独自に作成することも、特定の移行ジョブのコンテキストで作成することも可能です。いずれの場合も、すべての接続プロファイルは [接続プロファイル] ページで確認、変更でき、移行ジョブ間で再利用できます。
ソース接続プロファイルを独自に作成すると、ソースのアクセス情報を持っているユーザーと移行ジョブを作成したユーザーが異なる場合に役立ちます。また、複数の移行ジョブでソース接続プロファイル定義を再利用することもできます。
ソース接続プロファイルを作成する手順は次のとおりです。
- Google Cloud コンソールで [接続プロファイル] ページに移動します。
- [プロファイルの作成] をクリックします。
- [接続プロファイルを作成] ページで、ソースへの接続に必要な次の情報を入力します。
- [Profile role] リストから [Source] を選択します。
[データベース エンジン] リストから、移行元データベース エンジンを選択します。
- 接続プロファイル名を入力します。これは、接続プロファイルのリストと、移行ジョブの作成時に既存の接続プロファイルが選択された場合に使用されます。
- 自動生成された接続プロファイル ID を保持します。
ホスト名またはIP アドレスを入力します。
ソース データベースが Google Cloud でホストされている場合、またはリバース SSH トンネルを使用して移行先データベースをソース データベースに接続する場合は、ソース データベースのプライベート(内部)IP アドレスを指定します。このアドレスには AlloyDB の宛先からアクセスできます。詳細については、VPC ピアリングを使用して接続を構成するをご覧ください。
IP 許可リストなどの他の接続方法の場合は、パブリック IP アドレスを指定します。
- ホストへのアクセスに使用するポートを入力します。PostgreSQL のデフォルト ポートは 5432 です。
- 移行元データベースのユーザー名とパスワードを入力します。ユーザーには次の権限が必要です。
ページの [接続プロファイルのリージョン] セクションで、接続プロファイルを保存するリージョンを選択します。
省略可: パブリック ネットワーク上で(IP 許可リストを使用して)接続している場合は、ソース データベースと宛先データベース間の接続に SSL/TLS 暗号化を使用することをおすすめします。
[接続を保護する] セクションの [暗号化タイプ] リストで、次のいずれかの SSL/TLS 構成オプションを選択します。
- なし: AlloyDB の宛先インスタンスは、暗号化なしでソース データベースに接続します。
TLS 認証: AlloyDB の宛先インスタンスがソース データベースに接続すると、インスタンスはソースを認証し、インスタンスが正しいホストに安全に接続していることを確認します。これにより、中間者(PITM)攻撃を防ぐことができます。TLS 認証の場合、ソースはインスタンスを認証しません。
TLS 認証を使用するには、外部サーバーの証明書に署名した認証局(CA)の x509 PEM エンコード証明書を指定する必要があります。
mTLS 認証: 宛先インスタンスがソースに接続すると、インスタンスはソースを認証し、ソースはインスタンスを認証します。
mTLS 認証は最も強力なセキュリティを提供します。ただし、AlloyDB 宛先インスタンスの作成時にクライアント証明書と秘密鍵を提供したくない場合は、TLS 認証を使用できます。
mTLS 認証を使用するには、ソース接続プロファイルを作成するときに次の項目を指定する必要があります。
- ソース データベース サーバーの証明書に署名した CA の証明書(CA 証明書)。
- インスタンスがソース データベース サーバーに対する認証に使用する証明書(クライアント証明書)。
- クライアント証明書に関連付けられた秘密鍵(クライアント鍵)。
ページの下部にある [作成] をクリックします。
[接続プロファイル] ページが表示され、新しく作成された接続プロファイルが表示されます。