Configura la conectividad de red a las fuentes de Amazon RDS for Oracle

En esta página, se describe cómo configurar la conectividad de red a las fuentes de Amazon RDS para Oracle para las migraciones heterogéneas de Oracle a Cloud SQL para PostgreSQL con Database Migration Service.

Existen tres métodos diferentes que puedes usar para configurar la conectividad de red necesaria para las migraciones desde fuentes de Amazon RDS para Oracle:

Para obtener más información sobre la conectividad de red de la base de datos de origen, consulta la descripción general de los métodos de redes de origen.

Configura la conectividad de la lista de IPs permitidas

Para usar el método de conectividad de la lista de IPs permitidas públicas, sigue estos pasos:

  1. En la consola de administración de AWS, realiza los siguientes pasos:
    1. Asegúrate de que tu base de datos de origen de Amazon RDS esté configurada para conexiones de IP públicas.
    2. Identifica el nombre del extremo y el número de puerto. Deberás ingresar estos valores cuando crees el perfil de conexión.

    Para obtener más información sobre cómo preparar tu instancia de Amazon RDS para Oracle, consulta Cómo conectarse a tu instancia de base de datos de Oracle en la documentación de Amazon RDS.

  2. Crea un grupo de seguridad que permita el tráfico desde Database Migration Service a tu VPC de Amazon RDS. Consulta Cómo crear un grupo de seguridad para proporcionar acceso a tu instancia de base de datos en tu VPC.

    Asegúrate de permitir todas las direcciones IP públicas de Database Migration Service para la región en la que creas el trabajo de migración.

  3. En una etapa posterior, cuando crees el perfil de conexión fuente, haz lo siguiente:
    1. En la sección Define connection details, usa el nombre del extremo de tu instancia para la IP de la base de datos de origen.
    2. En la sección Definir método de conectividad, selecciona Lista de IP permitidas.

Configura la conectividad a través de un túnel SSH de reenvío

Para conectarte a tu base de datos de origen con un túnel de Secure Shell (SSH), sigue estos pasos:

  1. Inicia una instancia de Amazon EC2 para que funcione como un túnel SSH de reenvío dedicado. Asegúrate de configurarlo en la misma VPC de Amazon en la que tienes tu Amazon RDS para Oracle de origen.

    Para obtener más información, consulta Comienza a usar Amazon EC2 en la documentación de Amazon.

  2. Conéctate a tu instancia de EC2 y configura el túnel SSH. Sigue estos pasos:
    1. Crea una cuenta de usuario independiente y dedicada para que Database Migration Service se conecte como: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restringe el acceso a la shell para la cuenta de Database Migration Service y, así, mejora la seguridad: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

    3. Decide qué método de autenticación quieres que use Database Migration Service cuando se conecte al túnel.

      Puedes usar una contraseña simple o generar claves SSH en el formato PEM que puedes subir más tarde a Database Migration Service cuando crees el perfil de conexión de origen.

      • Si quieres usar una contraseña, no necesitas configurar nada más. Recuerda la contraseña que creaste para la cuenta de TUNNEL_ACCOUNT_USERNAME.
      • Si deseas usar la autenticación basada en claves, debes generar un par de claves pública y privada. Por ejemplo, puedes usar la utilidad ssh-keygen:
        1. Genera el par de claves: 
              ssh-keygen -m PEM -f YOUR_KEY_NAME
        2. Copia la clave pública (YOUR_KEY_NAME.pub) en el directorio ~/.ssh/ de tu servidor de túnel.
        3. Guarda la clave privada. Deberás subirlo más adelante a Database Migration Service cuando crees el perfil de conexión de origen.
    4. Edita el archivo /etc/ssh/sshd_config para configurar el túnel SSH de reenvío de modo que coincida con los requisitos de tu organización. Te recomendamos que uses los siguientes parámetros de configuración: 
      # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
    5. Ejecuta el comando ssh para iniciar el túnel.

      Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

      • TUNNEL_SERVER_SSH_PORT con el número de puerto en el que tu servidor escucha las conexiones SSH.
      • SOURCE_DATABASE_PRIVATE_IP por la dirección IP privada de tu base de datos de origen El servidor SSH debe poder acceder a esa IP.
      • SOURCE_DATABASE_PORT con el número de puerto en el que tu base de datos de origen escucha las conexiones. El número de puerto predeterminado para las conexiones TCP en Oracle es 1433.
      • USERNAME con el nombre de la cuenta de usuario que ejecutará el túnel. Esta es una cuenta independiente de TUNNEL_ACCOUNT_USERNAME.
      • TUNNEL_SERVER_PUBLIC_IP con la IP pública de tu servidor de túnel SSH 
      ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  3. En una etapa posterior, cuando crees el perfil de conexión fuente, haz lo siguiente:
    1. En la sección Define connection details, usa el nombre del extremo de tu instancia para la IP de la base de datos de origen.
    2. En la sección Define connectivity method, selecciona Forward-SSH tunnel.
    3. Proporciona la dirección IP pública o el nombre de host de tu servidor SSH.
    4. Proporciona el puerto que designaste para las conexiones SSH en el servidor de túnel.
    5. Ingresa el nombre de usuario que creaste para que Database Migration Service se conecte como (es decir, el valor de TUNNEL_ACCOUNT_USERNAME).
    6. En el menú desplegable Método de autenticación, selecciona el método de autenticación que deseas usar con TUNNEL_ACCOUNT_USERNAME:
      • Si deseas usar la contraseña del usuario, selecciona Contraseña y, luego, ingresa la contraseña TUNNEL_ACCOUNT_USERNAME en el formulario.
      • Si configuraste tu servidor SSH para que use la autenticación basada en claves, selecciona Par de claves pública/privada y sube la clave privada que generaste con el comando ssh-keygen.

Configura la conectividad privada con el intercambio de tráfico entre VPC

Para usar la conectividad privada con fuentes de Amazon RDS para Oracle, debes tener configurado Cloud VPN o Cloud Interconnect en la misma red de VPC en la que deseas crear la configuración de conectividad privada para Database Migration Service. Si no puedes crear la configuración de conectividad privada en la red de VPC en la que tienes tu Cloud VPN o Cloud Interconnect, también necesitarás una máquina virtual (VM) de proxy inverso en Compute Engine para establecer la conexión.

Si no puedes usar Cloud VPN o Cloud Interconnect, te recomendamos que uses los métodos de conectividad de túnel de reenvío de SSH o lista de IPs permitidas.

Para usar la conectividad privada con el intercambio de tráfico entre VPC y Cloud VPN, sigue estos pasos:

  1. Configura la conectividad directa con Cloud VPN a tu instancia de Amazon RDS para PostgreSQL.

    Para obtener más información, consulta Crea conexiones de VPN con alta disponibilidad entre Google Cloud y AWS en la documentación de Cloud VPN.

  2. Opcional: Si no puedes crear la configuración de conectividad privada en la misma red de VPC en la que tienes la Cloud VPN, crea una máquina virtual (VM) de proxy inverso en Compute Engine para retransmitir las conexiones entre las VPC.
  3. En Database Migration Service, crea una configuración de conectividad privada para intercambiar tráfico con la red de VPC en la que tienes tu Cloud VPN.
  4. En una etapa posterior, cuando crees el perfil de conexión fuente, haz lo siguiente:
    1. En la sección Define connection details, ingresa la IP privada de tu instancia de Amazon RDS de origen.
    2. En la sección Define connectivity method, selecciona Private connectivity (VPC peering).
    3. En el menú desplegable, selecciona la configuración de conectividad privada que creaste en el paso anterior.