來源資料庫連線的網路方法

透過集合功能整理內容 你可以依據偏好儲存及分類內容。

如要將資料從來源資料庫伺服器移至 AlloyDB for PostgreSQL 目的地叢集，資料庫移轉服務需要連線至來源執行個體。您可以透過公用網際網路建立連線，也可以透過專案虛擬私有雲 (VPC) 中的一系列私人連線建立連線。

本頁面將概略介紹每種可用的來源資料庫連線方法，並提供建議，協助您選擇適合移轉的解決方案：

• 方法比較：提供可用來源連線方法的比較表。

• IP 許可清單：說明來源資料庫的公開 IP 的網路連線。

• 轉送安全殼層通道：提供專用安全殼層 (SSH) 通道的概略說明。

• 私人連線說明如何建立連線，連線至來源資料庫的私人 IP。

熟悉各種連線方法及其需求後，您可以使用 決策樹狀圖，為您的情境挑選合適的解決方案。

方法比較

每種連線方式都有不同的優點和需求。請參閱下表，一目瞭然地比較各項方法，然後在各個方法專屬的部分進一步瞭解詳情。

網路方法	優點	缺點
IP 許可清單	最簡單的連線方法。 當您無法透過 Google Cloud中的私人網路存取來源資料庫時，這項功能就很實用。	您必須將來源資料庫伺服器的 IPv4 位址公開給公開網際網路。這需要額外的安全措施。 舉例來說，建議您使用 TLS 憑證和防火牆規則來確保連線安全。 如要設定防火牆規則，可能需要資訊部門的協助。 資料庫移轉服務不支援在 Oracle Real Application Clusters (RAC) 環境中，使用單一用戶端存取名稱 (SCAN) 功能直接連線至資料庫。如要瞭解如何在這些環境中使用公開 IP 許可清單連線，請參閱 排解 Oracle SCAN 錯誤。
SSH 轉送通道	比透過公開 IP 連線搭配 IP 許可清單更安全。 初始連線會透過安全殼層 (SSH) 通訊埠，透過公開網際網路建立。連線啟用後，所有流量都會透過安全的私人連線傳輸。 在無法透過 Google Cloud中的私人網路存取來源資料庫，但又不想將來源資料庫伺服器直接公開給公用網路時，這項功能就很實用。	使用中繼伺服器 (轉送 SSH 通道機器) 進行連線可能會導致額外的延遲。 您必須設定並維護前端 SSH 主機伺服器。在整個遷移期間，伺服器必須保持連線。
透過虛擬私有雲連線	連線會連至來源資料庫的私人 IP 位址。 這種連線方法最適合用於可從 Google Cloud 虛擬私有雲網路存取私人 IP 位址的來源。	如果是 Google Cloud 虛擬私有雲之外的來源，您可能需要使用其他網路元件，例如 Cloud VPN 或反向 Proxy VM。 您必須具備 已啟用私人服務存取權的虛擬私有雲，才能使用虛擬私有雲對等連線。

來源資料庫連線的 IP 許可清單

使用 IP 許可清單連線方法時，資料庫遷移服務會嘗試連線至來源資料庫伺服器的公開 IP 位址。

IP 許可清單連線需求

整體來說，如要使用這個連線方法，您必須確保以下事項：

• 您必須將來源的 IP 位址公開給一般網際網路 (直接公開，或透過網域名稱伺服器 (DNS) 提供公開認可的主機名稱)。

• 資料庫移轉服務不支援在 Oracle Real Application Clusters (RAC) 環境中，使用單一用戶端存取名稱 (SCAN) 功能直接連線至資料庫。如要瞭解如何在這些環境中使用公開 IP 許可清單連線，請參閱 排解 Oracle SCAN 錯誤。

• 您必須允許從 資料庫移轉服務公開 IP 位址傳入的連線。

• 選用：根據預設，IP 許可清單連線會使用未加密的連線。建議您使用 TLS 憑證來確保連線安全。資料庫遷移服務支援不同的 TLS 類型，讓您可以根據來源資料庫支援的內容，選擇最佳解決方案。詳情請參閱「 使用 SSL/TLS 憑證加密網路連線」。

設定 IP 許可清單連線

設定公開 IP 連線時，步驟會因來源資料庫類型而異。如需詳細資訊，請參閱：

• 為自架來源設定 IP 許可清單連線

• 為 Amazon Web Services 中的來源設定 IP 許可清單連線

轉送 SSH 通道 (用於來源資料庫連線)

