Netzwerkverbindung zu selbst gehosteten Oracle-Quellen konfigurieren

Auf dieser Seite wird beschrieben, wie Sie die Netzwerkverbindung zu selbst gehosteten Oracle-Quellen für heterogene Oracle-zu-Cloud SQL for PostgreSQL-Migrationen mit Database Migration Service konfigurieren.

Es gibt drei verschiedene Methoden, mit denen Sie die erforderliche Netzwerkverbindung für Migrationen von selbst gehosteten Oracle-Quellen konfigurieren können:

Verbindung über IP-Zulassungsliste konfigurieren

So verwenden Sie die Verbindungsmethode „Öffentliche IP-Zulassungsliste“:

  1. Achten Sie darauf, dass Ihre Quelldatenbank eine IP-Adresse hat, die über das öffentliche Internet erreichbar ist. Sie müssen die IP-Adresse nicht verwenden, um eine Verbindung herzustellen. Wenn Sie einen DNS-Eintrag haben, der mit der IP-Adresse verknüpft ist, können Sie diesen stattdessen verwenden.
  2. Erstellen Sie auf Ihrem Quelldatenbankserver eine eingehende Firewallregel, um Verbindungen von Database Migration Service zu akzeptieren. Verwenden Sie die folgende Konfiguration:
    1. Verwenden Sie für den Regeltyp port.
    2. Fügen Sie für den zulässigen IP-Adressbereich alle öffentlichen IP-Adressen von Database Migration Service für die Region hinzu, in der Sie den Migrationsjob erstellen.
    3. Legen Sie TCP als Protokoll fest.
    4. Legen Sie die Portnummer, die der Regel zugeordnet ist, auf den Port fest, an dem Ihre Quelldatenbank auf eingehende Verbindungen wartet. Das ist dieselbe Portnummer, die Sie im Quellverbindungsprofil eingeben müssen.

      Oracle-Server verwenden standardmäßig den Port 1521.

    Die Schritte zum Konfigurieren von Firewallregeln hängen davon ab, welche Serversoftware Sie verwenden. Weitere Informationen finden Sie in der Dokumentation Ihres Firewallprodukts.

  3. Wenn Sie später das Quellverbindungsprofil erstellen, wählen Sie im Abschnitt Verbindungsmethode definieren die Option IP-Zulassungsliste aus.

Verbindung über einen Weiterleitungs-SSH-Tunnel konfigurieren

So stellen Sie über einen Secure Shell-Tunnel (SSH) eine Verbindung zu Ihrer Quelldatenbank her:

  1. Erstellen Sie eine VM, die den Tunnel zwischen Database Migration Service und Ihrer Quelldatenbank öffnen kann. Der Tunnelserver kann ein beliebiger Unix/Linux-Host mit folgenden Funktionen sein:
    • Kann über SSH über das öffentliche Internet erreicht werden.
    • Kann auf die private IP-Adresse Ihrer Quelldatenbank zugreifen.

  2. Erstellen Sie auf dem SSH-Server ein Nutzerkonto, das von Database Migration Service verwendet werden kann, um eine Verbindung zum SSH-Tunnel herzustellen.

    Auf einem Ubuntu-System können Sie beispielsweise die folgenden Befehle verwenden:

    1. Nutzerkonto erstellen: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Beschränken Sie den Shell-Zugriff für das Nutzerkonto, um die Sicherheit zu erhöhen: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

  3. Entscheiden Sie, welche Authentifizierungsmethode Database Migration Service verwenden soll, wenn eine Verbindung zum Tunnel hergestellt wird.

    Sie können ein Passwort verwenden oder SSH-Schlüssel im PEM-Format generieren, die Sie später in Database Migration Service hochladen können, wenn Sie das Quellverbindungsprofil erstellen.

