Configurar la conectividad de red a Amazon RDS para fuentes de Oracle

Esta página describe cómo configurar la conectividad de red a Amazon RDS para orígenes de Oracle para migraciones heterogéneas de Oracle a Cloud SQL para PostgreSQL con Database Migration Service.

Hay tres métodos diferentes que puede utilizar para configurar la conectividad de red necesaria para las migraciones desde orígenes de Amazon RDS para Oracle:

Para obtener más información sobre la conectividad de la red de la base de datos de origen, consulte Descripción general de los métodos de red de origen .

Configurar la conectividad de la lista de direcciones IP permitidas

Para utilizar el método de conectividad de lista permitida de IP públicas, siga estos pasos:

  1. En la Consola de administración de AWS, realice los siguientes pasos:
    1. Asegúrese de que su base de datos de origen de Amazon RDS esté configurada para conexiones IP públicas.
    2. Identifique el nombre del punto final y el número de puerto. Debe ingresar estos valores cuando cree el perfil de conexión.

    Para obtener más información sobre cómo preparar su instancia de Amazon RDS para Oracle, consulte Conexión a su instancia de base de datos de Oracle en la documentación de Amazon RDS.

  2. Cree un grupo de seguridad que permita el tráfico desde el Servicio de migración de bases de datos a su VPC de Amazon RDS. Consulte Proporcionar acceso a su instancia de base de datos en su VPC creando un grupo de seguridad .

    Asegúrese de permitir todas las direcciones IP públicas del Servicio de migración de bases de datos para la región donde crea el trabajo de migración.

  3. En una etapa posterior, cuando cree el perfil de conexión de origen , haga lo siguiente:
    1. En la sección Definir detalles de conexión , use el nombre del punto final de su instancia para la IP de la base de datos de origen.
    2. En la sección Definir método de conectividad , seleccione Lista de direcciones IP permitidas .

Configurar la conectividad a través de un túnel SSH directo

Para conectarse a su base de datos de origen con un túnel Secure Shell (SSH), siga estos pasos:

  1. Inicie una instancia de Amazon EC2 para que funcione como un túnel SSH directo dedicado. Asegúrese de configurarlo en la misma Amazon VPC donde tiene su Amazon RDS para Oracle de origen.

    Para obtener más información, consulte Introducción a Amazon EC2 en la documentación de Amazon.

  2. Conéctese a su instancia EC2 y configure el túnel SSH. Siga estos pasos:
    1. Cree una cuenta de usuario independiente y dedicada para que el Servicio de migración de bases de datos se conecte como: 
      adduser TUNNEL_ACCOUNT_USERNAME
    2. Restrinja el acceso al shell para la cuenta del Servicio de migración de bases de datos para mejorar la seguridad: 
      usermod -s /usr/sbin/nologin TUNNEL_ACCOUNT_USERNAME

    3. Decida qué método de autenticación desea que utilice el Servicio de migración de bases de datos al conectarse al túnel.

      Puede usar una contraseña simple o generar claves SSH en formato PEM que luego puede cargar en el Servicio de migración de bases de datos cuando crea el perfil de conexión de origen.

      • Si desea utilizar una contraseña, no necesita configurar nada adicional. Recuerde qué contraseña creó para la cuenta TUNNEL_ACCOUNT_USERNAME .
      • Si desea utilizar la autenticación basada en claves, debe generar un par de claves públicas y privadas. Por ejemplo, puedes utilizar la utilidad ssh-keygen :
        1. Genere el par de claves: 
              ssh-keygen -m PEM -f YOUR_KEY_NAME
        2. Copie la clave pública ( YOUR_KEY_NAME .pub ) al directorio ~/.ssh/ en su servidor de túnel.
        3. Guarde la clave privada. Deberá cargarlo más tarde en el Servicio de migración de bases de datos cuando cree el perfil de conexión de origen.
    4. Edite el archivo /etc/ssh/sshd_config para configurar el túnel SSH directo para que coincida con los requisitos de su organización. Recomendamos utilizar la siguiente configuración: 
      # Only allow the Database Migration Service user to connect.
AllowUsers TUNNEL_ACCOUNT_USERNAME

# Send keep-alive packets every 60 seconds to ensure that
# the tunnel doesn't close during the migration
ServerAliveInterval=60

# Optional: Force key-based authentication
PasswordAuthentication no

# Enables Database Migration Service to connect from a different host
PermitTunnel yes
GatewayPorts yes
    5. Ejecute el comando ssh para iniciar el túnel.