這種連線方式結合了公用和私人網路連線。連線本身會透過 Secure Shell (SSH) 通訊埠，連至通道主機伺服器的公開 IP 位址。連線啟用後，所有流量都會透過安全通道傳送至來源資料庫的私人 IP 位址。

轉送 SSH 通道的相關規定

如要建立連線，您必須在通道伺服器上將 SSH 通訊埠公開至網際網路。連線建立後，所有流量都會透過私人通道連線轉送。

您可以在代管來源資料庫的相同伺服器上終止通道，但建議您使用專屬的通道伺服器。這樣一來，您就不會直接將來源資料庫公開給大眾。通道伺服器可以是任何可透過網路使用 SSH 存取的 Unix 或 Linux 主機，並可存取來源資料庫。

針對某些連線情境，我們建議您使用 使用虛擬私有雲對等互連的私人連線網路連線方法，而非轉送 SSH 通道：

• 如果是位於 Google Cloud內部的自管來源，資料庫移轉服務可以透過私人連線設定存取來源資料庫的私人 IP。您不需要設定單獨的 SSH 伺服器來建立連線。

設定轉送 SSH 通道連線

透過轉送安全殼層通道設定連線時，所需步驟會因來源資料庫類型而異。如需詳細資訊，請參閱：

• 為自架來源設定透過轉送安全殼層通道的連線

• 為 Amazon Web Services 中的來源設定 IP 許可清單連線

私人連線和虛擬私有雲對等互連

這個方法可讓您透過虛擬私有雲 (VPC) 中的私人 IP 位址連線至來源。您不必將任何介面公開給公用網際網路，即可使用這個方法，但來源資料庫的 IP 位址或主機名稱必須可從 Google Cloud 虛擬私有雲存取。

視來源資料庫而定，您可能需要設定其他網路元件 (例如 Cloud VPN 或反向 Proxy VM)，才能使用這種連線方式：

私人 IP 連線的相關規定

這種連線方法最適合可從 Google Cloud 虛擬私有雲網路存取私人 IP 位址的來源。如果是位於 Google Cloud中的自架來源，您可以使用資料庫移轉服務中的 私人連線設定建立直接對等連線。對於其他類型的來源，您可能需要額外的網路元件，例如 Cloud VPN 或 反向 Proxy VM (或兩者皆有)。

如要啟用私人 IP 連線，您必須具備下列條件：

• 您必須具備 已啟用私人服務存取權的虛擬私有雲網路。

  這是您與資料庫移轉服務和來源資料庫伺服器對等的網路。您必須有足夠的空間，才能為這兩個元件分配 IP 範圍。

• 適用於 Amazon RDS for Oracle：您需要在要為資料庫移轉服務建立私人連線設定的相同 VPC 網路中，設定 Cloud VPN 或 Cloud Interconnect。如果無法在相同的 VPC 網路中建立私人連線設定，您必須 在 Compute Engine 上設定反向 Proxy 虛擬機器 (VM)。

使用虛擬私有雲對等互連設定私人 IP 連線

如要使用私人 IP 連線與虛擬私有雲對等互連，來源資料庫的私人 IP 必須可從虛擬私有雲存取。視網路架構而定，您可能需要使用其他元件，例如反向 Proxy VM 或 Cloud VPN。

如要進一步瞭解如何為不同資料庫來源設定私人 IP 連線，請參閱：

• 自架來源：請參閱 為自架來源設定私人 IP 連線與虛擬私有雲端對等連線。

• 適用於 Amazon RDS for Oracle：您需要使用 Cloud VPN 或 Cloud Interconnect，才能建立連線，連線至來源資料庫的私人 IP。請參閱： 為 Amazon RDS 來源設定私人 IP 連線與虛擬私有雲對等連線。

來源網路連線決策樹狀圖

熟悉所有支援的來源連結方法及其相關需求後，您可以按照圖表中的提問，選擇適合情境的連結方法。

後續步驟

• 瞭解目的地資料庫連線。請參閱 目的地資料庫連線的網路方法。

• 如需完整的逐步遷移操作說明，請參閱 Oracle 到 PostgreSQL 適用的 AlloyDB 遷移指南。