Puoi eseguire la migrazione dei dati su reti private stabilendo la connettività tra gli indirizzi IP privati dei database di origine e di destinazione. Per configurare gli indirizzi IP privati per il database di destinazione, puoi utilizzare l'accesso ai servizi privati o Private Service Connect.
Ogni metodo di connessione offre vantaggi e compromessi distinti. Assicurati di scegliere l'approccio più adatto al tuo scenario. Per saperne di più sull'accesso privato ai servizi e su Private Service Connect in AlloyDB per PostgreSQL, consulta la panoramica dell'IP privato nella documentazione di AlloyDB per PostgreSQL.
Configurare la connettività utilizzando il peering VPC
Il peering VPC funziona configurando i VPC in modo che comunichino tra loro. Se l'origine si trova nello stesso progetto Google Cloud in AlloyDB o Compute Engine, la destinazione può comunicare direttamente con l'origine. Se la tua origine è accessibile con la VPN, configura la rete di origine e Cloud VPN in modo che comunichino tra loro con la VPN. Per ulteriori informazioni, consulta Connessione di VPC tramite VPN.Il concatenamento di VPC non è supportato. Se l'origine si trova in un progetto Google Cloud diverso, consulta la panoramica del VPC condiviso per scoprire come connettere risorse di più progetti a una rete VPC comune per il peering VPC.
Il firewall del server di database di origine deve essere configurato per consentire l'intero intervallo IP interno allocato per la connessione di servizio privato della rete VPC che verrà utilizzata dall'istanza di destinazione AlloyDB.
Per trovare l'intervallo IP interno nella console:
Vai alla pagina Reti VPC nella console Google Cloud .
Seleziona la rete VPC che vuoi utilizzare.
Seleziona la scheda PRIVATE SERVICE CONNECTION.
pg_hba.conf o le definizioni dei gruppi di sicurezza in AWS RDS sul database di origine siano aggiornate in modo da accettare connessioni dall'intervallo di indirizzi IP del VPC di AlloyDB.
Il peering VPC utilizza l'accesso privato ai servizi,
che deve essere configurato una volta per ogni progetto che utilizza il peering VPC. Dopo aver
stabilito private services access, testa il
job di migrazione per verificare la connettività.
Configurazione dell'accesso privato ai servizi per Database Migration Service
Se utilizzi un IP privato per una delle tue istanze di Database Migration Service, devi configurare l'accesso privato ai servizi una sola volta per ogni progetto Google Cloud che ha o deve connettersi a un'istanza di Database Migration Service.
Per stabilire l'accesso privato ai servizi è necessario il ruolo IAM
compute.networkAdmin. Una volta stabilito l'accesso ai servizi privati per la tua rete, non hai più bisogno del ruolo IAM compute.networkAdmin per configurare un'istanza in modo che utilizzi l'IP privato.
L'accesso privato ai servizi richiede prima l'allocazione di un intervallo di indirizzi IP interni, poi la creazione di una connessione privata e infine l'esportazione di una route personalizzata.
Un intervallo allocato è un blocco CIDR riservato che non può essere utilizzato altrimenti nella tua rete VPC locale. Quando crei una connessione privata, specifichi un'allocazione. La connessione privata collega la tua rete VPC alla rete VPC sottostante ("producer di servizi").
Quando crei una connessione privata, la rete VPC e la rete del producer di servizi scambiano solo le route di subnet. Devi esportare le route personalizzate della rete VPC in modo che la rete del fornitore di servizi possa importarle e instradare correttamente il traffico verso la tua rete on-premise.
Una configurazione di peering stabilisce l'intenzione di connettersi a un'altra rete VPC. La tua rete e l'altra rete non sono connesse finché ognuna non ha una configurazione di peering per l'altra. Dopo che l'altra rete ha una configurazione corrispondente per il peering con la tua rete, lo stato del peering diventa ATTIVO in entrambe le reti e queste vengono connesse. Se nell'altra rete non è presente una configurazione di peering corrispondente, lo stato del peering rimane INACTIVE, a indicare che la tua rete non è connessa all'altra.
Una volta connesse, le due reti scambiano sempre le route di subnet. Se è stata configurata per esportarle, puoi importare facoltativamente route personalizzate sia statiche che dinamiche da una rete in peering.
La procedura di configurazione dell'accesso privato ai servizi è suddivisa in due parti:
- Assegnazione di un intervallo di indirizzi IP. L'intervallo comprende tutte le tue istanze.
- Creazione di una connessione privata dalla tua rete VPC alla rete del producer di servizi.
Assegnazione di un intervallo di indirizzi IP
Console
- Vai alla pagina Reti VPC nella console Google Cloud .
- Seleziona la rete VPC che vuoi utilizzare.
- Seleziona la scheda Private service connection.
- Seleziona la scheda Intervalli IP allocati per i servizi.
- Fai clic su Assegna intervallo IP.
