Pode migrar os seus dados através de redes privadas estabelecendo a conetividade entre os endereços IP privados das bases de dados de origem e de destino. Pode usar uma das duas abordagens. Para configurar endereços IP privados para a base de dados de destino, pode usar o acesso a serviços privados ou o Private Service Connect.
Cada método de ligação oferece vantagens e desvantagens distintas. Certifique-se de que escolhe a abordagem que melhor se adequa ao seu cenário. Para mais informações acerca do acesso a serviços privados e do Private Service Connect no AlloyDB para PostgreSQL, consulte a vista geral do IP privado na documentação do AlloyDB para PostgreSQL.
Configure a conetividade através do intercâmbio da VPC
O intercâmbio das redes da VPC funciona através da configuração das VPCs para comunicarem entre si. Se a origem estiver no mesmo Google Cloud projeto no AlloyDB ou no Compute Engine, isto permite que o destino comunique diretamente com a origem. Se a sua origem for acessível com a VPN, configure a rede de origem e a Cloud VPN para comunicarem entre si com a VPN. Para mais informações, consulte o artigo Ligar VPCs através de VPNs.O encadeamento de VPCs não é suportado. Se a origem estiver num Google Cloud projeto diferente, consulte a vista geral da VPC partilhada para saber como ligar recursos de vários projetos a uma rede VPC comum para o intercâmbio de VPCs.
A firewall do servidor da base de dados de origem tem de ser configurada para permitir todo o intervalo de IP interno atribuído à ligação de serviço privado da rede VPC que a instância de destino do AlloyDB vai usar.
Para encontrar o intervalo de IPs internos na consola:
Aceda à página Redes VPC na Google Cloud consola.
Selecione a rede de VPC que quer usar.
Selecione o separador LIGAÇÃO DE SERVIÇO PRIVADA.
pg_hba.conf
ou as definições dos grupos de segurança na AWS RDS na base de dados de origem são atualizadas para aceitar ligações do intervalo de endereços IP da VPC do AlloyDB.
A interligação de VPCs usa o acesso a serviços privados, que tem de ser configurado uma vez para cada projeto que usa a interligação de VPCs. Depois de
estabelecer private services access, teste a tarefa de
migração para verificar a conetividade.
Configurar o acesso a serviços privados para o Database Migration Service
Se estiver a usar o IP privado para qualquer uma das suas instâncias do Database Migration Service, só tem de configurar o acesso a serviços privados uma vez para cada projeto do Google Cloud que tenha ou precise de se ligar a uma instância do Database Migration Service.
O estabelecimento do acesso a serviços privados requer a função do IAM compute.networkAdmin. Depois de o acesso aos serviços privados ser estabelecido para a sua rede, já não precisa da função do IAM compute.networkAdmin para configurar uma instância para usar o IP privado.
O acesso privado aos serviços requer que primeiro atribua um intervalo de endereços IP internos, crie uma ligação privada e, em seguida, exporte uma rota personalizada.
Um intervalo atribuído é um bloco CIDR reservado que não pode ser usado na sua rede VPC local. Quando cria uma associação privada, especifica uma atribuição. A ligação privada associa a sua rede VPC à rede VPC subjacente ("produtor de serviços").
Quando cria uma ligação privada, a rede da VPC e a rede do produtor de serviços trocam apenas rotas de sub-rede. Tem de exportar os encaminhamentos personalizados da rede VPC para que a rede do fornecedor de serviços os possa importar e encaminhar corretamente o tráfego para a sua rede no local.
Uma configuração de intercâmbio estabelece a intenção de estabelecer ligação a outra rede VPC. A sua rede e a outra rede não estão ligadas até que cada uma tenha uma configuração de peering para a outra. Depois de a outra rede ter uma configuração correspondente para estabelecer uma relação de intercâmbio com a sua rede, o estado de intercâmbio muda para ATIVO em ambas as redes, e estas ficam ligadas. Se não existir uma configuração de peering correspondente na outra rede, o estado de peering permanece INACTIVE, o que indica que a sua rede não está ligada à outra.
Depois de estabelecer ligação, as duas redes trocam sempre rotas de sub-rede. Opcionalmente, pode importar encaminhamentos personalizados estáticos e dinâmicos de uma rede com peering se tiver sido configurada para os exportar
de interligação de redes VPC.O processo de configuração do acesso a serviços privados tem duas partes:
- Atribuir um intervalo de endereços IP. O intervalo abrange todas as suas instâncias.
- Criar uma ligação privada da sua rede VPC à rede do produtor de serviços.
Atribuir um intervalo de endereços IP
Consola
- Aceda à página Redes VPC na Google Cloud consola.
- Selecione a rede de VPC que quer usar.
- Selecione o separador Ligação de serviço privada.
- Selecione o separador Intervalos de IP atribuídos para serviços.
- Clique em Atribuir intervalo de IPs.
