, vous exécutez un ensemble de commandes gcloud sur une machine connectée à la fois à la base de données source et à Google Cloud.

Sélectionnez l'instance de VM utilisée pour établir la connectivité entre la base de données source et l'instance Cloud SQL. Il s'agit généralement d'une VM exécutée dans le VPC où s'exécute l'application accédant à la nouvelle base de données Cloud SQL. L'instance de VM sert de serveur bastion du tunnel SSH.
Vous pouvez utiliser à cette fin une instance de VM Compute Engine existante.
1. Choisissez l'instance de VM Compute Engine dans la liste.
2. Indiquez un port libre que le tunnel SSH peut utiliser.
Remarque: Pour que le tunnel SSH inversé fonctionne, définissez le paramètre "GatewayPorts" sur "yes" dans le fichier /etc/ssh/sshd_config sur le serveur cible. Après avoir mis à jour le fichier, redémarrez le service sshd à l'aide de la commande sudo systemctl restart sshd.service.

Si vous ne souhaitez pas modifier la configuration de votre VM existante, créez-en une.
Vous pouvez également créer une VM à cette étape. Sélectionnez CREATE A COMPUTE ENGINE VM INSTANCE, et le script généré inclut des instructions pour le créer.
1. Attribuez un nom à l'instance de VM.
2. Sélectionnez un type de machine pour la VM.
3. Spécifier un sous-réseau pour la VM
Remarque: Une instance de VM Compute Engine créée par le script n'est pas gérée par Database Migration Service. Si une instance est créée, votre organisation est facturée en fonction des tarifs standards et est responsable de sa gestion, y compris de la suppression de l'instance lorsqu'elle n'est plus nécessaire.
Cliquez sur AFFICHER LE SCRIPT pour afficher le script généré.
Par défaut, le script génère une adresse IP publique pour le serveur de VM Compute Engine. Si vous souhaitez que l'adresse IP soit privée, procédez comme suit:
- Modifiez la commande gcloud compute instances create en ajoutant l'option --no-address.
- Modifiez la commande gcloud compute ssh en ajoutant l'indicateur --internal-ip.
Si vous souhaitez créer une VM hôte bastion sur un sous-réseau situé dans un VPC partagé, modifiez la commande export SUBNET_NAME du script généré pour qu'elle pointe vers /projects/project_name/regions/region_name/subnetworks/subnetwork_name.

Exemple :

export SUBNET_NAME=projects/myproject/regions/myregion/subnetworks/mysubnetwork

project_name correspond au nom du projet dans lequel se trouve le VPC partagé. Un projet comporte des régions et des sous-réseaux. region_name et subnetwork_name sont les noms de la région et du sous-réseau associés au projet VPC.
Assurez-vous que la section des connexions de réplication du fichier pg_hba.conf ou les définitions des groupes de sécurité AWS RDS sur la base de données source sont mises à jour pour accepter les connexions provenant de la plage d'adresses IP du VPC Cloud SQL.
Exécutez le script sur une machine ayant accès à la base de données source et à la VM Compute Engine. Le script effectue les opérations suivantes:
- Configure la VM Compute Engine en tant que serveur bastion de tunnel SSH.
- Établit une connexion SSH sécurisée entre la base de données source et le VPC.
- Si vous créez une VM Compute Engine, après avoir exécuté le script, copiez l'adresse IP du serveur de VM dans le résultat du script et saisissez-la dans le champ de texte fourni. L'instance Cloud SQL sera mise à jour si nécessaire lorsque vous testerez ou démarrerez la tâche de migration ultérieurement.
Cliquez sur CONFIGURER ET CONTINUER.
Vérifiez votre job de migration pour vous assurer qu'il a correctement migré les données de votre instance de base de données source vers l'instance de base de données Cloud SQL de destination.
Si votre source se trouve dans un VPN (par exemple, dans AWS ou dans votre propre VPN sur site), consultez la section Connecter des VPC via des VPN pour en savoir plus sur la configuration du VPN source et de Google Cloud VPN afin qu'ils fonctionnent ensemble.
Une fois votre tâche de migration configurée, la connectivité vérifiée et les VPN configurés correctement si nécessaire, vous pouvez l'exécuter.