    • Wenn Sie ein Passwort verwenden möchten, müssen Sie nichts zusätzlich konfigurieren. Merken Sie sich das Passwort, das Sie für das TUNNEL_ACCOUNT_USERNAME-Konto erstellt haben.
    • Wenn Sie die schlüsselbasierte Authentifizierung verwenden möchten, müssen Sie ein Paar aus einem privaten und einem öffentlichen Schlüssel generieren. Sie können beispielsweise das ssh-keygen-Tool verwenden:
      1. Schlüsselpaar generieren: 
        ssh-keygen -m PEM -f YOUR_KEY_NAME
      2. Kopieren Sie den öffentlichen Schlüssel (YOUR_KEY_NAME.pub) in das Verzeichnis ~/.ssh/ auf Ihrem Tunnelserver.
      3. Speichern Sie den privaten Schlüssel. Sie müssen es später in den Database Migration Service hochladen, wenn Sie das Quellverbindungsprofil erstellen.
  4. Bearbeiten Sie die Datei /etc/ssh/sshd_config, um den Forward-SSH-Tunnel entsprechend den Anforderungen Ihrer Organisation zu konfigurieren. Wir empfehlen die folgenden Einstellungen: 
    # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
  5. Führen Sie den Befehl ssh aus, um den Tunnel zu starten.

    Bevor Sie einen der unten aufgeführten Befehle verwenden, nehmen Sie die folgenden Ersetzungen vor:

    • TUNNEL_SERVER_SSH_PORT durch die Portnummer, über die Ihr Server auf SSH-Verbindungen wartet.
    • SOURCE_DATABASE_PRIVATE_IP durch die private IP-Adresse Ihrer Quelldatenbank. Der SSH-Server muss diese IP-Adresse erreichen können.
    • SOURCE_DATABASE_PORT mit der Portnummer, unter der Ihre Quelldatenbank auf Verbindungen wartet. Die Standardportnummer für TCP-Verbindungen in Oracle ist 1433.
    • USERNAME durch den Namen des Nutzerkontos, über das der Tunnel ausgeführt wird. Dieses Konto ist ein separates Konto von TUNNEL_ACCOUNT_USERNAME.
    • TUNNEL_SERVER_PUBLIC_IP: die öffentliche IP-Adresse Ihres SSH-Tunnel-Servers. 
    ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  6. Erstellen Sie eine Firewallregel für eingehende Verbindungen für Ihren SSH-Tunnel, um Verbindungen von öffentlichen IP-Adressen von Database Migration Service für die Region zu akzeptieren, in der Sie den Migrationsjob erstellen.
  7. Wenn Sie später das Quellverbindungsprofil erstellen, gehen Sie so vor:
    1. Geben Sie im Abschnitt Verbindungsdetails definieren die private IP-Adresse Ihrer Oracle-Quellinstanz ein.
    2. Wählen Sie im Abschnitt Verbindungsmethode festlegen die Option Weiterleitungs-SSH-Tunnel aus.
    3. Geben Sie die öffentliche IP-Adresse oder den Hostnamen Ihres SSH-Servers an.
    4. Geben Sie den Port an, den Sie für die SSH-Verbindungen auf dem Tunnelserver festgelegt haben.
    5. Geben Sie den Nutzernamen für den Nutzer ein, den Sie für Database Migration Service erstellt haben, um eine Verbindung herzustellen (d. h. den Wert von TUNNEL_ACCOUNT_USERNAME).
    6. Wählen Sie im Drop-down-Menü Authentifizierungsmethode die Authentifizierungsmethode aus, die Sie für den TUNNEL_ACCOUNT_USERNAME-Nutzer verwenden möchten:
      • Wenn Sie das Nutzerpasswort verwenden möchten, wählen Sie Passwort aus und geben Sie das TUNNEL_ACCOUNT_USERNAME-Passwort in das Formular ein.
      • Wenn Sie Ihren SSH-Server für die Verwendung der schlüsselbasierten Authentifizierung konfiguriert haben, wählen Sie Privates/öffentliches Schlüsselpaar aus und laden Sie den privaten Schlüssel hoch, den Sie mit dem Befehl ssh-keygen generiert haben.