Para o Nome do intervalo atribuído, especifique
google-managed-services-VPC_NETWORK_NAME, ondeVPC_NETWORK_NAMEé o nome da rede VPC à qual está a estabelecer ligação (por exemplo,google-managed-services-default). A Descrição é opcional.Clique em ATRIBUIR para criar o intervalo atribuído.
gcloud
Efetue um dos seguintes passos:
Para especificar um intervalo de endereços e um comprimento do prefixo (máscara de sub-rede), use as flags
addresseseprefix-length. Por exemplo, para atribuir o bloco CIDR192.168.0.0/16, especifique192.168.0.0para o endereço e16para o comprimento do prefixo.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]Para especificar apenas um comprimento do prefixo (máscara de sub-rede), use a flag
prefix-length. Quando omite o intervalo de endereços, Google Cloud seleciona automaticamente um intervalo de endereços não usado na sua rede VPC. O exemplo seguinte seleciona um intervalo de endereços IP não usado com um comprimento do prefixo de16bits.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]
Substitua [VPC_NETWORK_NAME] pelo nome da sua rede VPC, como my-vpc-network.
O exemplo seguinte atribui um intervalo de IP que permite que os recursos na rede VPC my-vpc-network se liguem a instâncias do serviço de migração de bases de dados através de IP privado.
gcloud compute addresses create google-managed-services-my-vpc-network \
--global \
--purpose=VPC_PEERING \
--prefix-length=16 \
--network=my-vpc-network \
--project=my-project
Criar uma ligação privada
Consola
- Aceda à página Redes VPC na Google Cloud consola.
- Selecione a rede de VPC que quer usar.
- Selecione o separador Ligação de serviço privada.
- Selecione o separador Ligações privadas a serviços.
- Clique em Criar ligação para criar uma ligação privada entre a sua rede e um produtor de serviços.
- Para a Atribuição atribuída, selecione um ou mais intervalos atribuídos existentes que não estejam a ser usados por outros produtores de serviços e, de seguida, clique em OK.
- Clique em ASSOCIAR para criar a associação.
gcloud
Crie uma ligação privada.
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=google-managed-services-[VPC_NETWORK_NAME] \ --network=[VPC_NETWORK_NAME] \ --project=[PROJECT_ID]Substitua
[VPC_NETWORK_NAME]pelo nome da sua rede VPC e[PROJECT_ID]pelo ID do projeto que contém a sua rede VPC.O comando inicia uma operação de longa duração, devolvendo um nome de operação.
Verifique se a operação foi bem-sucedida.
gcloud services vpc-peerings operations describe \ --name=[OPERATION_NAME]Substitua
[OPERATION_NAME]pelo nome da operação devolvido no passo anterior.
Pode especificar mais do que um intervalo atribuído quando cria uma ligação privada. Por exemplo, se um intervalo tiver sido esgotado, pode atribuir intervalos adicionais. O serviço usa endereços IP de todos os intervalos fornecidos na ordem especificada.
Exportar rotas personalizadas
Atualize uma ligação de intercâmbio da rede da VPC existente para alterar se a sua rede da VPC exporta ou importa rotas personalizadas para ou a partir da rede da VPC de intercâmbio.
A sua rede importa encaminhamentos personalizados apenas se a rede de pares também exportar encaminhamentos personalizados, e a rede de pares recebe encaminhamentos personalizados apenas se os importar.
Consola
- Aceda à página Intercâmbio da rede da VPC na Google Cloud consola.
Aceda à página Intercâmbio da rede da VPC - Selecione a associação de peering a atualizar.
- Clique em EDITAR.
- Atualize as definições de encaminhamento personalizado selecionando ou desmarcando Importar encaminhamentos personalizados ou Exportar encaminhamentos personalizados.
- Clique em GUARDAR.
gcloud
Atualize a associação de peering para alterar as definições de importação ou exportação de rotas personalizadas.
gcloud compute networks peerings update [PEERING-NAME] \
--network=[MY-LOCAL-NETWORK] \
[--[no-]import-custom-routes] \
[--[no-]export-custom-routes]
Conceder a função de roles/servicenetworking.serviceAgent
gcloud beta services identity create \
--service=servicenetworking.googleapis.com \
--project=project-id
gcloud projects add-iam-policy-binding project-id \
--member="service-account-prefix@service-networking.iam.gserviceaccount.com" \
--role="roles/servicenetworking.serviceAgent"
Configure a conetividade através de interfaces do Private Service Connect
Para migrações homogéneas do AlloyDB for PostgreSQL, o AlloyDB for PostgreSQL pode usar interfaces do Private Service Connect para estabelecer uma ligação através de redes privadas. Este método de conetividade só está disponível quando migra para uma instância existente.
Para usar interfaces do Private Service Connect, faça o seguinte:
Crie um cluster do AlloyDB para PostgreSQL ativado para o Private Service Connect e uma instância principal nesse cluster. Consulte o artigo Ative o Private Service Connect na documentação do AlloyDB para PostgreSQL.
Configure o Private Service Connect para a conetividade de saída na sua instância. Consulte o artigo Configurar a conetividade de saída na documentação do AlloyDB para PostgreSQL.
Certifique-se de que a rede VPC onde cria a associação de rede é a rede onde pode alcançar o endereço IP privado da sua base de dados de origem.
Numa fase posterior, quando criar a tarefa de migração, selecione a interface do PSC para o método de conetividade.