Per il Nome dell'intervallo allocato, specifica
google-managed-services-VPC_NETWORK_NAME, doveVPC_NETWORK_NAMEè il nome della rete VPC a cui ti stai connettendo (ad esempio,google-managed-services-default). La Descrizione è facoltativa.Fai clic su ALLOCATE (ALLOCA) per creare l'intervallo allocato.
gcloud
Esegui una di queste operazioni:
Per specificare un intervallo di indirizzi e una lunghezza del prefisso (subnet mask), utilizza i flag
addresseseprefix-length. Ad esempio, per allocare il blocco CIDR192.168.0.0/16, specifica192.168.0.0per l'indirizzo e16per la lunghezza del prefisso.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]Per specificare solo una lunghezza del prefisso (subnet mask), utilizza il flag
prefix-length. Quando ometti l'intervallo di indirizzi, Google Cloud viene selezionato automaticamente un intervallo di indirizzi non utilizzato nella rete VPC. L'esempio seguente seleziona un intervallo di indirizzi IP non utilizzato con una lunghezza del prefisso di16bit.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]
Sostituisci [VPC_NETWORK_NAME] con il nome della tua rete VPC, ad esempio my-vpc-network.
L'esempio seguente alloca un intervallo IP che consente alle risorse nella
rete VPC my-vpc-network di connettersi alle istanze di Database Migration Service
utilizzando l'IP privato.
gcloud compute addresses create google-managed-services-my-vpc-network \
--global \
--purpose=VPC_PEERING \
--prefix-length=16 \
--network=my-vpc-network \
--project=my-project
Creazione di una connessione privata
Console
- Vai alla pagina Reti VPC nella console Google Cloud .
- Seleziona la rete VPC che vuoi utilizzare.
- Seleziona la scheda Private service connection.
- Seleziona la scheda Connessioni private ai servizi.
- Fai clic su Crea connessione per creare una connessione privata tra la tua rete e un producer di servizi.
- Per l'allocazione assegnata, seleziona uno o più intervalli allocati esistenti che non vengono utilizzati da altri produttori di servizi, quindi fai clic su Ok.
- Fai clic su CONNETTI per creare la connessione.
gcloud
Crea una connessione privata.
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=google-managed-services-[VPC_NETWORK_NAME] \ --network=[VPC_NETWORK_NAME] \ --project=[PROJECT_ID]Sostituisci
[VPC_NETWORK_NAME]con il nome della tua rete VPC e[PROJECT_ID]con l'ID del progetto che contiene la tua rete VPC.Il comando avvia un'operazione a lunga esecuzione, restituendo un nome operazione.
Controlla se l'operazione è andata a buon fine.
gcloud services vpc-peerings operations describe \ --name=[OPERATION_NAME]Sostituisci
[OPERATION_NAME]con il nome dell'operazione restituito dal passaggio precedente.
Puoi specificare più di un intervallo allocato quando crei una connessione privata. Ad esempio, se un intervallo è esaurito, puoi assegnare intervalli allocati aggiuntivi. Il servizio utilizza gli indirizzi IP di tutti gli intervalli forniti nell'ordine specificato.
Esportare route personalizzate
Aggiorna una connessione di peering di rete VPC esistente per modificare se la tua rete VPC esporta o importa route personalizzate verso o dalla rete VPC peer.
La tua rete importa route personalizzate solo se anche la rete peer le esporta e la rete peer le riceve solo se le importa.
Console
- Vai alla pagina Peering di rete VPC nella console Google Cloud .
Vai alla pagina Peering di rete VPC - Seleziona la connessione di peering da aggiornare.
- Fai clic su MODIFICA.
- Aggiorna le impostazioni delle route personalizzate selezionando o deselezionando Importa route personalizzate o Esporta route personalizzate.
- Fai clic su SALVA.
gcloud
Aggiorna la connessione di peering per modificare le impostazioni di importazione o esportazione per le route personalizzate.
gcloud compute networks peerings update [PEERING-NAME] \
--network=[MY-LOCAL-NETWORK] \
[--[no-]import-custom-routes] \
[--[no-]export-custom-routes]
Concessione del ruolo roles/servicenetworking.serviceAgent
gcloud beta services identity create \
--service=servicenetworking.googleapis.com \
--project=project-id
gcloud projects add-iam-policy-binding project-id \
--member="service-account-prefix@service-networking.iam.gserviceaccount.com" \
--role="roles/servicenetworking.serviceAgent"
Configurare la connettività utilizzando le interfacce Private Service Connect
Per le migrazioni omogenee di AlloyDB per PostgreSQL, AlloyDB per PostgreSQL può utilizzare interfacce Private Service Connect per stabilire una connessione tramite reti private. Questo metodo di connettività è disponibile solo quando esegui la migrazione a un'istanza esistente.
Per utilizzare le interfacce Private Service Connect:
Crea un cluster AlloyDB per PostgreSQL abilitato per Private Service Connect e un'istanza primaria in quel cluster. Consulta la sezione Attiva Private Service Connect nella documentazione di AlloyDB per PostgreSQL.
Configura Private Service Connect per la connettività in uscita sulla tua istanza. Consulta la sezione Configurare la connettività in uscita nella documentazione di AlloyDB per PostgreSQL.
Assicurati che la rete VPC in cui crei l'allegato di rete sia la rete in cui puoi raggiungere l'indirizzo IP privato del database di origine.
In una fase successiva, quando crei il job di migrazione, seleziona Interfaccia PSC per il metodo di connettività.