Private Verbindung mit VPC-Peering konfigurieren

Für diese Verbindungsmethode muss die IP-Adresse oder der Hostname Ihrer Quelldatenbank über Ihre Google Cloud VPC erreichbar sein. Für selbst gehostete Quellen, die sich in Netzwerken außerhalb von Google Cloudbefinden, müssen Sie möglicherweise zusätzliche Netzwerkkomponenten wie Cloud VPN oder Cloud Interconnect verwenden.

Für selbst gehostete Quellen in Google Cloud

So verwenden Sie eine private Verbindung mit Virtual Private Cloud-Peering für eine Oracle-Quelldatenbank, die auf einer Compute Engine-VM gehostet wird:

  1. Achten Sie darauf, dass das VPC-Netzwerk (Virtual Private Cloud), in dem Ihrer VM eine IP-Adresse zugewiesen ist, für den Zugriff auf private Dienste konfiguriert ist. Weitere Informationen finden Sie unter Zugriff auf private Dienste konfigurieren.
  2. Erstellen Sie im Database Migration Service eine Konfiguration für private Verbindungen, um ein Peering mit dem VPC-Netzwerk herzustellen, in dem Ihre Oracle-Datenbank auf einer Compute Engine-VM gehostet wird.
  3. Wenn Sie später das Quellverbindungsprofil erstellen, gehen Sie so vor:
    1. Geben Sie im Abschnitt Verbindungsdetails definieren die IP-Adresse der Compute Engine-VM ein, auf der Sie die Oracle-Datenbank hosten.

      Sie können die IP-Adresse der VM in der Google Cloud Console aufrufen.

    2. Wählen Sie im Abschnitt Verbindungsmethode festlegen die Option Private Verbindung (VPC-Peering) aus.
    3. Wählen Sie im Drop-down-Menü die Konfiguration für private Verbindungen aus, die Sie im vorherigen Schritt erstellt haben.

Für selbst gehostete Quellen außerhalb von Google Cloud

Wenn Sie eine private Verbindung mit Virtual Private Cloud-Peering für eine selbst gehostete Oracle-Quelldatenbank verwenden möchten, die sich in einem Netzwerk außerhalb vonGoogle Cloudbefindet, führen Sie die folgenden Schritte aus:

  1. Richten Sie eine direkte Verbindung mit Cloud VPN zu Ihrer Oracle-Quelle ein.

    Je nach Ihrer Netzwerkarchitektur müssen Sie möglicherweise zusätzliche VPN-Gateways in Ihrem System einrichten. Weitere Informationen finden Sie in der Cloud VPN-Dokumentation unter HA VPN-Gateway zu einem Peer-VPN-Gateway erstellen.

  2. Optional: Wenn Sie die Konfiguration für die private Verbindung nicht im selben VPC-Netzwerk erstellen können, in dem sich das Cloud VPN befindet, erstellen Sie eine Reverse-Proxy-VM (virtuelle Maschine) in Compute Engine, um die Verbindungen zwischen VPCs weiterzuleiten.
  3. Erstellen Sie in Database Migration Service eine Konfiguration für private Verbindungen für das Peering mit dem VPC-Netzwerk, in dem sich Ihr Cloud VPN befindet.
  4. Wenn Sie später das Quellverbindungsprofil erstellen, gehen Sie so vor:
    1. Geben Sie im Abschnitt Verbindungsdetails definieren die private IP-Adresse Ihrer Oracle-Quelle ein.
    2. Wählen Sie im Abschnitt Verbindungsmethode festlegen die Option Private Verbindung (VPC-Peering) aus.
    3. Wählen Sie im Drop-down-Menü die Konfiguration für private Verbindungen aus, die Sie im vorherigen Schritt erstellt haben.

Nächste Schritte