Esta página foi traduzida pela API Cloud Translation.

Configurar a conectividade usando o túnel SSH reverso

MySQL | PostgreSQL | PostgreSQL para AlloyDB

Visão geral

É possível estabelecer a conectividade do banco de dados de destino para o de origem por um túnel SSH reverso seguro. Esse método exige uma VM Bastion Host no Google Cloud e uma máquina (por exemplo, um laptop na rede) com conectividade ao banco de dados de origem.

O Database Migration Service para PostgreSQL coleta as informações necessárias no momento da criação da migração e gera automaticamente o script para configurá-las.

Confira o diagrama a seguir: Diagrama do túnel SSH reverso

Configurar um túnel SSH reverso

As etapas a seguir são realizadas no fluxo do Database Migration Service para criar um job de migração e configurar um túnel SSH reverso entre o banco de dados de origem e a instância do Cloud SQL. Depois de fornecer alguns parâmetros, execute um conjunto de comandos gcloud em uma máquina que tenha conectividade com o banco de dados de origem e com o Google Cloud.

Selecione a instância de VM usada para estabelecer a conectividade entre o banco de dados de origem e a instância do Cloud SQL. Normalmente, é uma VM executada na VPC em que o aplicativo que acessa o novo banco de dados do Cloud SQL é executado. A instância de VM serve como bastion server do túnel SSH.
Você pode usar uma instância de VM do Compute Engine para essa finalidade.
1. Escolha a instância de VM do Compute Engine na lista.
2. Forneça uma porta disponível que o túnel SSH possa usar.
Observação: para que o túnel SSH reverso funcione, defina o parâmetro "GatewayPorts" como "yes" no arquivo /etc/ssh/sshd_config no servidor de destino. Depois de atualizar o arquivo, reinicie o serviço sshd usando o comando sudo systemctl restart sshd.service.

Se você não quiser mudar a configuração da VM atual, crie uma nova.
Como alternativa, crie uma nova VM nesta etapa. Selecione CREATE A COMPUTE ENGINE VM INSTANCE, e o script gerado inclui instruções para criá-lo.
1. Informe um nome para a instância de VM.
2. Selecione um tipo de máquina para a VM.
3. Especificar uma sub-rede para a VM
Observação: uma instância de VM do Compute Engine criada pelo script não é gerenciada pelo Database Migration Service. Se uma instância for criada, sua organização vai receber cobranças pela instância com base no preço padrão e será responsável pelo gerenciamento dela, incluindo a exclusão da instância quando ela não for mais necessária.
Clique em VER ROTEIRO para conferir o script gerado.
Por padrão, o script vai gerar um endereço IP público para o servidor de VM do Compute Engine. Se você quiser que o endereço IP seja particular, faça o seguinte:
- Adicione a flag --no-address para alterar o comando gcloud compute instances create.
- Altere o comando gcloud compute ssh adicionando a flag --internal-ip.
Além disso, se você quiser criar uma VM Bastion Host em uma sub-rede que está em uma VPC compartilhada, altere o comando export SUBNET_NAME do script gerado para apontar para /projects/project_name/regions/region_name/subnetworks/subnetwork_name.

Exemplo:

export SUBNET_NAME=projects/myproject/regions/myregion/subnetworks/mysubnetwork

project_name é o nome do projeto em que a VPC compartilhada está localizada. Um projeto tem regiões e sub-redes. region_name e subnetwork_name são os nomes da região e da sub-rede associadas ao projeto da VPC.
Verifique se a seção de conexões de replicação do arquivo pg_hba.conf ou as definições dos grupos de segurança do AWS RDS no banco de dados de origem estão atualizadas para aceitar conexões do intervalo de endereços IP da VPC do Cloud SQL.
Execute o script em uma máquina que tenha acesso ao banco de dados de origem e à VM do Compute Engine. O script executa as seguintes operações:
- Configura a VM do Compute Engine como um bastion server de túnel SSH.
- Estabelece uma conexão SSH segura entre o banco de dados de origem e a VPC.
- Se você estiver criando uma nova VM do Compute Engine, depois de executar o script, copie o IP do servidor da VM da saída do script e insira-o no campo de texto fornecido. A instância do Cloud SQL será atualizada conforme necessário quando você testar ou iniciar o job de migração mais tarde.
Clique em CONFIGURAR E CONTINUAR.
Verifique o job de migração para confirmar se ele migrou os dados corretamente da instância de banco de dados de origem para a instância de destino do Cloud SQL.
Se a origem estiver em uma VPN (na AWS, por exemplo, ou na sua própria VPN local), acesse a seção sobre como conectar VPCs por meio de VPNs para mais informações sobre como configurar a VPN de origem e a VPN do Google Cloud para que funcionem entre si.
Depois que o job de migração for configurado, a conectividade será verificada e as VPNs serão configuradas, se necessário. Em seguida, será possível executar o job.