Configurar a conectividade de rede com fontes do Amazon RDS for Oracle

Esta página descreve como configurar a conectividade de rede com o Amazon RDS para origens Oracle para migrações heterogêneas do Oracle para o AlloyDB para PostgreSQL com o Database Migration Service.

Há três métodos diferentes que você pode usar para configurar a conectividade de rede necessária para migrações do Amazon RDS para origens Oracle:

Para saber mais sobre a conectividade de rede do banco de dados de origem, consulte Visão geral dos métodos de rede de origem .

Configurar conectividade da lista de permissões de IP

Para usar o método de conectividade da lista de permissões de IP público, siga estas etapas:

  1. No AWS Management Console, execute as seguintes etapas:
    1. Certifique-se de que seu banco de dados de origem do Amazon RDS esteja configurado para conexões de IP públicas.
    2. Identifique o nome do endpoint e o número da porta. Você precisa inserir esses valores ao criar o perfil de conexão.

    Para obter mais informações sobre como preparar sua instância do Amazon RDS para Oracle, consulte Conectando-se à sua instância do Oracle DB na documentação do Amazon RDS.

  2. Crie um grupo de segurança que permita o tráfego do Database Migration Service para sua VPC do Amazon RDS. Consulte Forneça acesso à sua instância de banco de dados na sua VPC criando um grupo de segurança .

    Certifique-se de permitir todos os endereços IP públicos do Database Migration Service para a região onde você cria o trabalho de migração.

  3. Em um estágio posterior, ao criar o perfil de conexão de origem , faça o seguinte:
    1. Na seção Definir detalhes da conexão , use o nome do ponto de extremidade da sua instância para o IP do banco de dados de origem.
    2. Na seção Definir método de conectividade , selecione Lista de permissões de IP .

Configurar conectividade por meio de um túnel SSH de encaminhamento

Para se conectar ao seu banco de dados de origem com um túnel Secure Shell (SSH), siga estas etapas:

  1. Inicie uma instância do Amazon EC2 para servir como um túnel SSH de encaminhamento dedicado. Certifique-se de configurá-la na mesma Amazon VPC onde você tem o Amazon RDS de origem para Oracle.

    Para obter mais informações, consulte Introdução ao Amazon EC2 na documentação da Amazon.

  2. Conecte-se à sua instância EC2 e configure o túnel SSH. Siga estes passos:
    1. Crie uma conta de usuário separada e dedicada para o Database Migration Service para se conectar como: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restrinja o acesso ao shell para a conta do Serviço de Migração de Banco de Dados para aumentar a segurança: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

    3. Decida qual método de autenticação você deseja que o Database Migration Service use ao se conectar ao túnel.

      Você pode usar uma senha ou gerar chaves SSH no formato PEM que você pode carregar posteriormente no Database Migration Service ao criar o perfil de conexão de origem.

      • Se quiser usar uma senha, não precisa configurar nada adicional. Lembre-se da senha que você criou para a conta TUNNEL_ACCOUNT_USERNAME .
      • Se quiser usar autenticação baseada em chave, você precisa gerar um par de chaves pública e privada. Por exemplo, você pode usar o utilitário ssh-keygen :
        1. Gere o par de chaves: 
              ssh-keygen -m PEM -f YOUR_KEY_NAME
        2. Copie a chave pública ( YOUR_KEY_NAME .pub ) para o diretório ~/.ssh/ no seu servidor de túnel.
        3. Salve a chave privada. Você precisará enviá-la posteriormente para o Serviço de Migração de Banco de Dados ao criar o perfil de conexão de origem.
    4. Edite o arquivo /etc/ssh/sshd_config para configurar o túnel SSH de encaminhamento de acordo com os requisitos da sua organização. Recomendamos usar as seguintes configurações: 
      # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
    5. Execute o comando ssh para iniciar o túnel.

      Antes de usar qualquer um dos dados de comando abaixo, faça as seguintes substituições:

      • TUNNEL_SERVER_SSH_PORT com o número da porta onde seu servidor está escutando conexões SSH.
      • SOURCE_DATABASE_PRIVATE_IP pelo endereço IP privado do seu banco de dados de origem. O servidor SSH precisa conseguir acessar esse IP.
      • SOURCE_DATABASE_PORT com o número da porta onde seu banco de dados de origem está escutando conexões. O número de porta padrão para conexões TCP no Oracle é 1433 .
      • USERNAME com o nome da conta de usuário que executará o túnel. Esta é uma conta separada de TUNNEL_ACCOUNT_USERNAME .
      • TUNNEL_SERVER_PUBLIC_IP com o IP público do seu servidor de túnel SSH. 
      ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  3. Em um estágio posterior, ao criar o perfil de conexão de origem , faça o seguinte:
    1. Na seção Definir detalhes da conexão , use o nome do ponto de extremidade da sua instância para o IP do banco de dados de origem.
    2. Na seção Definir método de conectividade , selecione Túnel Forward-SSH .
    3. Forneça o endereço IP público ou o nome do host do seu servidor SSH.
    4. Forneça a porta que você designou para as conexões SSH no servidor de túnel.
    5. Insira o nome de usuário que você criou para o Database Migration Service se conectar (ou seja, o valor de TUNNEL_ACCOUNT_USERNAME ).
    6. No menu suspenso Método de autenticação , selecione o método de autenticação que deseja usar com TUNNEL_ACCOUNT_USERNAME :
      • Se quiser usar a senha do usuário, selecione Senha e digite a senha TUNNEL_ACCOUNT_USERNAME no formulário.
      • Se você configurou seu servidor SSH para usar autenticação baseada em chave, selecione Par de chaves privada/pública e carregue a chave privada que você gerou com o comando ssh-keygen .

Configurar conectividade privada com peering de VPC

Para usar a conectividade privada com o Amazon RDS para fontes Oracle, você precisa ter uma VPN na Nuvem ou um Cloud Interconnect configurado na mesma rede VPC onde pretende criar a configuração de conectividade privada para o Database Migration Service. Se não for possível criar a configuração de conectividade privada na rede VPC onde você tem sua VPN na Nuvem ou Cloud Interconnect, você também precisará de uma Máquina Virtual (VM) com proxy reverso no Compute Engine para estabelecer a conexão.

Se você não puder usar o Cloud VPN ou o Cloud Interconnect, recomendamos que você use o túnel SSH de encaminhamento ou os métodos de conectividade de lista de IP permitidos .

Para usar conectividade privada com peering de VPC e Cloud VPN, siga estas etapas:

  1. Configure a conectividade direta com o Cloud VPN para sua instância do Amazon RDS para PostgreSQL.

    Para obter mais informações, consulte Criar conexões de VPN de alta disponibilidade entre o Google Cloud e a AWS na documentação do Cloud VPN.

  2. Opcional: se você não puder criar a configuração de conectividade privada na mesma rede VPC em que você tem a VPN na nuvem, crie uma máquina virtual (VM) de proxy reverso no Compute Engine para encaminhar as conexões entre as VPCs.
  3. No Database Migration Service, crie uma configuração de conectividade privada para fazer peering com a rede VPC onde você tem sua VPN na nuvem.
  4. Em um estágio posterior, ao criar o perfil de conexão de origem , faça o seguinte:
    1. Na seção Definir detalhes da conexão , insira o IP privado da sua instância de origem do Amazon RDS.
    2. Na seção Definir método de conectividade , selecione Conectividade privada (peering de VPC) .
    3. No menu suspenso, selecione a configuração de conectividade privada que você criou na etapa anterior.