您可以單獨建立連線設定檔,也可以在建立特定遷移工作的情況下建立。無論如何,所有連線設定檔皆可在「連線設定檔」頁面中查看及修改,並可在各項遷移工作中重複使用。
如果擁有來源存取資訊的使用者與建立遷移工作的使用者不同,建立來源連線設定檔就很有用。您也可以在多個遷移工作中重複使用來源連線設定檔定義。
如要建立來源連線設定檔,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「連線設定檔」頁面。
- 按一下 Create profile。
- 在「建立連線設定檔」頁面中,提供連線至來源所需的下列資訊:
- 在「Profile role」(設定檔角色) 清單中選取「Source」(來源)。
在「資料庫引擎」清單中,選取來源資料庫引擎。
- 輸入連線設定檔名稱。這會用於連線設定檔清單,以及在建立遷移工作時選取現有連線設定檔時。
- 保留系統自動產生的連線設定檔 ID。
輸入主機名稱或 IP 位址。
如果來源資料庫託管於 Google Cloud ,或是使用反向 SSH 通道將目的地資料庫連結至來源資料庫,請為來源資料庫指定私人 (內部) IP 位址。AlloyDB 目的地可存取這個地址。詳情請參閱「使用 VPC 對等互連功能設定連線」。
如為其他連線方式 (例如 IP 許可清單),請提供公開 IP 位址。
- 輸入用於存取主機的通訊埠。預設的 PostgreSQL 通訊埠為 5432。
- 輸入來源資料庫的使用者名稱和密碼。使用者必須具備這些權限。
在頁面上的「連線設定檔區域」部分,選取要儲存連線設定檔的區域。
選用:如果是透過公開網路建立連線 (使用 IP 許可清單),建議您在來源和目的地資料庫之間的連線使用 SSL/TLS 加密。
在「保護連線」部分的「加密類型」清單中,您可以選取下列任一 SSL/TLS 設定選項:
- None:AlloyDB 目標執行個體會連線至來源資料庫,但不會進行加密。
TLS 驗證:當 AlloyDB 目的地執行個體連線至來源資料庫時,執行個體會驗證來源,確保執行個體可安全地連線至正確的主機。這可防止中間人攻擊 (PITM)。針對 TLS 驗證,來源不會驗證執行個體。
如要使用 TLS 驗證,您必須提供簽署外部伺服器憑證的憑證授權單位 (CA) 的 x509 PEM 編碼憑證。
mTLS 驗證:當目的地執行個體連線至來源時,執行個體會驗證來源,而來源會驗證執行個體。
mTLS 驗證可提供最強的安全性。不過,如果您不想在建立 AlloyDB 目的地執行個體時提供用戶端憑證和私密金鑰,仍可使用 TLS 驗證。
如要使用 mTLS 驗證,您必須在建立來源連線設定檔時提供下列項目:
- 簽署來源資料庫伺服器憑證的 CA 憑證 (CA 憑證)。
- 執行個體用於驗證來源資料庫伺服器的憑證 (用戶端憑證)。
- 與用戶端憑證相關聯的私密金鑰 (用戶端金鑰)。
按一下頁面底部的 [建立]。
「Connection profiles」頁面隨即顯示,並顯示新建立的連線設定檔。