      Antes de utilizar cualquiera de los datos de comando siguientes, realice los siguientes reemplazos:

      • TUNNEL_SERVER_SSH_PORT con el número de puerto donde su servidor escucha conexiones SSH.
      • SOURCE_DATABASE_PRIVATE_IP con la dirección IP privada de su base de datos de origen. El servidor SSH debe poder alcanzar esa IP.
      • SOURCE_DATABASE_PORT con el número de puerto donde su base de datos de origen está escuchando conexiones. El número de puerto predeterminado para las conexiones TCP en Oracle es 1433 .
      • USERNAME con el nombre de la cuenta de usuario que ejecutará el túnel. Esta es una cuenta separada de TUNNEL_ACCOUNT_USERNAME .
      • TUNNEL_SERVER_PUBLIC_IP con la IP pública de su servidor de túnel SSH. 
      ssh -N -L \
TUNNEL_SERVER_SSH_PORT:SOURCE_DATABASE_PRIVATE_IP:SOURCE_DATABASE_PORT \
USERNAME@TUNNEL_SERVER_PUBLIC_IP
  3. En una etapa posterior, cuando cree el perfil de conexión de origen , haga lo siguiente:
    1. En la sección Definir detalles de conexión , use el nombre del punto final de su instancia para la IP de la base de datos de origen.
    2. En la sección Definir método de conectividad , seleccione Túnel SSH directo .
    3. Proporcione la dirección IP pública o el nombre de host de su servidor SSH.
    4. Proporcione el puerto que designó para las conexiones SSH en el servidor del túnel.
    5. Ingrese el nombre de usuario del usuario que creó para que el Servicio de migración de bases de datos se conecte (es decir, el valor de TUNNEL_ACCOUNT_USERNAME ).
    6. En el menú desplegable Método de autenticación , seleccione el método de autenticación que desea utilizar con TUNNEL_ACCOUNT_USERNAME :
      • Si desea utilizar la contraseña de usuario, seleccione Contraseña e ingrese la contraseña TUNNEL_ACCOUNT_USERNAME en el formulario.
      • Si configuró su servidor SSH para usar autenticación basada en claves, seleccione el par de claves pública/privada y cargue la clave privada que generó con el comando ssh-keygen .

Configurar conectividad privada con peering de VPC

Para utilizar conectividad privada con orígenes de Amazon RDS para Oracle, debe tener una Cloud VPN o Cloud Interconnect configurada en la misma red de VPC donde desea crear la configuración de conectividad privada para el servicio de migración de bases de datos. Si no puede crear la configuración de conectividad privada en la red VPC donde tiene su Cloud VPN o Cloud Interconnect, entonces también necesita una máquina virtual (VM) de proxy inverso en Compute Engine para establecer la conexión.

Si no puede usar Cloud VPN o Cloud Interconnect, le recomendamos que utilice el túnel SSH directo o los métodos de conectividad de lista de IP permitidas .

Para usar conectividad privada con emparejamiento de VPC y Cloud VPN, siga estos pasos:

  1. Configure la conectividad directa con Cloud VPN a su instancia de Amazon RDS para PostgreSQL.

    Para obtener más información, consulte Crear conexiones VPN HA entre Google Cloud y AWS en la documentación de Cloud VPN.

  2. Opcional: si no puede crear la configuración de conectividad privada en la misma red de VPC donde tiene Cloud VPN, cree una máquina virtual (VM) de proxy inverso en Compute Engine para reenviar las conexiones entre las VPC.
  3. En el Servicio de migración de bases de datos, cree una configuración de conectividad privada para conectarse con la red VPC donde tiene su Cloud VPN.
  4. En una etapa posterior, cuando cree el perfil de conexión de origen , haga lo siguiente:
    1. En la sección Definir detalles de conexión , ingrese la IP privada de su instancia de origen de Amazon RDS.
    2. En la sección Definir método de conectividad , seleccione Conectividad privada (emparejamiento de VPC) .
    3. En el menú desplegable, seleccione la configuración de conectividad privada que creó en el paso anterior.